ds-gvo adv auftragsdatenverarbeitung

Auftragsdatenverarbeitung unter der DSGVO im Vergleich zum BDSG

/von

Mit der Datenschutzgrundverordnung (DSGVO) wird in der EU ein zum großen Teil einheitliches Datenschutzrecht eingeführt. In Deutschland ersetzt die DSGVO zum 25.05.2018 das bis dahin geltende Bundesdatenschutzgesetz (BDSG). Ein Regelungsaspekt der DSGVO ist die Auftragsverarbeitung. Die Auftragsverarbeitung ist nicht neu, war sie doch im BDSG als Datenverarbeitung im Auftrag (auch Auftragsdatenverarbeitung, ADV) als relativ unbürokratisches Mittel durchaus beliebt.

Auftragsdatenverarbeitung ist im BDSG privilegiert

Einer der großen Vorteile der Auftragsdatenverarbeitung nach dem BDSG war, dass die Weitergabe der Daten privilegiert war. Es handelte sich dabei ausdrücklich (s. § 3 Abs. 8 Satz 3 BDSG) nicht um eine Übermittlung an einen Dritten. Der Auftragsdatenverarbeiter wurde als ausgelagerter Teil der verantwortlichen Stelle angesehen.

Fällt das Privileg weg?

Dieses Privileg ist so nicht mehr in der DSGVO zu finden. Derzeit wird in Fachkreisen durchaus kontrovers diskutiert, ob die Privilegierung aus der in Art. 29 DSGVO beschriebenen Weisungsgebundenheit des Auftragsverarbeiters abgeleitet werden kann. Dagegen spricht die Ausweitung der Pflicht zur Führung des Verfahrensverzeichnisses (in der DSGVO: Verzeichnis der Verarbeitungen) auf den Auftragsverarbeiter. Ebenso gegen die Beibehaltung des Privilegs spricht, dass nicht mehr nur der Auftraggeber (als alleinige verantwortliche Stelle) haftet. Die DSGVO überträgt dem Auftragsverarbeiter eine gegenüber dem BDSG deutlich erhöhte Verantwortung für den Schutz der verarbeiteten Daten und nimmt ihn diesbezüglich auch stärker in die Haftungspflicht.

… oder bleibt es?

Neben diesen Indizien, die gegen eine Beibehaltung des Privilegs sprechen, gibt es auch einige, die für dessen Beibehaltung sprechen. Eines ist die Tatsache, dass die Rolle des Auftragsverarbeiters keine wirklichen Vorteile mehr gegenüber der “normalen” Übermittlung und Verarbeitung in der Rolle eines weiteren Verantwortlichen hätte. Hintergrund dieser Argumentation ist, dass die Privilegierung im BDSG unter anderem zur Folge hatte, dass für die Weitergabe der Daten an den Auftragsdatenverarbeiter eben keine weitere Rechtsgrundlage zusätzlich zum ADV-Vertrag nach § 11 BDSG benötigt wurde. Ohne Privilegierung müsste auch im Rahmen einer Auftragsverarbeitung eine Rechtsgrundlage für die Übermittlung an den Dienstleister existieren. Hier stellt sich die Frage, welchen Sinn das Konstrukt der Auftragsverarbeitung noch macht, wenn kein Privileg mehr existiert für die Weitergabe der Daten an den Auftragsverarbeiter.

Hilft das BDSG-Nachfolge-Gesetz?

Auch ein Blick in das noch in der Abstimmung befindliche und damit (noch) nicht gültige Nachfolgegesetz bringt keine weitere Sicherheit. Zwar sollen offenbar viele Teile des bisherigen BDSG übernommen werden (zu finden in § 57 BDSG-E [also im Entwurf des Nachfolge-BDSG]) jedoch findet sich nirgendwo ein Hinweis auf Regelungen zur Privilegierung der Auftragsverarbeitung.

Fragen Sie die Aufsichtsbehörde…

Vermutlich werden wir, wie in letzter Zeit schon so häufig gesagt und geschrieben, auch hier die Stellungnahme der Aufsichtsbehörden abwarten müssen.

Wir empfehlen, sich auf die Überarbeitung der Auftragsdatenverarbeitungsverhältnisse einzustellen. Hierzu gehört auch, sich in einem ersten Schritt einen Überblick über die eingesetzten Dienstleister zu verschaffen.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
ds-gvo one stop shop oss bdsg-neu datenschutzbeauftragter benennung bestellpflicht werbung drittstaaten transfer google analytics verbotenOne Stop Shop (OSS) – nur noch eine Behörde zuständig für die Unternehmen?
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungNach der DSGVO nimmt das neue BDSG Form an
telefax vertraulichkeitTelefonische Werbung
TOM Technikgestaltung technische organisatorische Maßnahmen private nutzung kommunikationsmittel supportende windows 7Supportende für Windows 7, Server 2008/R2, Office 2010: Leben Totgesagte länger?
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss ukSchon wieder Brexit – Angemessenheitsbeschluss für UK naht
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoWer bestimmt die Rechtsgrundlage?