Kurzpapier Nr. 13 Auftragsverarbeitung, Art. 28 DS-GVO
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Kurzpapier Nr. 13 Auftragsverarbeitung, Art. 28 DS-GVO Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffas- sung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses. Begriff des Auftragsverarbeiters che hinausgehen und bei denen dem Empfänger zumindest gewisse Entscheidungsspielräume zur Auftragsverarbeiter ist nach Art. 4 Nr. 8 DS-GVO Aufgabenerfüllung übertragen wurden. Die Figur eine Stelle, die personenbezogene Daten im Auftrag der Funktionsübertragung ist jedoch in der DS-GVO des Verantwortlichen verarbeitet. Der Begriff des nicht vorgesehen. Dies ergibt sich aus der Gesamt- Verantwortlichen und in der Folge die maßgebliche systematik, insbesondere aus der speziell geregel- Unterscheidung zwischen Verantwortlichem und ten Figur der gemeinsam Verantwortlichen (Art. 26 Auftragsverarbeiter ist in der DS-GVO nicht vollstän- DS-GVO) sowie aus dem Umstand, dass gewisse dig deckungsgleich mit dem Wortlaut des BDSG-alt. Entscheidungsspielräume eines Beauftragten - in- Verantwortlicher ist gemäß Art. 4 Nr. 7 DS-GVO die nerhalb des durch den Verantwortlichen gesteckten Stelle, die allein oder gemeinsam mit anderen über Rahmens - bezüglich der Mittel der Verarbeitung die Mittel und Zwecke der Verarbeitung personen- hinsichtlich der technisch-organisatorischen Fragen bezogener Daten entscheidet. Hierbei kommt es die Auftragsverarbeitung nicht ausschließen (WP maßgeblich auf die Entscheidung über die Verarbei- 169, S. 17f.). tungszwecke an, während die Entscheidung über die technisch-organisatorischen Fragen der Verar- Fortbestehende Sonderregelung für Verarbei- beitung auch auf den Auftragsverarbeiter delegiert werden kann (vgl. dazu schon WP 169 der Artikel- tungen von personenbezogenen Daten im Auf- 29-Gruppe, S. 17f. Dieses Arbeitsdokument bezieht trag sich zwar auf die Rechtslage unter der EU Daten- Wie schon bislang besteht auch unter der DS-GVO schutzrichtlinie 95/46/EG [DS-RL], die grundsätzli- eine Sonderregelung für Verarbeitungen von perso- chen Erwägungen zu diesen Fragestellungen sind nenbezogenen Daten im Auftrag. Allerdings legt die aber auch für die Auslegung der DS-GVO heranzieh- DS-GVO den Auftragsverarbeitern künftig mehr Ver- bar1). antwortung und mehr Pflichten auf. Unter BDSG-alt wurde häufig in Abgrenzung zur Nach Art. 29 DS-GVO ist der aufgrund eines Auftra- Auftrags(daten)verarbeitung die Figur der sog. ges tätige Dienstleister weisungsgebunden. Er führt Funktionsübertragung verwendet. Bei der Funkti- daher die Verarbeitung für den Auftraggeber nicht onsübertragung wurde anstelle einer Auftrags- als Dritter i. S. d. Art. 4 Nr. 10 DS-GVO durch. Es be- (daten)verarbeitung eine Übermittlung personen- steht vielmehr zwischen dem den Auftrag erteilen- bezogener Daten an Dritte im Zuge des Outsour- den Verantwortlichen und seinem Auftragsverarbei- cings solcher „Funktionen“/Aufgaben angenom- ter ein „Innenverhältnis“. Die Verarbeitung durch men, die über eine bloße Datenverarbeitung als sol- den Auftragsverarbeiter wird deshalb grundsätzlich dem Verantwortlichen zugerechnet. 1 http://ec.europa.eu/justice/data-protection/article- 29/documentation/opinion-recommendation/files/2010/wp169_de.pdf Auftragsverarbeitung Stand: 16.01.2018 Seite 1
