Kurzpapier Nr. 13 Auftragsverarbeitung, Art. 28 DS-GVO

 
NÄCHSTE FOLIEN
Kurzpapier Nr. 13 Auftragsverarbeitung, Art. 28 DS-GVO
Kurzpapier Nr. 13
Auftragsverarbeitung, Art. 28 DS-GVO
Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz –
DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK
die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffas-
sung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen
Datenschutzausschusses.

Begriff des Auftragsverarbeiters                                   che hinausgehen und bei denen dem Empfänger
                                                                   zumindest gewisse Entscheidungsspielräume zur
Auftragsverarbeiter ist nach Art. 4 Nr. 8 DS-GVO
                                                                   Aufgabenerfüllung übertragen wurden. Die Figur
eine Stelle, die personenbezogene Daten im Auftrag
                                                                   der Funktionsübertragung ist jedoch in der DS-GVO
des Verantwortlichen verarbeitet. Der Begriff des
                                                                   nicht vorgesehen. Dies ergibt sich aus der Gesamt-
Verantwortlichen und in der Folge die maßgebliche
                                                                   systematik, insbesondere aus der speziell geregel-
Unterscheidung zwischen Verantwortlichem und
                                                                   ten Figur der gemeinsam Verantwortlichen (Art. 26
Auftragsverarbeiter ist in der DS-GVO nicht vollstän-
                                                                   DS-GVO) sowie aus dem Umstand, dass gewisse
dig deckungsgleich mit dem Wortlaut des BDSG-alt.
                                                                   Entscheidungsspielräume eines Beauftragten - in-
Verantwortlicher ist gemäß Art. 4 Nr. 7 DS-GVO die
                                                                   nerhalb des durch den Verantwortlichen gesteckten
Stelle, die allein oder gemeinsam mit anderen über
                                                                   Rahmens - bezüglich der Mittel der Verarbeitung
die Mittel und Zwecke der Verarbeitung personen-
                                                                   hinsichtlich der technisch-organisatorischen Fragen
bezogener Daten entscheidet. Hierbei kommt es
                                                                   die Auftragsverarbeitung nicht ausschließen (WP
maßgeblich auf die Entscheidung über die Verarbei-
                                                                   169, S. 17f.).
tungszwecke an, während die Entscheidung über
die technisch-organisatorischen Fragen der Verar-
                                                                   Fortbestehende Sonderregelung für Verarbei-
beitung auch auf den Auftragsverarbeiter delegiert
werden kann (vgl. dazu schon WP 169 der Artikel-                   tungen von personenbezogenen Daten im Auf-
29-Gruppe, S. 17f. Dieses Arbeitsdokument bezieht                  trag
sich zwar auf die Rechtslage unter der EU Daten-                   Wie schon bislang besteht auch unter der DS-GVO
schutzrichtlinie 95/46/EG [DS-RL], die grundsätzli-                eine Sonderregelung für Verarbeitungen von perso-
chen Erwägungen zu diesen Fragestellungen sind                     nenbezogenen Daten im Auftrag. Allerdings legt die
aber auch für die Auslegung der DS-GVO heranzieh-                  DS-GVO den Auftragsverarbeitern künftig mehr Ver-
bar1).                                                             antwortung und mehr Pflichten auf.

Unter BDSG-alt wurde häufig in Abgrenzung zur                      Nach Art. 29 DS-GVO ist der aufgrund eines Auftra-
Auftrags(daten)verarbeitung die Figur der sog.                     ges tätige Dienstleister weisungsgebunden. Er führt
Funktionsübertragung verwendet. Bei der Funkti-                    daher die Verarbeitung für den Auftraggeber nicht
onsübertragung wurde anstelle einer Auftrags-                      als Dritter i. S. d. Art. 4 Nr. 10 DS-GVO durch. Es be-
(daten)verarbeitung eine Übermittlung personen-                    steht vielmehr zwischen dem den Auftrag erteilen-
bezogener Daten an Dritte im Zuge des Outsour-                     den Verantwortlichen und seinem Auftragsverarbei-
cings solcher „Funktionen“/Aufgaben angenom-                       ter ein „Innenverhältnis“. Die Verarbeitung durch
men, die über eine bloße Datenverarbeitung als sol-                den Auftragsverarbeiter wird deshalb grundsätzlich
                                                                   dem Verantwortlichen zugerechnet.
