Kurzpapier Nr. 13 Auftragsverarbeitung, Art. 28 DS-GVO
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Kurzpapier Nr. 13
Auftragsverarbeitung, Art. 28 DS-GVO
Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz –
DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK
die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffas-
sung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen
Datenschutzausschusses.
Begriff des Auftragsverarbeiters che hinausgehen und bei denen dem Empfänger
zumindest gewisse Entscheidungsspielräume zur
Auftragsverarbeiter ist nach Art. 4 Nr. 8 DS-GVO
Aufgabenerfüllung übertragen wurden. Die Figur
eine Stelle, die personenbezogene Daten im Auftrag
der Funktionsübertragung ist jedoch in der DS-GVO
des Verantwortlichen verarbeitet. Der Begriff des
nicht vorgesehen. Dies ergibt sich aus der Gesamt-
Verantwortlichen und in der Folge die maßgebliche
systematik, insbesondere aus der speziell geregel-
Unterscheidung zwischen Verantwortlichem und
ten Figur der gemeinsam Verantwortlichen (Art. 26
Auftragsverarbeiter ist in der DS-GVO nicht vollstän-
DS-GVO) sowie aus dem Umstand, dass gewisse
dig deckungsgleich mit dem Wortlaut des BDSG-alt.
Entscheidungsspielräume eines Beauftragten - in-
Verantwortlicher ist gemäß Art. 4 Nr. 7 DS-GVO die
nerhalb des durch den Verantwortlichen gesteckten
Stelle, die allein oder gemeinsam mit anderen über
Rahmens - bezüglich der Mittel der Verarbeitung
die Mittel und Zwecke der Verarbeitung personen-
hinsichtlich der technisch-organisatorischen Fragen
bezogener Daten entscheidet. Hierbei kommt es
die Auftragsverarbeitung nicht ausschließen (WP
maßgeblich auf die Entscheidung über die Verarbei-
169, S. 17f.).
tungszwecke an, während die Entscheidung über
die technisch-organisatorischen Fragen der Verar-
Fortbestehende Sonderregelung für Verarbei-
beitung auch auf den Auftragsverarbeiter delegiert
werden kann (vgl. dazu schon WP 169 der Artikel- tungen von personenbezogenen Daten im Auf-
29-Gruppe, S. 17f. Dieses Arbeitsdokument bezieht trag
sich zwar auf die Rechtslage unter der EU Daten- Wie schon bislang besteht auch unter der DS-GVO
schutzrichtlinie 95/46/EG [DS-RL], die grundsätzli- eine Sonderregelung für Verarbeitungen von perso-
chen Erwägungen zu diesen Fragestellungen sind nenbezogenen Daten im Auftrag. Allerdings legt die
aber auch für die Auslegung der DS-GVO heranzieh- DS-GVO den Auftragsverarbeitern künftig mehr Ver-
bar1). antwortung und mehr Pflichten auf.
Unter BDSG-alt wurde häufig in Abgrenzung zur Nach Art. 29 DS-GVO ist der aufgrund eines Auftra-
Auftrags(daten)verarbeitung die Figur der sog. ges tätige Dienstleister weisungsgebunden. Er führt
Funktionsübertragung verwendet. Bei der Funkti- daher die Verarbeitung für den Auftraggeber nicht
onsübertragung wurde anstelle einer Auftrags- als Dritter i. S. d. Art. 4 Nr. 10 DS-GVO durch. Es be-
(daten)verarbeitung eine Übermittlung personen- steht vielmehr zwischen dem den Auftrag erteilen-
bezogener Daten an Dritte im Zuge des Outsour- den Verantwortlichen und seinem Auftragsverarbei-
cings solcher „Funktionen“/Aufgaben angenom- ter ein „Innenverhältnis“. Die Verarbeitung durch
men, die über eine bloße Datenverarbeitung als sol- den Auftragsverarbeiter wird deshalb grundsätzlich
dem Verantwortlichen zugerechnet.
1
http://ec.europa.eu/justice/data-protection/article-
29/documentation/opinion-recommendation/files/2010/wp169_de.pdf
Auftragsverarbeitung Stand: 16.01.2018 Seite 1Zu beachten ist, dass die Datenverarbeitung im Auf- Auskunftsrechten (Art. 15 DS-GVO) der betroffenen
trag auch künftig keine Erlaubnis darstellt, Daten Person gegenüber dem Verantwortlichen. Empfän-
dem Auftragsverarbeiter zu offenbaren, die auf- ger von Daten müssen im Verzeichnis von Verarbei-
grund gesetzlicher Geheimhaltungspflichten oder tungstätigkeiten (vgl. Art. 30 Abs. 1 lit. d DS-GVO)
von Berufs- oder besonderen Amtsgeheimnissen, geführt werden.
