(MES) Fest steht, ab dem 25. Mai 2018 gilt ein neues Datenschutzrecht in ganz Europa. Jedoch sind viele Unternehmen und Datenschutzbeauftragte sehr verunsichert, was die neuen Spielregeln eigentlich für sie konkret bedeuten und welche Herausforderungen in der „Übergangszeit“ auf sie warten oder wie sie diese bewältigen sollen. Um hier Abhilfe zu leisten, befasst sich der aktuelle Newsletter mit einem äußerst praxisrelevanten Thema: der Auftragsverarbeitung.

Mit der Datenschutz-Grundverordnung (DS-GVO) wird aus der bisherigen Auftragsdatenverarbeitung (ADV) die europaweit einheitlich geregelte Auftragsverarbeitung (AV). Neben dieser sprachlichen Neuerung, ähneln die Bestimmungen der DS-GVO zwar weitgehend den bisherigen Regelungen aus dem Bundesdatenschutzgesetz (BDSG), allerdings gibt es einige bedeutsame inhaltliche Neuregelungen.

Was ist Auftragsverarbeitung?

Der Begriff Auftragsverarbeiter wird in Art. 4 Nr. 8 DS-GVO definiert. Demnach ist ein Auftragsverarbeiter „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Dieser Definition nach wird ab der Anwendbarkeit der DS-GVO im Mai nächsten Jahres lediglich auf das Vorliegen eines Auftragsverhältnisses abgestellt. Die wesentlichen Aspekte der bisherigen Definition der ADV im BDSG – die Verantwortung des Auftraggebers für die Verarbeitung und die Weisungsgebundenheit des Auftragsdatenverarbeiters – erfahren somit allein schon per Definition der DS-GVO nach eine neue Gewichtung. Der Verantwortliche ist nach der in Art. 4 Nr. 7 DS-GVO enthaltenen Formulierung „die natürliche oder juristische Person, Behörde Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“

Veränderte Rahmenbedingungen

Wie bisher ist eine vertragliche Regelung zwischen dem Auftragnehmer – sprich dem Auftragsverarbeiter – und dem Auftraggeber – also dem für die Verarbeitung Verantwortlichen – erforderlich. Dieser AV-Vertrag ist jedoch ab Mai nächsten Jahres nicht mehr ausschließlich schriftlich zu verfassen, ein Vertrag, der in elektronischer Form besteht, ist mit der Neuregelung der datenschutzrechtlichen Bestimmungen ausreichend. Eine weitere Neuerung ist, dass

die Datenverarbeitung im Auftrag nach Art. 3 DS-GVO nun auch außerhalb der Europäischen Union möglich ist.

Verantwortung und Pflichten des Auftragsverarbeiters

Die DS-GVO bezieht den Auftragsverarbeiter weitaus stärker in die Einhaltung datenschutzrechtlicher Bestimmungen ein, als dies unter Geltung des BDSG bislang der Fall war. Während unter dem BDSG der Auftraggeber im Wesentlichen für die Einhaltung datenschutzrechtlicher Pflichten verantwortlich ist, wird der Auftragsverarbeiter unter Geltung der DS-GVO für Einhaltung der Bestimmungen zum Schutze personenbezogener Daten mitverantwortlich. So ist der Auftragsverarbeiter nach Art. 30 Abs. 2 DS-GVO dazu verpflichtet, ein Verzeichnis über die Verarbeitungstätigkeiten zu erstellen, welche im Auftrag des für die Verarbeitung Verantwortlichen durchgeführt werden. Zudem hat der Auftragsverarbeiter nach Art. 31 DS-GVO die Pflicht, mit der Aufsichtsbehörde zusammenzuarbeiten. Außerdem trifft gemäß Art. 32 Abs.1 DS-GVO auch den Auftragsverarbeiter die Pflicht durch technische und organisatorische Maßnahmen die Datensicherheit der Verarbeitung sicherzustellen. Es bleibt gemäß Art. 29 DS-GVO allerdings dabei, dass der Auftragsverarbeiter die personenbezogenen Daten ausschließlich auf Weisung des für die Verarbeitung Verantwortlichen verarbeitet. Grundsätzlich erfolgt die Geltendmachung der Betroffenenrechte bei Verstößen gegen die datenschutzrechtlichen Vorgaben auch gegenüber dem für die Datenverarbeitung Verantwortlichen.

Pflichtverstoß durch den Auftragsverarbeiter

Sollte der Auftragsverarbeiter allerdings gegen die Weisungen des für die Verarbeitung Verantwortlichen verstoßen, indem er beispielsweise die Zwecke der Verarbeitung selbst bestimmt, gilt der Auftragsverarbeiter selbst als Verantwortlicher in Bezug auf diese konkrete Verarbeitung gemäß Art. 28 Abs. 10 DS-GVO. Betroffene wenden sich in diesen speziellen Fällen hinsichtlich der Geltendmachung ihrer Rechte somit direkt an den eigentlichen Auftragsverarbeiter, der durch den Verstoß gegen die ihm auferlegten Pflichten, selbst zum Verantwortlichen für die Auftragsverarbeiter wird.