1
 http://ec.europa.eu/justice/data-protection/article-
29/documentation/opinion-recommendation/files/2010/wp169_de.pdf
Auftragsverarbeitung                           Stand: 16.01.2018                                            Seite 1
Zu beachten ist, dass die Datenverarbeitung im Auf-         Auskunftsrechten (Art. 15 DS-GVO) der betroffenen
trag auch künftig keine Erlaubnis darstellt, Daten          Person gegenüber dem Verantwortlichen. Empfän-
dem Auftragsverarbeiter zu offenbaren, die auf-             ger von Daten müssen im Verzeichnis von Verarbei-
grund gesetzlicher Geheimhaltungspflichten oder             tungstätigkeiten (vgl. Art. 30 Abs. 1 lit. d DS-GVO)
von Berufs- oder besonderen Amtsgeheimnissen,               geführt werden.
die nicht auf gesetzlichen Vorschriften beruhen,
vertraulich zu behandeln sind (vgl. § 1 Abs. 2 S. 3         Regelungen für Auftragsverarbeitung in Art. 28
BDSG-neu).                                                  DS-GVO
                                                            Die zentrale Vorschrift für Auftragsverarbeiter in
Mit dem „Gesetz zur Neuregelung des Schutzes von
                                                            der DS-GVO ist Art. 28, wonach dem Verantwortli-
Geheimnissen bei der Mitwirkung Dritter an der Be-
                                                            chen gemäß Absatz 1 vor Auftragsvergabe zunächst
rufsausübung schweigepflichtiger Personen“ wur-
                                                            eine Prüfung der Geeignetheit des Auftragsverar-
den jedoch verschiedene Gesetze zu Berufsgeheim-
                                                            beiters auferlegt wird. Der Verantwortliche darf sich
nissen novelliert. So dürfen nunmehr u.a. die in
                                                            danach nur solcher Auftragsverarbeiter bedienen,
§ 203 Abs. 1 oder 2 StGB genannten Berufsgeheim-
                                                            die hinreichende Garantien dafür bieten, dass sie
nisträger zum Beispiel externen Dienstleistern, die
                                                            geeignete technische und organisatorische Maß-
an ihrer beruflichen oder dienstlichen Tätigkeit mit-
                                                            nahmen für einen ausreichenden Datenschutz an-
wirken, Geheimnisse unter den Voraussetzungen
                                                            wenden, so dass die Verarbeitung im Einklang mit
des § 203 Abs. 3 und 4 StGB offenbaren. Im Gegen-
                                                            der DS-GVO erfolgt und den Schutz der Rechte der
zug unterliegt der Auftragsverarbeiter nach § 203
                                                            betroffenen Personen gewährleistet. Zum Beleg sol-
Abs. 4 StGB nunmehr ebenfalls einer auch straf-
                                                            cher Garantien können auch genehmigte Verhal-
rechtlich sanktionierten Verschwiegenheitspflicht.
                                                            tensregeln des Auftragsverarbeiters nach Art. 40
                                                            DS-GVO oder Zertifizierungen nach Art. 42 DS-GVO
Für die Weitergabe von personenbezogenen Daten
                                                            als Faktoren herangezogen werden.
an den Auftragsverarbeiter und die Verarbeitung
durch den Auftragsverarbeiter bedarf es regelmäßig
keiner weiteren Rechtsgrundlage im Sinne von Art.
