eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-in

Auftragsdatenverarbeitung unter der DSGVO

/von

Die Regelungen des § 11 BDSG zur Auftragsdatenverarbeitung sind Grundlage vieler Verarbeitungen, die ein Auftragnehmer für einen Auftraggeber durchführt. Daher lohnt ein genauerer Blick auf die Änderungen, die sich durch die neue DSGVO ergeben werden.

Zunächst einmal werden wir uns an neue Begrifflichkeiten gewöhnen müssen. Die Auftragsdatenverarbeitung wird künftig Auftragsverarbeitung genannt. Den Auftraggeber oder die verantwortliche Stelle kennt die DSGVO als den „für die Verarbeitung Verantwortlichen“. Konsequenterweise lautet die Bezeichnung für den Auftragnehmer „Auftragsverarbeiter“.

Inhaltliche Änderungen bei der Auftragsdatenverarbeitung

Es kann festgehalten werden, dass die grundsätzlichen Prinzipien, nach denen der Auftraggeber für die Verarbeitung verantwortlich bleibt und der Auftragnehmer nur als quasi verlängerter Arm des Auftraggebers gemäß dessen Weisungen tätig wird, beibehalten bleiben.

…für den Auftraggeber

Die gesetzlich vorgeschriebene vertragliche Gestaltung und damit die Pflichten für den Auftraggeber bleiben im Wesentlichen identisch zu den bisherigen Regelungen. Explizit wird die Vorlage eines geeigneten Zertifikats als möglicher Nachweis der eingesetzten technischen und organisatorischen Maßnahmen zum Schutz der Daten beim Auftragnehmer genannt. Eine explizite Verpflichtung zur Kontrolle des Auftragnehmers sowohl vor als auch in regelmäßigen Abständen während der Verarbeitung, wie nach dem BDSG vorgeschrieben, kennt die DSGVO allerdings nicht mehr. Dennoch sind Kontrollrechte vertraglich zu vereinbaren. Es wird spannend ob und ggf. in welcher Form die Aufsichtsbehörden aus diesem Kontrollrecht die Pflicht ableiten, diese Kontrollen auch durchzuführen, ggf. sogar weiterhin regelmäßig.

…und für den Auftragnehmer

Für den Auftragnehmer ändert sich nach der DSGVO deutlich mehr als für den Auftraggeber. Dies zeigt sich beispielsweise durch die gesamtschuldnerische Haftung gemeinsam mit dem Auftraggeber gegenüber den Betroffenen im Hinblick auf mögliche Ansprüche. Der Auftragnehmer wird also künftig deutlich mehr Interesse an einer gesetzeskonformen Gestaltung der Verarbeitung haben als bisher.

Dies gilt umso mehr, da zahlreiche bußgeldbewehrte Tatbestände nach der neuen Gesetzgebung auch für den Auftragnehmer gelten.

Auch die Dokumentationspflichten für den Auftragnehmer wurden deutlich ausgeweitet. So hat der Auftragnehmer für seine durchgeführten Tätigkeiten ein Verzeichnis der Verarbeitungen zu führen, wie hier näher ausgeführt wurde.

Fazit:

Die grundsätzliche Gestaltung der Auftragsdatenverarbeitung bleibt erhalten. Änderungen betreffen hauptsächlich den Auftragnehmer, der künftig deutlich mehr verantwortlich sein wird für die gesetzeskonforme Ausgestaltung der Auftragsdatenverarbeitung. Auftraggeber und Auftragnehmer agieren faktisch als zwei verantwortliche Stellen, gegenüber denen die Betroffenen oder die Behörden ihre Rechte ausüben können.

Gerne überprüfe ich für Sie die Auftragsdatenverarbeitungen, die Sie als Auftraggeber oder Auftragnehmer durchführen im Hinblick auf die Konformität zur DSGVO. Sprechen Sie mich an!

Das könnte Sie auch interessieren
telefax vertraulichkeitTelefonische Werbung
TOM Technikgestaltung technische organisatorische Maßnahmen private nutzung kommunikationsmittel supportende windows 7Supportende für Windows 7, Server 2008/R2, Office 2010: Leben Totgesagte länger?
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoAufgaben des Datenschutzbeauftragten nach der DSGVO
sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21 betriebsratSerie Betroffenenrechte: Das Widerspruchsrecht nach Art. 21 DSGVO
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselungAutomatische Einzelfallentscheidungen nach der DSGVO
home office telearbeit mobiles arbeiten videokonferenz datenschutzhinweise webseite verstorbene PersonenVideokonferenzsysteme – sind die Vorgaben des Datenschutzes erfüllt?
Let’s Encrypt: https-Verschlüsselung einfach gemachtsicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21 betriebsratvorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotVideoüberwachung unter der EU-Datenschutz-Grundverordnung