eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo

Auftragsdatenverarbeitung unter der DS-GVO

Die Regelungen des § 11 BDSG zur Auftragsdatenverarbeitung sind Grundlage vieler Verarbeitungen, die ein Auftragnehmer für einen Auftraggeber durchführt. Daher lohnt ein genauerer Blick auf die Änderungen, die sich durch die neue DS-GVO ergeben werden.

Zunächst einmal werden wir uns an neue Begrifflichkeiten gewöhnen müssen. Die Auftragsdatenverarbeitung wird künftig Auftragsverarbeitung genannt. Den Auftraggeber oder die verantwortliche Stelle kennt die DS-GVO als den „für die Verarbeitung Verantwortlichen“. Konsequenterweise lautet die Bezeichnung für den Auftragnehmer „Auftragsverarbeiter“.

Inhaltliche Änderungen bei der Auftragsdatenverarbeitung

Es kann festgehalten werden, dass die grundsätzlichen Prinzipien, nach denen der Auftraggeber für die Verarbeitung verantwortlich bleibt und der Auftragnehmer nur als quasi verlängerter Arm des Auftraggebers gemäß dessen Weisungen tätig wird, beibehalten bleiben.

…für den Auftraggeber

Die gesetzlich vorgeschriebene vertragliche Gestaltung und damit die Pflichten für den Auftraggeber bleiben im Wesentlichen identisch zu den bisherigen Regelungen. Explizit wird die Vorlage eines geeigneten Zertifikats als möglicher Nachweis der eingesetzten technischen und organisatorischen Maßnahmen zum Schutz der Daten beim Auftragnehmer genannt. Eine explizite Verpflichtung zur Kontrolle des Auftragnehmers sowohl vor als auch in regelmäßigen Abständen während der Verarbeitung, wie nach dem BDSG vorgeschrieben, kennt die DS-GVO allerdings nicht mehr. Dennoch sind Kontrollrechte vertraglich zu vereinbaren. Es wird spannend ob und ggf. in welcher Form die Aufsichtsbehörden aus diesem Kontrollrecht die Pflicht ableiten, diese Kontrollen auch durchzuführen, ggf. sogar weiterhin regelmäßig.

…und für den Auftragnehmer

Für den Auftragnehmer ändert sich nach der DS-GVO deutlich mehr als für den Auftraggeber. Dies zeigt sich beispielsweise durch die gesamtschuldnerische Haftung gemeinsam mit dem Auftraggeber gegenüber den Betroffenen im Hinblick auf mögliche Ansprüche. Der Auftragnehmer wird also künftig deutlich mehr Interesse an einer gesetzeskonformen Gestaltung der Verarbeitung haben als bisher.

Dies gilt umso mehr, da zahlreiche bußgeldbewehrte Tatbestände nach der neuen Gesetzgebung auch für den Auftragnehmer gelten.

Auch die Dokumentationspflichten für den Auftragnehmer wurden deutlich ausgeweitet. So hat der Auftragnehmer für seine durchgeführten Tätigkeiten ein Verzeichnis der Verarbeitungen zu führen, wie hier näher ausgeführt wurde.

Fazit:

Die grundsätzliche Gestaltung der Auftragsdatenverarbeitung bleibt erhalten. Änderungen betreffen hauptsächlich den Auftragnehmer, der künftig deutlich mehr verantwortlich sein wird für die gesetzeskonforme Ausgestaltung der Auftragsdatenverarbeitung. Auftraggeber und Auftragnehmer agieren faktisch als zwei verantwortliche Stellen, gegenüber denen die Betroffenen oder die Behörden ihre Rechte ausüben können.

Gerne überprüfe ich für Sie die Auftragsdatenverarbeitungen, die Sie als Auftraggeber oder Auftragnehmer durchführen im Hinblick auf die Konformität zur DS-GVO. Sprechen Sie mich an!