Auftragsdatenverarbeitung

+++ Quelle: Datenschutz von A-Z * Dr. Eugen Ehmann ++++

Begriff

Bei einer Auftragsverarbeitung lässt ein Verantwortlicher personenbezogenen Daten durch eine andere, externe Stelle verarbeiten.
Er bestimmt allein über dle Zwecke und Mittel und weist den Auftragsverarbeiter an, die Datenverarbeitung für ihn durchzu­ führen.
Beispielsweise gelten viele Fälle des Outsourcings als Auftragsverarbeitung.

Die Auftragsverarbeitung ist abzugrenzen von der gemeinsamen Verantwortung (Art. 26 DSGVO), bei der die Beteiligten zusammen
über die Zwecke der Datenverarbeitung bestimmen.

Rechtgrundlage

Gesetze, Vorschriften und Rechtsprechung Art. 28 DSGVO (Auftragsverarbeiter), gültig ab 25. Mai 2018 Erwägungsgrund 82 der DSGVO.

Wann liegt eine Auftragsverarbeitung vor?

Eine Auftragsverarbeitung liegt vor, wenn alle der nachfolgenden Voraussetzungen erfüllt sind:

  1. Auftraggeber und Auftragnehmer sind zwei unterschiedliche Stellen (juristische oder natürliche Personen). Keinerlei Rolle spielt, ob sie dem gleichen –+ Konzern oder Unternehmensverbund angehören.
  2.  Zwischen Auftragnehmer und Auftraggeber werden personenbezogene Daten ausgetauscht.
  3. Der Dienstleister verarbeitet personenbezogene Daten im Auftrag und auf Weisung des Auftraggebers. Er besitzt kein Mitspracherecht über den Zweck der Datenverarbeitung. Er ar­ beitet somit nicht aus einem Eigeninteresse mit den Daten, son­ dern um die übertragenen Aufgaben bzw. den abgeschlosse­ nen Vertrag zu erfüllen.Er handelt insofern nur als.,verlängerter Arm” des Auftraggebers.
  4. Der Dienstleister ist weisungsgebunden in Bezug auf die Daten­ bearbeitung.Der Auftraggeber darf dem Dienstleister vorschrei ben, wie er mit den personenbezogenen Daten umzugehen hat.

Beispiel

Folgende Unternehmen handeln oft als Auftragsverarbeiter

  • Callcenter
  • Aktenvernichter
  • Dienstleister zur Berechnung und Auszahlung von Gehältern
  • Schreibbüro Lettershop Archivierungsdienstleister Externe Systemadministratoren
  • Wartung und Fernwartung von EDV-Geräten durch externe Firmen

 Keine Auftragsverarbeitung liegt üblicherweise vor bei Steuerberatern, denen die Buchführung insgesamt übertragen wird zur selbstständigen und, bestmögllchen Erledigung,

  • bei Rechtsanwälten, welche die Interessen ihrer Auftraggeber selbstständig wahrnehmenn und nicht für jeden Ihrer Schritte eine Einwilligung benötigen, und
  • bei Marktanalysen durch eine Marketingfirma unter deren eigener Regie

Liegt keine Auftragsverarbeitung vor, kommt nicht Art 28, sondern die allgemeinen Vorschriften der DSGVO zur Anwendung.
Insbesondere muss dann geprüft werden, ob es Rechtsgrundlagen gibt, d1e eine Übermittlung und Verwendung der Daten gestatten.

Im Fall einer Auftragsverarbeitung ergibt sich die Rechtsgrundlage dagegen direkt aus Art. 28 DSGVO.

Anforderungen an eine Auftragsverarbeitung

Wenn eine Auftragsverarbeitung vorliegt, muss der Verantwortliche (Auftraggeber) Folgendes berücksichtigen:

Es dürfen nur Auftragsverarbeiter (Auftragnehmer) ausgewählt werden,die die Anforderungen der Datenschutzgesetze kennen und sich daran halten (vgl. Art. 28 Abs. 1 DSGVO).

  • Die Arbeiten müssen auf Grundlage eines Vertrags erfolgen.Darin müssen festgelegt sein (Art. 28 Abs. 3 DSGVO):
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Datenverarbeitung
  •  Arten der
    • personenbezogenen Daten und Kategorien der
      betroffenen Personen
    •  Rechte und Pflichten des Verantwortlichen
    • Dokumentationspflicht aller Weisungen des Verantwortlichen
    • Pflicht zur Vertraulichkeit und Verschwiegenheit der Bearbeiter des Auftragsverarbeiters
    • Ergreifung angemessener technischer und organisatorischer Maßnahmen zur Datensicherheit gern. Art. 32 DSGVO durch den Auftragsverarbeiter
    • Subunternehmer muss der Auftragsverarbeiter genehmigen lassen oder konkret auf deren Einschaltung hinweisen, damit der Auftraggeber widersprechen kann.Vertraglich müssen für Subunternehmer dieselben Vorgaben gelten wie zwischen den Haupt-Vertragsparteien.
    • Unterstützung des Verantwortlichen bei der Erfüllung der Betroffenenrechte (Rechte der betroffenen Personen)
    • Unterstützung des Verantwortlichen bei Maßnahmen nach Art. 32-36 DSGVO (Datensicherheit,Meldepflicht bei Datenpannen, Datenschutz-Folgenabschätzung und vorherige Konsultation)
    • Regelung zur Rückgabe oder Löschung der Daten nach Vertragsbeendigung
    • Ermöglichung von Überprüfungen und Inspektionen sowie
    • Anzeigepflicht bei rechtswidrigen Weisungen

 

Der Vertrag kann schriftlich oder elektronisch abgeschlossen werden (Art. 28 Abs. 9 DSGVO).

EU-Kommission und Aufsichtsbehörden können Musterverträge veröffentlichen, in denen die o.g. Anforderungen enthalten sind (Art. 28 Abs. 7 und 8 DSGVO).

Folgen einer Auftragsverarbeitung

Wenn eine Auftragsverarbeitung vorliegt, bedeutet das unter anderem:

  • Eine gesonderte Rechtsgrundlage für die Datenübermittlung und die weitere Datenverarbeitung ist nicht erforderlich (Privilegie­ rungswirkung des Art. 2.8 DSGVO).
  • Bei Mängeln oder Verstößen haften der Verantwortliche (Auftraggeber) und der Auftragsverarbeiter unmittelbar und gesamtschuldnerisch (Gemeinsame Verantwortung) (Art. 79 DSGVO)

Dies stellt eine Änderung, gegenüber der früheren Rechtslage vor lnkrafttreten der DSGVO, dar.

Dass der Verantwortliche (Auftraggeber) den Auftragsverarbeiter kontrollieren muss, ergibt sich aus den allgemeinen Vorschriften:
So wie er ein Kontrollsystem für seine gesamte Datenverarbeitung besitzen muss, muss er auch seine Dienstleister kon trollleren und dies nachweisen können (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO).

 

Bußgelder

Die Aufsichtsbehörde kann Bußgelder (–> Straf- und Bußgeldvor schriften) verhängen, wenn eine Auftragsverarbeitung vorliegt, aber kein oder nur ein fehlerhafter Auftrag vorliegt. Das Bußgeld kann maximal 10 Mio. EUR betragen -oder 2% des gesamten welt­ weiten Jahresumsatzes,
falls dieser Betrag höher ist (Art. 83 Abs. 4 Buchstabe a DSGVO).

Add a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.