die nicht auf gesetzlichen Vorschriften beruhen,
vertraulich zu behandeln sind (vgl. § 1 Abs. 2 S. 3 Regelungen für Auftragsverarbeitung in Art. 28
BDSG-neu). DS-GVO
Die zentrale Vorschrift für Auftragsverarbeiter in
Mit dem „Gesetz zur Neuregelung des Schutzes von
der DS-GVO ist Art. 28, wonach dem Verantwortli-
Geheimnissen bei der Mitwirkung Dritter an der Be-
chen gemäß Absatz 1 vor Auftragsvergabe zunächst
rufsausübung schweigepflichtiger Personen“ wur-
eine Prüfung der Geeignetheit des Auftragsverar-
den jedoch verschiedene Gesetze zu Berufsgeheim-
beiters auferlegt wird. Der Verantwortliche darf sich
nissen novelliert. So dürfen nunmehr u.a. die in
danach nur solcher Auftragsverarbeiter bedienen,
§ 203 Abs. 1 oder 2 StGB genannten Berufsgeheim-
die hinreichende Garantien dafür bieten, dass sie
nisträger zum Beispiel externen Dienstleistern, die
geeignete technische und organisatorische Maß-
an ihrer beruflichen oder dienstlichen Tätigkeit mit-
nahmen für einen ausreichenden Datenschutz an-
wirken, Geheimnisse unter den Voraussetzungen
wenden, so dass die Verarbeitung im Einklang mit
des § 203 Abs. 3 und 4 StGB offenbaren. Im Gegen-
der DS-GVO erfolgt und den Schutz der Rechte der
zug unterliegt der Auftragsverarbeiter nach § 203
betroffenen Personen gewährleistet. Zum Beleg sol-
Abs. 4 StGB nunmehr ebenfalls einer auch straf-
cher Garantien können auch genehmigte Verhal-
rechtlich sanktionierten Verschwiegenheitspflicht.
tensregeln des Auftragsverarbeiters nach Art. 40
DS-GVO oder Zertifizierungen nach Art. 42 DS-GVO
Für die Weitergabe von personenbezogenen Daten
als Faktoren herangezogen werden.
an den Auftragsverarbeiter und die Verarbeitung
durch den Auftragsverarbeiter bedarf es regelmäßig
keiner weiteren Rechtsgrundlage im Sinne von Art.
Vertrag mit dem Auftragsverarbeiter
6 bis 10 DS-GVO als derjenigen, auf die der Verant- Wie nach der bisherigen Rechtslage muss der Ver-
wortliche selbst die Verarbeitung stützt. antwortliche mit dem Auftragsverarbeiter einen
Vertrag über die weisungsgebundene Tätigkeit
Möglich ist nach der DS-GVO auch eine Auftrags- schließen, der schriftlich oder in einem elektroni-
verarbeitung durch Dienstleister außerhalb des EU- schen Format abgefasst sein kann. Hierfür können
/EWR-Raums, wenn die zusätzlichen Anforderungen sowohl individuelle Regelungen getroffen, als auch
der Art. 44 ff. DS-GVO für Verarbeitungen in Dritt- von der EU-Kommission oder von der zuständigen
staaten eingehalten werden (angemessenes Schutz- Aufsichtsbehörde verabschiedete Standardvertrags-
niveau im Drittstaat, geeignete Garantien nach klauseln verwendet werden. Für den notwendigen
Art. 46 DS-GVO wie z.B. Standarddatenschutzklau- Inhalt des Vertrags gilt in großen Teilen das Gleiche
seln, oder Ausnahmetatbestand nach Art. 49 DS- wie bisher. Die bestehenden Verträge können daher
GVO). fortgelten, wenn sie den Anforderungen der DS-
GVO entsprechen oder darüber hinausgehen. Bei-
Auftragsverarbeiter sind Empfänger im Sinne von spielsweise muss ein Vertrag zur Auftragsverarbei-
Art. 4 Nr. 9 DS-GVO. Die Eigenschaft als Empfänger tung eine Regelung zur Bereitstellung der Daten be-
führt zu gesonderten Informations- (vgl. u. a. Art. 13 inhalten und die Einhaltung der besonderen Bedin-
Abs. 1 lit. e DS-GVO) und Mitteilungspflichten gungen für den Einsatz von Subunternehmern re-
(Art. 19 DS-GVO) des Verantwortlichen sowie zu geln. Unter anderem muss der Vertrag außerdem
Auftragsverarbeitung Stand: 16.01.2018 Seite 2vorsehen, dass der Auftragsverarbeiter die gemäß die Daten des Auftraggebers verordnungswidrig für
Art. 32 DS-GVO erforderlichen Maßnahmen ergreift. eigene Zwecke oder Zwecke Dritter verarbeitet, gilt
Da der Verantwortliche für die Rechtmäßigkeit der er nach Art. 28 Abs. 10 DS-GVO insoweit selbst als
Verarbeitung insgesamt verantwortlich ist und Verantwortlicher – mit allen rechtlichen Folgen, z. B.
