Zur Navigation springen Zum Inhalt springen Zum Footer springen

EU-Datenschutzgrundverordnung: Auswirkungen auf die Auftragsdatenverarbeitung

Rechtstipp vom 06.12.2016
(4)
Rechtstipp vom 06.12.2016
(4)

Die Datenschutz-Grundverordnung (DS-GVO) wird ab dem 25 Mai 2018 mit einem „Fallbeileffekt“ das neue, europaweit weitgehend einheitlich geregelte Datenschutzrecht prägen.

Sie wird ohne eine weitere Übergangsfrist dann uneingeschränkt ihre Wirkung entfalten und alle Unternehmen betreffen, die nicht ausschließlich analog arbeiten. Dies gilt unabhängig von der Unternehmensgröße und Branche.

Die Regelungen des Datenschutzes sind grundsätzlich anzuwenden, sobald personenbezogene Daten verarbeitet werden. Eine teilweise Anwendung des Datenschutzrechts gibt es nicht und die hierfür erforderliche, aber auch ausreichende Personenbeziehbarkeit der Daten lässt sich in Zeiten der Verletzung und Verknüpfungsmöglichkeiten von „Big Data“ kaum noch ausschließen. Im Folgenden soll dargestellt werden, welche wesentlichen Änderungen die Datenschutz-Grundverordnung für das weitverbreitete Konstrukt der Auftragsdatenverarbeitung – nach der DS-GVO – mit sich bringt.

Art. 29 regelt den für die Praxis gerade im Outsourcing ungemein wichtigen datenschutzrechtlichen Aspekt der Auftragsdatenverarbeitung nach § 11 BDSG. An der konkreten Ausgestaltung und dem Innenverhältnis zwischen Auftragsverarbeiter und Verantwortlichem als Auftraggeber sind keine nennenswerten Änderungen in der Datenschutz-Grundverordnung feststellbar.

Die DS-GVO adressiert an den Auftragsverarbeiter nun jedoch ausdrücklich einige Pflichten: Bestellung eines Vertreters, soweit keine Niederlassung innerhalb der Europäischen Union vorliegt (Art. 27 Abs. 1), Führung von Verfahrensverzeichnissen (Art. 30 Abs. 2), Zusammenarbeit mit den Aufsichtsbehörden (Art. 31), Ergreifung technischer und organisatorischer Maßnahmen zur Datensicherheit (Art. 32 Abs. 1), Bestellung eines Datenschutzbeauftragten (Art. 37 Abs. 1) sowie Beschränkungen des Auftrags für Datentransfers in Drittländer (Art. 44).

Neu ist ebenfalls die Regelung (Art. 83 Abs. 3 und Abs. 4a), dass die Aufsichtsbehörden nunmehr auch konkret direkt gegen den Auftragsverarbeiter Bußgelder verhängen können. Der Verantwortliche als Auftraggeber hat wie bisher den Auftragsverarbeiter sorgfältig unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen auszuwählen.

Art. 48 Abs. 9 Datenschutz-Grundverordnung listet die formellen und inhaltlichen Mindestanforderungen an einen Vertrag zur Auftragsbearbeitung auf – und anders als bislang nach § 11 BDSG kann der Verantwortliche als Auftraggeber zukünftig mit einer zumindest theoretischen Entlastung rechnen. Die bisherigen ausdrücklichen Kontroll- und Dokumentationspflichten nach § 11 Abs. 2 S. 4 und 5 BDSG finden sich in der DS-GVO nicht mehr.

Auch hinsichtlich der Beauftragung von Subunternehmern in der Auftragsdatenverarbeitung finden sich in der DS-GVO Regelungen. Nach § 11 Abs. 2 S. 4 Nr. 4 BDSG müssen etwaige Unterauftragsverhältnisse in den Vertrag zu Auftragsdatenverarbeitung aufgenommen werden, was gelegentlich unbequem oder sogar unerwünscht ist.

Art. 48 Abs. 2 DS-GVO knüpft nun die Zulässigkeit von unter Auftragsverhältnissen an die ausdrückliche Zustimmung des Auftraggebers. Der Auftragsverarbeiter haftet grundsätzlich uneingeschränkt für Datenschutzverstöße seiner Subunternehmer. Art. 82 regelt zudem eine ausdrückliche Einstandspflicht des Auftragsverarbeiters Betroffenen gegenüber.


Rechtstipp aus der Themenwelt Datenschutz und DSGVO und dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Thomas Feil (Feil Rechtsanwaltsgesellschaft mbH)