                                                            Vertrag mit dem Auftragsverarbeiter
6 bis 10 DS-GVO als derjenigen, auf die der Verant-         Wie nach der bisherigen Rechtslage muss der Ver-
wortliche selbst die Verarbeitung stützt.                   antwortliche mit dem Auftragsverarbeiter einen
                                                            Vertrag über die weisungsgebundene Tätigkeit
Möglich ist nach der DS-GVO auch eine Auftrags-             schließen, der schriftlich oder in einem elektroni-
verarbeitung durch Dienstleister außerhalb des EU-          schen Format abgefasst sein kann. Hierfür können
/EWR-Raums, wenn die zusätzlichen Anforderungen             sowohl individuelle Regelungen getroffen, als auch
der Art. 44 ff. DS-GVO für Verarbeitungen in Dritt-         von der EU-Kommission oder von der zuständigen
staaten eingehalten werden (angemessenes Schutz-            Aufsichtsbehörde verabschiedete Standardvertrags-
niveau im Drittstaat, geeignete Garantien nach              klauseln verwendet werden. Für den notwendigen
Art. 46 DS-GVO wie z.B. Standarddatenschutzklau-            Inhalt des Vertrags gilt in großen Teilen das Gleiche
seln, oder Ausnahmetatbestand nach Art. 49 DS-              wie bisher. Die bestehenden Verträge können daher
GVO).                                                       fortgelten, wenn sie den Anforderungen der DS-
                                                            GVO entsprechen oder darüber hinausgehen. Bei-
Auftragsverarbeiter sind Empfänger im Sinne von             spielsweise muss ein Vertrag zur Auftragsverarbei-
Art. 4 Nr. 9 DS-GVO. Die Eigenschaft als Empfänger          tung eine Regelung zur Bereitstellung der Daten be-
führt zu gesonderten Informations- (vgl. u. a. Art. 13      inhalten und die Einhaltung der besonderen Bedin-
Abs. 1 lit. e DS-GVO) und Mitteilungspflichten              gungen für den Einsatz von Subunternehmern re-
(Art. 19 DS-GVO) des Verantwortlichen sowie zu              geln. Unter anderem muss der Vertrag außerdem

Auftragsverarbeitung                    Stand: 16.01.2018                                          Seite 2
vorsehen, dass der Auftragsverarbeiter die gemäß           die Daten des Auftraggebers verordnungswidrig für
Art. 32 DS-GVO erforderlichen Maßnahmen ergreift.          eigene Zwecke oder Zwecke Dritter verarbeitet, gilt
Da der Verantwortliche für die Rechtmäßigkeit der          er nach Art. 28 Abs. 10 DS-GVO insoweit selbst als
Verarbeitung insgesamt verantwortlich ist und              Verantwortlicher – mit allen rechtlichen Folgen, z. B.
bleibt (s. Art. 24 DS-GVO), ist weiterhin anzuraten,       auch der Pflicht zur Erfüllung der Betroffenenrech-
die mindestens erforderlichen technischen und or-          te. Neu hinzugekommen sind in Art. 82 DS-GVO
ganisatorischen Maßnahmen darzustellen.                    auch spezielle Haftungsregelungen für Auftragsver-
                                                           arbeiter bei Datenschutzverletzungen. Demnach
Subunternehmer-Einsatz                                     drohen nun Auftragsverarbeitern bei Verstößen ge-
                                                           gen die in der DS-GVO speziell den Auftragsverar-
Will sich der Auftragsverarbeiter zur Erbringung der
                                                           beitern auferlegten Pflichten Schadensersatzforde-
vereinbarten Dienstleistung Subunternehmen als
                                                           rungen von betroffenen Personen.
weiterer Auftragsverarbeiter bedienen, so bedarf
dies der vorherigen (schriftlichen oder elektroni-
                                                           Des Weiteren besteht für Auftragsverarbeiter die
schen) Genehmigung durch den Verantwortlichen
                                                           neue Pflicht, künftig auch ein Verzeichnis von Ver-
(Art. 28 Abs. 2 DS-GVO). Später beabsichtigte Ände-
                                                           arbeitungstätigkeiten nach Art. 30 Abs. 2 DS-GVO
rungen bei den eingesetzten Subunternehmen muss
                                                           für alle Kategorien von im Auftrag eines Verant-
der Auftragsverarbeiter dem Auftraggeber als Ver-
                                                           wortlichen durchgeführten Tätigkeiten der Verar-
antwortlichem vorher mitteilen, wobei es dem Ver-
                                                           beitung zu führen. Das Verzeichnis muss der Auf-
antwortlichen vorbehalten bleibt, gegen die geplan-
                                                           sichtsbehörde auf Anfrage nach Art. 30 Abs. 4 DS-
te Einbeziehung eines Subunternehmens Einspruch
                                                           GVO, z. B. bei Kontrollen, zur Verfügung gestellt
zu erheben. Kann nach dem Einspruch keine Eini-
                                                           werden.
