Auftragsverarbeitung gem. DSGVO

Lesezeit: ca. 3 Minuten

Wenn ein Unternehmen die Verarbeitung von personenbezogenen Daten nicht selber durchführt, sondern diese durch Dritte verarbeiten lässt, liegt zumeist ein Fall der Auftragsverarbeitung vor. Dazu hat der Gesetzgeber einige gesetzliche Regelungen erlassen, um in einer solchen Fallkonstellation die Sicherheit der Verarbeitung zu gewährleisten. Eine Verarbeitung von personenbezogenen Daten im Auftrag eines Verantwortlichen ist nur gem. Art. 28 DSGVO zulässig. Dies setzt voraus, dass geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten vom Auftragsverarbeiter ergriffen werden. Die DSGVO erwartet eine schriftliche Vereinbarung, sprich einen Vertrag zur Auftragsverarbeitung. Es hat sich in der Praxis bewährt, diese schriftliche Vereinbarung in einem gesonderten Dokument vorzunehmen.

Auftragsverarbeitung als Rechtsgrundlage

Die Auftragsverarbeitung ist auch die Rechtsgrundlage für die Weitergabe personenbezogener Daten an den Auftragsverarbeiter. Ohne eine solche Rechtsgrundlage müsste für jede Weitergabe von personenbezogenen Daten die Einwilligung des Betroffenen eingeholt werden. Mit anderen Worten: Wenn kein Vertrag zur Auftragsverarbeitung vorliegt oder dieser nur unzureichend ist, gibt es keine vertragliche Grundlage für die Weitergabe der Daten an den Auftragsverarbeiter, und es liegt eine illegale Datenverarbeitung sowohl für den Auftragsverarbeiter als auch für die verantwortliche Stelle vor. Beispielsweise für die Datenverarbeitung in einem Rechenzentrum oder das Hosten einer Webseite ist es notwendig, einen solchen Vertrag zur Auftragsverarbeitung abzuschließen.

Was ist zu beachten?

Drei Themen sollten bei einer Auftragsverarbeitung bedacht werden:

· Nach den Veröffentlichungen der Datenschutzaufsichtsbehörden wird pro Datenverarbeitungssituation eine individuelle Risikobewertung erwartet. Diese Risikobewertung soll Grundlage für weitere datenschutzrechtliche Maßnahmen beim Auftragsverarbeiter sein. Es wird von den Aufsichtsbehörden eine individualisierte Betrachtung der jeweiligen Verarbeitungsvorgänge erwartet. Dies ist häufig in der Praxis nicht so umgesetzt. Vielfach wird „einfach nur“ ein Mustervertrag unterzeichnet, ohne eine individuelle Risikobewertung vorzunehmen. Hier hat es in der Vergangenheit bereits Bußgelder wegen unzureichender Verträge zur Auftragsverarbeitung gegeben.

· Es wird erwartet, dass der Auftragnehmer des Unternehmens ein Datenschutzkonzept vorlegt. Dieses Datenschutzkonzept soll Anlage zum Vertrag zur Auftragsverarbeitung sein.

· Außerdem soll der Auftragsverarbeiter die Einhaltung der gesetzlichen Anforderungen an den Datenschutz nachweisen. Dazu erwartet die Aufsichtsbehörde ein mindestens einmal jährlich vorzunehmendes Audit. Der Auftraggeber soll den vollständigen Auditbericht erhalten und hat so die Möglichkeit, die Einhaltung der DSGVO beim Autragsverarbeiter zu überwachen und zu überprüfen.

Wichtig ist, dass im Rahmen der Auftragsverarbeitung das Weisungsrecht des Auftraggebers vertraglich festgehalten wird. Allein der Auftraggeber bestimmt die Art und Weise und den Zweck der Datenverarbeitung. Hier soll der Auftragsverarbeiter nur die entsprechenden Weisungen ausführen. An dieser Stelle gibt es wiederholt Diskussionen zwischen Auftraggebern und Auftragsverarbeitern über die Kostenübernahme bei Zusatzaufwänden, die durch eine Weisung des Auftraggebers entstehen. Die Aufsichtsbehörden gehen davon aus, dass datenschutzkonforme Weisungen ohne zusätzliche Kosten vom Auftragsverarbeiter umzusetzen sind. Viele Auftragsverarbeiter teilen diese Auffassung nicht und versuchen, in ihren Verträgen Kostenerstattungsregelungen durchzusetzen.

Gemeinsame Verantwortliche gem. Art. 16 DSGVO

Daneben gibt es eine Diskussion, wie mit vertraglichen Konstellationen umzugehen ist, wenn der Auftragsverarbeiter gemeinsam mit dem Auftraggeber die Zwecke und die Mittel der Datenverarbeitung festlegt. Dann liegt kein Fall der Auftragsverarbeitung mehr vor, sondern Auftraggeber und Auftragsverarbeiter sind gem. Art. 26 DSGVO gemeinsam Verantwortliche. Dies hat mehrere Konsequenzen. Zum einen muss eine andere Vereinbarung zwischen den gemeinsamen Verantwortlichen, sprich zwischen dem Auftraggeber und dem Auftragsverarbeiter abgeschlossen werden. In dieser Vereinbarung sollen die tatsächlichen Funktionen und Beziehungen abgebildet werden. Das Wesentliche der Vereinbarung soll betroffenen Personen, sprich den Kunden des Unternehmens zur Verfügung gestellt werden.

Gravierender ist eine rechtliche Auswirkung, wenn durch eine gemeinsame Bestimmung über Mittel und Zwecke der Verarbeitung ein Fall der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO entsteht. Art. 26 DSGVO ist keine Rechtsgrundlage für die Weitergabe der Daten. Wenn also kein Fall der Auftragsverarbeitung vorliegt, der eine Einwilligung des Betroffenen für die Weitergabe der Daten ersetzt, muss im Fall des Art. 26 DSGVO und der gemeinsamen Verantwortlichkeit eine ausdrückliche Einwilligung eingeholt werden. Dies verkompliziert die Datenverarbeitung, sodass in vielen Fällen sehr darauf geachtet werden sollte, dass der Rechtsrahmen der Auftragsverarbeitung nicht verlassen wird.

Auf der nachfolgenden Internetseite finden Sie einen Mustervertrag der niedersächsischen Landesdatenschutzaufsicht für eine Auftragsverarbeitung sowie ein Kurzpapiers der Datenschutzkonferenz mit ergänzenden Informationen:

https://lfd.niedersachsen.de/themen/auftragsdatenverarbeitung/auftragsverarbeitung-nach-art-28-ds-gvo-161994.html

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen