eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk

Auftragsdatenverarbeitung unter der DSGVO

/von

Die Regelungen des § 11 BDSG zur Auftragsdatenverarbeitung sind Grundlage vieler Verarbeitungen, die ein Auftragnehmer für einen Auftraggeber durchführt. Daher lohnt ein genauerer Blick auf die Änderungen, die sich durch die neue DSGVO ergeben werden.

Zunächst einmal werden wir uns an neue Begrifflichkeiten gewöhnen müssen. Die Auftragsdatenverarbeitung wird künftig Auftragsverarbeitung genannt. Den Auftraggeber oder die verantwortliche Stelle kennt die DSGVO als den „für die Verarbeitung Verantwortlichen“. Konsequenterweise lautet die Bezeichnung für den Auftragnehmer „Auftragsverarbeiter“.

Inhaltliche Änderungen bei der Auftragsdatenverarbeitung

Es kann festgehalten werden, dass die grundsätzlichen Prinzipien, nach denen der Auftraggeber für die Verarbeitung verantwortlich bleibt und der Auftragnehmer nur als quasi verlängerter Arm des Auftraggebers gemäß dessen Weisungen tätig wird, beibehalten bleiben.

…für den Auftraggeber

Die gesetzlich vorgeschriebene vertragliche Gestaltung und damit die Pflichten für den Auftraggeber bleiben im Wesentlichen identisch zu den bisherigen Regelungen. Explizit wird die Vorlage eines geeigneten Zertifikats als möglicher Nachweis der eingesetzten technischen und organisatorischen Maßnahmen zum Schutz der Daten beim Auftragnehmer genannt. Eine explizite Verpflichtung zur Kontrolle des Auftragnehmers sowohl vor als auch in regelmäßigen Abständen während der Verarbeitung, wie nach dem BDSG vorgeschrieben, kennt die DSGVO allerdings nicht mehr. Dennoch sind Kontrollrechte vertraglich zu vereinbaren. Es wird spannend ob und ggf. in welcher Form die Aufsichtsbehörden aus diesem Kontrollrecht die Pflicht ableiten, diese Kontrollen auch durchzuführen, ggf. sogar weiterhin regelmäßig.

…und für den Auftragnehmer

Für den Auftragnehmer ändert sich nach der DSGVO deutlich mehr als für den Auftraggeber. Dies zeigt sich beispielsweise durch die gesamtschuldnerische Haftung gemeinsam mit dem Auftraggeber gegenüber den Betroffenen im Hinblick auf mögliche Ansprüche. Der Auftragnehmer wird also künftig deutlich mehr Interesse an einer gesetzeskonformen Gestaltung der Verarbeitung haben als bisher.

Dies gilt umso mehr, da zahlreiche bußgeldbewehrte Tatbestände nach der neuen Gesetzgebung auch für den Auftragnehmer gelten.

Auch die Dokumentationspflichten für den Auftragnehmer wurden deutlich ausgeweitet. So hat der Auftragnehmer für seine durchgeführten Tätigkeiten ein Verzeichnis der Verarbeitungen zu führen, wie hier näher ausgeführt wurde.

Fazit:

Die grundsätzliche Gestaltung der Auftragsdatenverarbeitung bleibt erhalten. Änderungen betreffen hauptsächlich den Auftragnehmer, der künftig deutlich mehr verantwortlich sein wird für die gesetzeskonforme Ausgestaltung der Auftragsdatenverarbeitung. Auftraggeber und Auftragnehmer agieren faktisch als zwei verantwortliche Stellen, gegenüber denen die Betroffenen oder die Behörden ihre Rechte ausüben können.

Gerne überprüfe ich für Sie die Auftragsdatenverarbeitungen, die Sie als Auftraggeber oder Auftragnehmer durchführen im Hinblick auf die Konformität zur DSGVO. Sprechen Sie mich an!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
aufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi risikoanalyse zawasDSGVO Datenschutzprüfung in Bayern und Niedersachen
arztpraxis aufruf anonym name betroffenenrecht auskunft 15 ds-gvo einschränkung der verarbeitung sperrung 18 dsgvo schadensersatzRechte betroffener Personen – Allgemeine Regeln
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenPflicht zur Einführung eines Datenschutz-Management-Systems (DSMS) unter der DSGVO
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoInformationspflichten nach der DSGVO
gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfersBußgeld in Österreich wegen Verstoßes gegen Double-Opt-In Pflicht
datenlöschung löschen schreddern vernichten 17 dsgvoSerie Betroffenenrechte: Das Recht auf Löschung, Vergessenwerden nach Art. 17 DSGVO