gung zwischen dem Verantwortlichen und dem Auf-
tragsverarbeiter erreicht werden, hat der Verant-
                                                           Nach Art. 33 Abs. 2 DS-GVO muss ein Auftragsver-
wortliche die Unterbeauftragung per Weisung zu
                                                           arbeiter eine Verletzung des Schutzes personenbe-
unterbinden oder die Auftragsverarbeitung zu be-
                                                           zogener Daten nach Bekanntwerden unverzüglich
enden.
                                                           dem Verantwortlichen melden.

Der Vertrag zwischen dem Auftragsverarbeiter und
                                                           Wartung und Fernzugriffe
dem Subunternehmer muss die gleichen vertragli-
chen Verpflichtungen enthalten, die der Auftrag-           Ist Gegenstand des Vertrages zwischen Verantwort-
nehmer zugunsten des Auftraggebers übernommen              lichem und Auftragsverarbeiter die IT-Wartung oder
hat.                                                       Fernwartung (z. B. Fehleranalysen, Support-Arbei-
                                                           ten in Systemen des Auftraggebers) und besteht in
Neue Verantwortlichkeiten und Pflichten für                diesem Rahmen für den Auftragsverarbeiter die
Auftragsverarbeiter sind insbesondere:                     Notwendigkeit oder Möglichkeit des Zugriffs auf
                                                           personenbezogene Daten, so handelt es sich im
Die Gesamtverantwortung für die Datenverarbei-
                                                           Hinblick auf die weite Definition einer Verarbeitung
tung und Nachweispflicht des Verantwortlichen
                                                           in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen,
nach Art. 5 Abs. 2 DS-GVO umfasst auch die Verar-
                                                           Verwenden) ebenfalls um eine Form oder Teiltätig-
beitung durch den Auftragsverarbeiter. Hiervon
                                                           keit einer Auftragsverarbeitung und die Anforderun-
kann sich der Verantwortliche nicht durch die Be-
                                                           gen des Art. 28 DS-GVO – wie etwa der Abschluss
auftragung eines Auftragsverarbeiters befreien.
                                                           eines Vertrages zur Auftragsverarbeitung – sind um-
                                                           zusetzen. Anders ist dies bei einer rein technischen
Verstößt ein Auftragsverarbeiter gegen die Pflicht
                                                           Wartung der Infrastruktur einer IT durch Dienstleis-
zur weisungsgebundenen Verarbeitung, indem er
                                                           ter (z. B. Arbeiten an Stromzufuhr, Kühlung, Hei-

Auftragsverarbeitung                   Stand: 16.01.2018                                           Seite 3
zung), die nicht zu einer Qualifikation des Dienst-          Prüfung oder Wartung (z. B. Fernwartung, ex-
leisters als Auftragsverarbeiter und einer Anwen-             terner Support) automatisierter Verfahren o-
dung von Art. 28 DS-GVO führen.                               der von Datenverarbeitungsanlagen, wenn bei
                                                              diesen Tätigkeiten ein Zugriff auf personenbe-
Folgen bei Verstößen                                          zogene Daten nicht ausgeschlossen werden
                                                              kann.