bleibt (s. Art. 24 DS-GVO), ist weiterhin anzuraten, auch der Pflicht zur Erfüllung der Betroffenenrech-
die mindestens erforderlichen technischen und or- te. Neu hinzugekommen sind in Art. 82 DS-GVO
ganisatorischen Maßnahmen darzustellen. auch spezielle Haftungsregelungen für Auftragsver-
arbeiter bei Datenschutzverletzungen. Demnach
Subunternehmer-Einsatz drohen nun Auftragsverarbeitern bei Verstößen ge-
gen die in der DS-GVO speziell den Auftragsverar-
Will sich der Auftragsverarbeiter zur Erbringung der
beitern auferlegten Pflichten Schadensersatzforde-
vereinbarten Dienstleistung Subunternehmen als
rungen von betroffenen Personen.
weiterer Auftragsverarbeiter bedienen, so bedarf
dies der vorherigen (schriftlichen oder elektroni-
Des Weiteren besteht für Auftragsverarbeiter die
schen) Genehmigung durch den Verantwortlichen
neue Pflicht, künftig auch ein Verzeichnis von Ver-
(Art. 28 Abs. 2 DS-GVO). Später beabsichtigte Ände-
arbeitungstätigkeiten nach Art. 30 Abs. 2 DS-GVO
rungen bei den eingesetzten Subunternehmen muss
für alle Kategorien von im Auftrag eines Verant-
der Auftragsverarbeiter dem Auftraggeber als Ver-
wortlichen durchgeführten Tätigkeiten der Verar-
antwortlichem vorher mitteilen, wobei es dem Ver-
beitung zu führen. Das Verzeichnis muss der Auf-
antwortlichen vorbehalten bleibt, gegen die geplan-
sichtsbehörde auf Anfrage nach Art. 30 Abs. 4 DS-
te Einbeziehung eines Subunternehmens Einspruch
GVO, z. B. bei Kontrollen, zur Verfügung gestellt
zu erheben. Kann nach dem Einspruch keine Eini-
werden.
gung zwischen dem Verantwortlichen und dem Auf-
tragsverarbeiter erreicht werden, hat der Verant-
Nach Art. 33 Abs. 2 DS-GVO muss ein Auftragsver-
wortliche die Unterbeauftragung per Weisung zu
arbeiter eine Verletzung des Schutzes personenbe-
unterbinden oder die Auftragsverarbeitung zu be-
zogener Daten nach Bekanntwerden unverzüglich
enden.
dem Verantwortlichen melden.
Der Vertrag zwischen dem Auftragsverarbeiter und
Wartung und Fernzugriffe
dem Subunternehmer muss die gleichen vertragli-
chen Verpflichtungen enthalten, die der Auftrag- Ist Gegenstand des Vertrages zwischen Verantwort-
nehmer zugunsten des Auftraggebers übernommen lichem und Auftragsverarbeiter die IT-Wartung oder
hat. Fernwartung (z. B. Fehleranalysen, Support-Arbei-
ten in Systemen des Auftraggebers) und besteht in
Neue Verantwortlichkeiten und Pflichten für diesem Rahmen für den Auftragsverarbeiter die
Auftragsverarbeiter sind insbesondere: Notwendigkeit oder Möglichkeit des Zugriffs auf
personenbezogene Daten, so handelt es sich im
Die Gesamtverantwortung für die Datenverarbei-
Hinblick auf die weite Definition einer Verarbeitung
tung und Nachweispflicht des Verantwortlichen
in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen,
nach Art. 5 Abs. 2 DS-GVO umfasst auch die Verar-
Verwenden) ebenfalls um eine Form oder Teiltätig-
beitung durch den Auftragsverarbeiter. Hiervon
keit einer Auftragsverarbeitung und die Anforderun-
kann sich der Verantwortliche nicht durch die Be-
gen des Art. 28 DS-GVO – wie etwa der Abschluss
auftragung eines Auftragsverarbeiters befreien.
eines Vertrages zur Auftragsverarbeitung – sind um-
zusetzen. Anders ist dies bei einer rein technischen
Verstößt ein Auftragsverarbeiter gegen die Pflicht
Wartung der Infrastruktur einer IT durch Dienstleis-
zur weisungsgebundenen Verarbeitung, indem er
ter (z. B. Arbeiten an Stromzufuhr, Kühlung, Hei-
Auftragsverarbeitung Stand: 16.01.2018 Seite 3zung), die nicht zu einer Qualifikation des Dienst- Prüfung oder Wartung (z. B. Fernwartung, ex-
leisters als Auftragsverarbeiter und einer Anwen- terner Support) automatisierter Verfahren o-
dung von Art. 28 DS-GVO führen. der von Datenverarbeitungsanlagen, wenn bei
diesen Tätigkeiten ein Zugriff auf personenbe-
Folgen bei Verstößen zogene Daten nicht ausgeschlossen werden
kann.