Zu beachten ist, dass die Datenverarbeitung im Auf- Auskunftsrechten (Art. 15 DS-GVO) der betroffenen trag auch künftig keine Erlaubnis darstellt, Daten Person gegenüber dem Verantwortlichen. Empfän- dem Auftragsverarbeiter zu offenbaren, die auf- ger von Daten müssen im Verzeichnis von Verarbei- grund gesetzlicher Geheimhaltungspflichten oder tungstätigkeiten (vgl. Art. 30 Abs. 1 lit. d DS-GVO) von Berufs- oder besonderen Amtsgeheimnissen, geführt werden. die nicht auf gesetzlichen Vorschriften beruhen, vertraulich zu behandeln sind (vgl. § 1 Abs. 2 S. 3 Regelungen für Auftragsverarbeitung in Art. 28 BDSG-neu). DS-GVO Die zentrale Vorschrift für Auftragsverarbeiter in Mit dem „Gesetz zur Neuregelung des Schutzes von der DS-GVO ist Art. 28, wonach dem Verantwortli- Geheimnissen bei der Mitwirkung Dritter an der Be- chen gemäß Absatz 1 vor Auftragsvergabe zunächst rufsausübung schweigepflichtiger Personen“ wur- eine Prüfung der Geeignetheit des Auftragsverar- den jedoch verschiedene Gesetze zu Berufsgeheim- beiters auferlegt wird. Der Verantwortliche darf sich nissen novelliert. So dürfen nunmehr u.a. die in danach nur solcher Auftragsverarbeiter bedienen, § 203 Abs. 1 oder 2 StGB genannten Berufsgeheim- die hinreichende Garantien dafür bieten, dass sie nisträger zum Beispiel externen Dienstleistern, die geeignete technische und organisatorische Maß- an ihrer beruflichen oder dienstlichen Tätigkeit mit- nahmen für einen ausreichenden Datenschutz an- wirken, Geheimnisse unter den Voraussetzungen wenden, so dass die Verarbeitung im Einklang mit des § 203 Abs. 3 und 4 StGB offenbaren. Im Gegen- der DS-GVO erfolgt und den Schutz der Rechte der zug unterliegt der Auftragsverarbeiter nach § 203 betroffenen Personen gewährleistet. Zum Beleg sol- Abs. 4 StGB nunmehr ebenfalls einer auch straf- cher Garantien können auch genehmigte Verhal- rechtlich sanktionierten Verschwiegenheitspflicht. tensregeln des Auftragsverarbeiters nach Art. 40 DS-GVO oder Zertifizierungen nach Art. 42 DS-GVO Für die Weitergabe von personenbezogenen Daten als Faktoren herangezogen werden. an den Auftragsverarbeiter und die Verarbeitung durch den Auftragsverarbeiter bedarf es regelmäßig keiner weiteren Rechtsgrundlage im Sinne von Art. Vertrag mit dem Auftragsverarbeiter 6 bis 10 DS-GVO als derjenigen, auf die der Verant- Wie nach der bisherigen Rechtslage muss der Ver- wortliche selbst die Verarbeitung stützt. antwortliche mit dem Auftragsverarbeiter einen Vertrag über die weisungsgebundene Tätigkeit Möglich ist nach der DS-GVO auch eine Auftrags- schließen, der schriftlich oder in einem elektroni- verarbeitung durch Dienstleister außerhalb des EU- schen Format abgefasst sein kann. Hierfür können /EWR-Raums, wenn die zusätzlichen Anforderungen sowohl individuelle Regelungen getroffen, als auch der Art. 44 ff. DS-GVO für Verarbeitungen in Dritt- von der EU-Kommission oder von der zuständigen staaten eingehalten werden (angemessenes Schutz- Aufsichtsbehörde verabschiedete Standardvertrags- niveau im Drittstaat, geeignete Garantien nach klauseln verwendet werden. Für den notwendigen Art. 46 DS-GVO wie z.B. Standarddatenschutzklau- Inhalt des Vertrags gilt in großen Teilen das Gleiche seln, oder Ausnahmetatbestand nach Art. 49 DS- wie bisher. Die bestehenden Verträge können daher GVO). fortgelten, wenn sie den Anforderungen der DS- GVO entsprechen oder darüber hinausgehen. Bei- Auftragsverarbeiter sind Empfänger im Sinne von spielsweise muss ein Vertrag zur Auftragsverarbei- Art. 4 Nr. 9 DS-GVO. Die Eigenschaft als Empfänger tung eine Regelung zur Bereitstellung der Daten be- führt zu gesonderten Informations- (vgl. u. a. Art. 13 inhalten und die Einhaltung der besonderen Bedin- Abs. 1 lit. e DS-GVO) und Mitteilungspflichten gungen für den Einsatz von Subunternehmern re- (Art. 19 DS-GVO) des Verantwortlichen sowie zu geln. Unter anderem muss der Vertrag außerdem Auftragsverarbeitung Stand: 16.01.2018 Seite 2
