ds-gvo adv auftragsdatenverarbeitung

Auftragsdatenverarbeitung unter der DS-GVO

Mit der Datenschutzgrundverordnung (DSGVO) wird in der EU ein zum großen Teil einheitliches Datenschutzrecht eingeführt. In Deutschland ersetzt die DS-GVO zum 25.05.2018 das bis dahin geltende Bundesdatenschutzgesetz (BDSG). Ein Regelungsaspekt der DS-GVO ist die Auftragsverarbeitung. Die Auftragsverarbeitung ist nicht neu, war sie doch im BDSG als Datenverarbeitung im Auftrag (auch Auftragsdatenverarbeitung, ADV) als relativ unbürokratisches Mittel durchaus beliebt.

Auftragsdatenverarbeitung ist im BDSG privilegiert

Einer der großen Vorteile der Auftragsdatenverarbeitung nach dem BDSG war, dass die Weitergabe der Daten privilegiert war. Es handelte sich dabei ausdrücklich (s. § 3 Abs. 8 Satz 3 BDSG) nicht um eine Übermittlung an einen Dritten. Der Auftragsdatenverarbeiter wurde als ausgelagerter Teil der verantwortlichen Stelle angesehen.

Fällt das Privileg weg?

Dieses Privileg ist so nicht mehr in der DS-GVO zu finden. Derzeit wird in Fachkreisen durchaus kontrovers diskutiert, ob die Privilegierung aus der in Art. 29 DS-GVO beschriebenen Weisungsgebundenheit des Auftragsverarbeiters abgeleitet werden kann. Dagegen spricht die Ausweitung der Pflicht zur Führung des Verfahrensverzeichnisses (in der DS-GVO: Verzeichnis der Verarbeitungen) auf den Auftragsverarbeiter. Ebenso gegen die Beibehaltung des Privilegs spricht, dass nicht mehr nur der Auftraggeber (als alleinige verantwortliche Stelle) haftet. Die DSGVO überträgt dem Auftragsverarbeiter eine gegenüber dem BDSG deutlich erhöhte Verantwortung für den Schutz der verarbeiteten Daten und nimmt ihn diesbezüglich auch stärker in die Haftungspflicht.

… oder bleibt es?

Neben diesen Indizien, die gegen eine Beibehaltung des Privilegs sprechen, gibt es auch einige, die für dessen Beibehaltung sprechen. Eines ist die Tatsache, dass die Rolle des Auftragsverarbeiters keine wirklichen Vorteile mehr gegenüber der „normalen“ Übermittlung und Verarbeitung in der Rolle eines weiteren Verantwortlichen hätte. Hintergrund dieser Argumentation ist, dass die Privilegierung im BDSG unter anderem zur Folge hatte, dass für die Weitergabe der Daten an den Auftragsdatenverarbeiter eben keine weitere Rechtsgrundlage zusätzlich zum ADV-Vertrag nach § 11 BDSG benötigt wurde. Ohne Privilegierung müsste auch im Rahmen einer Auftragsverarbeitung eine Rechtsgrundlage für die Übermittlung an den Dienstleister existieren. Hier stellt sich die Frage, welchen Sinn das Konstrukt der Auftragsverarbeitung noch macht, wenn kein Privileg mehr existiert für die Weitergabe der Daten an den Auftragsverarbeiter.

Hilft das BDSG-Nachfolge-Gesetz?

Auch ein Blick in das noch in der Abstimmung befindliche und damit (noch) nicht gültige Nachfolgegesetz bringt keine weitere Sicherheit. Zwar sollen offenbar viele Teile des bisherigen BDSG übernommen werden (zu finden in § 57 BDSG-E [also im Entwurf des Nachfolge-BDSG]) jedoch findet sich nirgendwo ein Hinweis auf Regelungen zur Privilegierung der Auftragsverarbeitung.

Fragen Sie die Aufsichtsbehörde…

Vermutlich werden wir, wie in letzter Zeit schon so häufig gesagt und geschrieben, auch hier die Stellungnahme der Aufsichtsbehörden abwarten müssen.

Wir empfehlen, sich auf die Überarbeitung der Auftragsdatenverarbeitungsverhältnisse einzustellen. Hierzu gehört auch, sich in einem ersten Schritt einen Überblick über die eingesetzten Dienstleister zu verschaffen.