Ebenso sind die umfassenden Vorschriften über
Zentralisierung bestimmter „Shared Services-
Geldbußen in Art. 83 Abs. 4, 5 und 6 DS-GVO zu
Dienstleistungen“ innerhalb eines Konzerns,
berücksichtigen (bei Verstößen gegen die Vorgaben
wie Dienstreisen-Planungen oder Reisekosten-
des Art. 28 DS-GVO können Geldbußen von bis zu
abrechnungen (jedenfalls sofern kein Fall ge-
10.000.000,- Euro oder bis zu 2% des gesamten
meinsamer Verantwortlichkeit nach Art. 26 DS-
weltweit erzielten Jahresumsatzes des vorangegan-
GVO vorliegt)
genen Geschäftsjahres eines Unternehmens ver-
hängt werden). Diese Sanktionen können bei Ver-
stößen nicht nur den Verantwortlichen selbst, son- Anhang B
dern auch den Auftragsverarbeiter treffen, z. B. bei Keine Auftragsverarbeitung, sondern die Inan-
Verstößen des Auftragsverarbeiters gegen seine spruchnahme fremder Fachleistungen bei einem ei-
Verpflichtungen aus Art. 28 Abs. 2 bis 4 DS-GVO. genständig Verantwortlichen, für die bei der Verar-
beitung (einschließlich Übermittlung) personenbe-
Anhang: zogener Daten eine Rechtsgrundlage gemäß Art. 6
Anhang A DS-GVO gegeben sein muss, sind beispielsweise in
der Regel die Einbeziehung eines
Auftragsverarbeitung können regelmäßig z. B. fol-
gende Dienstleistungen sein: Berufsgeheimnisträgers (Steuerberater,
Rechtsanwälte, externe Betriebsärzte, Wirt-
DV-technische Arbeiten für die Lohn- und Ge- schaftsprüfer),
haltsabrechnung oder die Finanzbuchhaltung Inkassobüros mit Forderungsübertragung,
durch Rechenzentren,
Bankinstituts für den Geldtransfer,
Outsourcing personenbezogener Datenverar- Postdienstes für den Brieftransport,
beitung im Rahmen von Cloud-Computing, oh-
ne dass ein inhaltlicher Datenzugriff des Cloud-
und vieles mehr.
Betreibers erforderlich ist,
Werbeadressenverarbeitung in einem Letter- Anhang C
shop,
Keine Auftragsverarbeitung liegt ferner vor, wenn
Verarbeitung von Kundendaten durch ein Call-
gemeinsame Verantwortlichkeit nach Art. 26 DS-
center ohne wesentliche eigene Entschei-
GVO gegeben ist, d.h. wenn mehrere Verantwortli-
dungsspielräume dort,
che gemeinsam über die Verarbeitungszwecke und
Auslagerung der E-Mail-Verwaltung oder von
-mittel entscheiden. Hierunter können je nach Ge-
sonstigen Datendiensten zu Webseiten (z. B.
staltung eine Reihe von Verarbeitungen fallen, die
Betreuung von Kontaktformularen oder Nut-
bisweilen unter BDSG-alt als sog. Funktionsübertra-
zeranfragen),
gung eingestuft wurden, etwa
Datenerfassung, Datenkonvertierung oder Ein-
scannen von Dokumenten,
klinische Arzneimittelstudien, wenn mehrere
Auslagerung der Backup-Sicherheitsspeiche-
Mitwirkende (z. B. Sponsor, Studienzentren/
rung und anderer Archivierungen,
Datenträgerentsorgung durch Dienstleister,
Auftragsverarbeitung Stand: 16.01.2018 Seite 4Ärzte) jeweils in Teilbereichen Entscheidungen
über die Verarbeitung treffen,
gemeinsame Verwaltung bestimmter Datenka-
tegorien (z.B. „Stammdaten“) für bestimmte
gleichlaufende Geschäftszwecke mehrerer
Konzernunternehmen.
Auftragsverarbeitung Stand: 16.01.2018 Seite 5Sie können auch lesen