vorsehen, dass der Auftragsverarbeiter die gemäß die Daten des Auftraggebers verordnungswidrig für Art. 32 DS-GVO erforderlichen Maßnahmen ergreift. eigene Zwecke oder Zwecke Dritter verarbeitet, gilt Da der Verantwortliche für die Rechtmäßigkeit der er nach Art. 28 Abs. 10 DS-GVO insoweit selbst als Verarbeitung insgesamt verantwortlich ist und Verantwortlicher – mit allen rechtlichen Folgen, z. B. bleibt (s. Art. 24 DS-GVO), ist weiterhin anzuraten, auch der Pflicht zur Erfüllung der Betroffenenrech- die mindestens erforderlichen technischen und or- te. Neu hinzugekommen sind in Art. 82 DS-GVO ganisatorischen Maßnahmen darzustellen. auch spezielle Haftungsregelungen für Auftragsver- arbeiter bei Datenschutzverletzungen. Demnach Subunternehmer-Einsatz drohen nun Auftragsverarbeitern bei Verstößen ge- gen die in der DS-GVO speziell den Auftragsverar- Will sich der Auftragsverarbeiter zur Erbringung der beitern auferlegten Pflichten Schadensersatzforde- vereinbarten Dienstleistung Subunternehmen als rungen von betroffenen Personen. weiterer Auftragsverarbeiter bedienen, so bedarf dies der vorherigen (schriftlichen oder elektroni- Des Weiteren besteht für Auftragsverarbeiter die schen) Genehmigung durch den Verantwortlichen neue Pflicht, künftig auch ein Verzeichnis von Ver- (Art. 28 Abs. 2 DS-GVO). Später beabsichtigte Ände- arbeitungstätigkeiten nach Art. 30 Abs. 2 DS-GVO rungen bei den eingesetzten Subunternehmen muss für alle Kategorien von im Auftrag eines Verant- der Auftragsverarbeiter dem Auftraggeber als Ver- wortlichen durchgeführten Tätigkeiten der Verar- antwortlichem vorher mitteilen, wobei es dem Ver- beitung zu führen. Das Verzeichnis muss der Auf- antwortlichen vorbehalten bleibt, gegen die geplan- sichtsbehörde auf Anfrage nach Art. 30 Abs. 4 DS- te Einbeziehung eines Subunternehmens Einspruch GVO, z. B. bei Kontrollen, zur Verfügung gestellt zu erheben. Kann nach dem Einspruch keine Eini- werden. gung zwischen dem Verantwortlichen und dem Auf- tragsverarbeiter erreicht werden, hat der Verant- Nach Art. 33 Abs. 2 DS-GVO muss ein Auftragsver- wortliche die Unterbeauftragung per Weisung zu arbeiter eine Verletzung des Schutzes personenbe- unterbinden oder die Auftragsverarbeitung zu be- zogener Daten nach Bekanntwerden unverzüglich enden. dem Verantwortlichen melden. Der Vertrag zwischen dem Auftragsverarbeiter und Wartung und Fernzugriffe dem Subunternehmer muss die gleichen vertragli- chen Verpflichtungen enthalten, die der Auftrag- Ist Gegenstand des Vertrages zwischen Verantwort- nehmer zugunsten des Auftraggebers übernommen lichem und Auftragsverarbeiter die IT-Wartung oder hat. Fernwartung (z. B. Fehleranalysen, Support-Arbei- ten in Systemen des Auftraggebers) und besteht in Neue Verantwortlichkeiten und Pflichten für diesem Rahmen für den Auftragsverarbeiter die Auftragsverarbeiter sind insbesondere: Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Die Gesamtverantwortung für die Datenverarbei- Hinblick auf die weite Definition einer Verarbeitung tung und Nachweispflicht des Verantwortlichen in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, nach Art. 5 Abs. 2 DS-GVO umfasst auch die Verar- Verwenden) ebenfalls um eine Form oder Teiltätig- beitung durch den Auftragsverarbeiter. Hiervon keit einer Auftragsverarbeitung und die Anforderun- kann sich der Verantwortliche nicht durch die Be- gen des Art. 28 DS-GVO – wie etwa der Abschluss auftragung eines Auftragsverarbeiters befreien. eines Vertrages zur Auftragsverarbeitung – sind um- zusetzen. Anders ist dies bei einer rein technischen Verstößt ein Auftragsverarbeiter gegen die Pflicht Wartung der Infrastruktur einer IT durch Dienstleis- zur weisungsgebundenen Verarbeitung, indem er ter (z. B. Arbeiten an Stromzufuhr, Kühlung, Hei- Auftragsverarbeitung Stand: 16.01.2018 Seite 3