Haftung bei Datenschutzverstößen

Mit der DS-GVO verschärft sich die Haftung des Auftragsverarbeiters. Haftet derzeit der für die Verarbeitung Verantwortliche gegenüber den Betroffenen noch selbst gemäß § 11 Abs. 1 S. 1 BDSG, haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter ab Anwendung der DS-GVO gegenüber den Betroffenen gemeinsam und zwar gesamtschuldnerisch sowohl für materielle als auch für immaterielle Schäden. Nach Art. 82 DS-GVO gilt: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“ Der Auftragsverarbeiter wie auch der für die Verarbeitung Verantwortliche sind durch die betroffene Person auf Schadensersatz verklagbar. Die Haftung des Auftragsverarbeiters beschränkt sich jedoch auf Verstöße gegen die ihm im Rahmen des AV-Vertrags auferlegten Pflichten. Beide Parteien haben dabei die Möglichkeit zur Exkulpation: Sie müssten also belegen, dass sie in keinerlei Hinsicht für den Umstand, der für die Entstehung des Schadens ursächlich war, verantwortlich sind.

Sanktionen

Bei Verstößen gegen die in Art. 28 ff. DS-GVO niedergelegten Pflichten, drohen gemäß Art. 83 DS-GVO Bußgelder in Höhe von bis zu 10 Millionen Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes. In Art. 83 Abs. 4 lit. a DS-GVO heißt es ausdrücklich, dass diese Bußgelder sowohl gegen den Auftragsverarbeiter als auch gegen den für die Verarbeitung Verantwortlichen verhängt werden können. Somit ändert sich die Rechtslage hinsichtlich möglicher Sanktionen erheblich. Ist es unter derzeitiger Geltung des BDSG nach § 43 Abs. 1 Nr. 2b BDSG in Verbindung mit § 11 Abs.1 S.1 BDSG lediglich möglich Bußgelder bis zu 50.000 Euro gegen den Auftraggeber eines ADV-Vertrages zu verhängen, wird mit Anwendbarkeit der DS-GVO nicht nur die Höhe der Bußgelder erweitert, sondern auch deren Anwendungsbereich auf den Auftragnehmer erweitert.

Schlussfolgerungen

Aus den beschriebenen Neuerungen hinsichtlich der äußerst praxisrelevanten AV-Verträgen ergibt sich, dass nunmehr nicht nur der Auftraggeber einer Datenverarbeitung im Auftrag ein Interesse an dem Abschluss eines AV-Vertrages hat, um mögliche Pflichtverstöße und damit einhergehende Schadensersatzforderungen von Betroffenen und durch die Aufsichtsbehörde verhängte Bußgeldzahlungen zu vermeiden, sondern auch der Auftragsverarbeiter auf den Abschluss eines AV-Vertrages bestehen sollte, denn von Schadensersatzforderungen und Bußgelder bleibt der Auftragsverarbeiter mit Geltung der DS-GVO nun nicht mehr verschont. Auch für Auftragsverarbeiter erwächst somit ab Mai nächsten Jahres ein großes eigenes Interesse daran, AV-Verträge abzuschließen und die gesetzlich normierten Bestimmungen hinsichtlich dieser Verträge einzuhalten. Die für die Auftraggeber bislang bestehende unbefriedigende Rechtslage, wird sich somit in absehbarer Zeit zum positiven verändern.

Konsequenzen für Unternehmen

Für dienstleistende Unternehmen bedeutet dies, dass sie künftig zur Vermeidung von Bußgeldern und Schadensersatzforderung durch die Betroffenen ein eigenes Interesse an dem Abschluss von AV-Verträgen haben. Ein bloßes Abwarten reicht aufgrund der sich ab dem 25. Mai 2018 ändernden Rechtslage künftig nicht mehr aus. Unternehmen, die beispielsweise Datenträger vernichten, Software as a Service betreiben oder Speicherplatz anbieten (Hosting), sollten – soweit dies bislang nicht der Fall war – eigene Musterverträge hinsichtlich der AV bereithalten und den Abschluss eines solchen Vertrages aktiv einfordern. Für Unternehmen, die Datenverarbeitung an Dienstleister vergeben, besteht auch weiterhin die absolute Notwendigkeit zum Abschluss von AV-Verträgen. Die derzeit bestehende Übergangsphase sollte von Auftragnehmern sowie von Auftraggebern von Datenverarbeitungen im Auftrag genutzt werden, um bestehende Prozesse und Verträge zu überprüfen und die erforderlichen Änderungen vorzunehmen. Neu abzuschließende Verträgen sollten bereits nach den ab Mai nächsten Jahres geltenden Bestimmungen abgeschlossen werden.

Sie können unsere praxiserprobten Musterverträge zur Auftragsverarbeitung (für die Bereiche Hosting, Wartung und Vernichtung) unter folgendem Link beziehen:

https://bitsecurity360.com