Ebenso sind die umfassenden Vorschriften über
                                                             Zentralisierung bestimmter „Shared Services-
Geldbußen in Art. 83 Abs. 4, 5 und 6 DS-GVO zu
                                                              Dienstleistungen“ innerhalb eines Konzerns,
berücksichtigen (bei Verstößen gegen die Vorgaben
                                                              wie Dienstreisen-Planungen oder Reisekosten-
des Art. 28 DS-GVO können Geldbußen von bis zu
                                                              abrechnungen (jedenfalls sofern kein Fall ge-
10.000.000,- Euro oder bis zu 2% des gesamten
                                                              meinsamer Verantwortlichkeit nach Art. 26 DS-
weltweit erzielten Jahresumsatzes des vorangegan-
                                                              GVO vorliegt)
genen Geschäftsjahres eines Unternehmens ver-
hängt werden). Diese Sanktionen können bei Ver-
stößen nicht nur den Verantwortlichen selbst, son-         Anhang B
dern auch den Auftragsverarbeiter treffen, z. B. bei       Keine Auftragsverarbeitung, sondern die Inan-
Verstößen des Auftragsverarbeiters gegen seine             spruchnahme fremder Fachleistungen bei einem ei-
Verpflichtungen aus Art. 28 Abs. 2 bis 4 DS-GVO.           genständig Verantwortlichen, für die bei der Verar-
                                                           beitung (einschließlich Übermittlung) personenbe-
Anhang:                                                    zogener Daten eine Rechtsgrundlage gemäß Art. 6
Anhang A                                                   DS-GVO gegeben sein muss, sind beispielsweise in
                                                           der Regel die Einbeziehung eines
Auftragsverarbeitung können regelmäßig z. B. fol-
gende Dienstleistungen sein:                                 Berufsgeheimnisträgers          (Steuerberater,
                                                              Rechtsanwälte, externe Betriebsärzte, Wirt-
   DV-technische Arbeiten für die Lohn- und Ge-              schaftsprüfer),
    haltsabrechnung oder die Finanzbuchhaltung               Inkassobüros mit Forderungsübertragung,
    durch Rechenzentren,
                                                             Bankinstituts für den Geldtransfer,
   Outsourcing personenbezogener Datenverar-                Postdienstes für den Brieftransport,
    beitung im Rahmen von Cloud-Computing, oh-
    ne dass ein inhaltlicher Datenzugriff des Cloud-
                                                           und vieles mehr.
    Betreibers erforderlich ist,
   Werbeadressenverarbeitung in einem Letter-             Anhang C
    shop,
                                                           Keine Auftragsverarbeitung liegt ferner vor, wenn
   Verarbeitung von Kundendaten durch ein Call-
                                                           gemeinsame Verantwortlichkeit nach Art. 26 DS-
    center ohne wesentliche eigene Entschei-
                                                           GVO gegeben ist, d.h. wenn mehrere Verantwortli-
    dungsspielräume dort,
                                                           che gemeinsam über die Verarbeitungszwecke und
   Auslagerung der E-Mail-Verwaltung oder von
                                                           -mittel entscheiden. Hierunter können je nach Ge-
    sonstigen Datendiensten zu Webseiten (z. B.
                                                           staltung eine Reihe von Verarbeitungen fallen, die
    Betreuung von Kontaktformularen oder Nut-
                                                           bisweilen unter BDSG-alt als sog. Funktionsübertra-
    zeranfragen),
                                                           gung eingestuft wurden, etwa
   Datenerfassung, Datenkonvertierung oder Ein-
    scannen von Dokumenten,
                                                             klinische Arzneimittelstudien, wenn mehrere
   Auslagerung der Backup-Sicherheitsspeiche-
                                                              Mitwirkende (z. B. Sponsor, Studienzentren/
    rung und anderer Archivierungen,
   Datenträgerentsorgung durch Dienstleister,

Auftragsverarbeitung                   Stand: 16.01.2018                                         Seite 4
Ärzte) jeweils in Teilbereichen Entscheidungen
    über die Verarbeitung treffen,
   gemeinsame Verwaltung bestimmter Datenka-
    tegorien (z.B. „Stammdaten“) für bestimmte
    gleichlaufende Geschäftszwecke mehrerer
    Konzernunternehmen.

Auftragsverarbeitung                 Stand: 16.01.2018   Seite 5
Sie können auch lesen
NÄCHSTE FOLIEN ... Stornieren