zung), die nicht zu einer Qualifikation des Dienst- Prüfung oder Wartung (z. B. Fernwartung, ex- leisters als Auftragsverarbeiter und einer Anwen- terner Support) automatisierter Verfahren o- dung von Art. 28 DS-GVO führen. der von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbe- Folgen bei Verstößen zogene Daten nicht ausgeschlossen werden kann. Ebenso sind die umfassenden Vorschriften über Zentralisierung bestimmter „Shared Services- Geldbußen in Art. 83 Abs. 4, 5 und 6 DS-GVO zu Dienstleistungen“ innerhalb eines Konzerns, berücksichtigen (bei Verstößen gegen die Vorgaben wie Dienstreisen-Planungen oder Reisekosten- des Art. 28 DS-GVO können Geldbußen von bis zu abrechnungen (jedenfalls sofern kein Fall ge- 10.000.000,- Euro oder bis zu 2% des gesamten meinsamer Verantwortlichkeit nach Art. 26 DS- weltweit erzielten Jahresumsatzes des vorangegan- GVO vorliegt) genen Geschäftsjahres eines Unternehmens ver- hängt werden). Diese Sanktionen können bei Ver- stößen nicht nur den Verantwortlichen selbst, son- Anhang B dern auch den Auftragsverarbeiter treffen, z. B. bei Keine Auftragsverarbeitung, sondern die Inan- Verstößen des Auftragsverarbeiters gegen seine spruchnahme fremder Fachleistungen bei einem ei- Verpflichtungen aus Art. 28 Abs. 2 bis 4 DS-GVO. genständig Verantwortlichen, für die bei der Verar- beitung (einschließlich Übermittlung) personenbe- Anhang: zogener Daten eine Rechtsgrundlage gemäß Art. 6 Anhang A DS-GVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines Auftragsverarbeitung können regelmäßig z. B. fol- gende Dienstleistungen sein: Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirt- DV-technische Arbeiten für die Lohn- und Ge- schaftsprüfer), haltsabrechnung oder die Finanzbuchhaltung Inkassobüros mit Forderungsübertragung, durch Rechenzentren, Bankinstituts für den Geldtransfer, Outsourcing personenbezogener Datenverar- Postdienstes für den Brieftransport, beitung im Rahmen von Cloud-Computing, oh- ne dass ein inhaltlicher Datenzugriff des Cloud- und vieles mehr. Betreibers erforderlich ist, Werbeadressenverarbeitung in einem Letter- Anhang C shop, Keine Auftragsverarbeitung liegt ferner vor, wenn Verarbeitung von Kundendaten durch ein Call- gemeinsame Verantwortlichkeit nach Art. 26 DS- center ohne wesentliche eigene Entschei- GVO gegeben ist, d.h. wenn mehrere Verantwortli- dungsspielräume dort, che gemeinsam über die Verarbeitungszwecke und Auslagerung der E-Mail-Verwaltung oder von -mittel entscheiden. Hierunter können je nach Ge- sonstigen Datendiensten zu Webseiten (z. B. staltung eine Reihe von Verarbeitungen fallen, die Betreuung von Kontaktformularen oder Nut- bisweilen unter BDSG-alt als sog. Funktionsübertra- zeranfragen), gung eingestuft wurden, etwa Datenerfassung, Datenkonvertierung oder Ein- scannen von Dokumenten, klinische Arzneimittelstudien, wenn mehrere Auslagerung der Backup-Sicherheitsspeiche- Mitwirkende (z. B. Sponsor, Studienzentren/ rung und anderer Archivierungen, Datenträgerentsorgung durch Dienstleister, Auftragsverarbeitung Stand: 16.01.2018 Seite 4
Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen, gemeinsame Verwaltung bestimmter Datenka- tegorien (z.B. „Stammdaten“) für bestimmte gleichlaufende Geschäftszwecke mehrerer Konzernunternehmen. Auftragsverarbeitung Stand: 16.01.2018 Seite 5
Sie können auch lesen