Datenschutz-Grundverordnung (DSGVO)

Was gilt in Zukunft bei Auftragsverarbeitung?

„Auftragsdatenverarbeitung“ ist nach dem jetzigen BDSG als Datenverarbeitung im Auftrag und auf Weisung durch einen Auftragnehmer definiert. Der Auftraggeber bleibt dabei der allein Verantwortliche. Nach der DSGVO gibt es jetzt die ”Auftragsverarbeitung” und es ist nur noch ein Auftragsverhältnis bezüglich der Datenverarbeitung erforderlich. Darauf, ob der Auftragsnehmer dabei weisungsgebunden arbeitet oder nicht, kommt es nicht mehr an. Jegliche Art von externer Verarbeitung personenbezogener Daten im Auftrag eines Unternehmens fällt daher unter die neue “Auftragsverarbeitung”.

Beispiele:

  • Lohnbuchhaltung in der Cloud;
  • Nutzen einer CRM-Anwendung in der Cloud;
  • Versendung von Newslettern und Mailings über einen Cloud-Anbieter;
  • Nutzen eines externen Call-Centers für den Kundenservice;
  • Nutzen eines Anrufdienstes für eingehende Anrufe;
  • Durchführung von Gewinnspielen über eine externe Agentur;
  • Managed Hosting von Webseiten, Onlineshops.

 

Das sind die Pflichten des Auftragsverarbeiters

Während der Auftragnehmer bislang vollkommen auf Weisung des Auftraggebers handelte und der Auftraggeber selbst voll verantwortlich blieb, wird mit der DSGVO auch der neue Auftragsverarbeiter in die Pflicht genommen und haftet bei Pflichtverstößen. Diese Pflichten kommen u. a. auf Auftragsverarbeiter zu:

  • Umfangreichere Dokumentationspflichten als bisher; Führen von Verfahrensverzeichnissen;
  • Umsetzung technischer und organisatorischer Maßnahmen zur Datensicherheit zur Gewährleistung der Datensicherheit;
  • Bestellung eines Datenschutzbeauftragten;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Meldepflichten bei Datenpannen ;
  • Datentransfer in Drittländer nur im Rahmen aller Anforderungen der DSGVO;
  • Verpflichtung aller Mitarbeiter zur Verschwiegenheit.

 

Da Auftragsverarbeiter ab Mai 2018 andere und mehr Pflichten zu erfüllen zu haben, sind bestehende “Altverträge” rechtzeitig vor Inkrafttreten der neuen DSGVO anzupassen.

 

Was muss bei der Auswahl des Auftragsverarbeiters beachtet werden?

Unternehmen dürfen nur mit Auftragsverarbeitern zusammenarbeiten, die über geeignete technische und organisatorische Maßnahmen (TOM) die Gewähr dafür bieten, dass die Datenverarbeitung immer unter Einhaltung der DSGVO erfolgt und der Schutz der Betroffenenrechte gewährleistet ist. Da der Auftraggeber kaum über die Sachkunde verfügt, die TOM des Auftragsverarbeiters daraufhin zu beurteilen, sieht die DSGVO Selbstregulierungsverfahren und Zertifizierungsverfahren vor, denen sich die Auftragsverarbeiter unterwerfen können und die als Indiz für rechtskonformes Handeln gewertet werden:

  • Selbstregulierungsverfahren: Verbände und Vereinigungen können künftig spezielle Verhaltenskodizes für ihre Mitglieder und Branchen erarbeiten, die von der zuständigen Aufsichtsbehörde „abgesegnet“ und dann genutzt werden dürfen.
  • Zertifizierungsverfahren: Es wird zukünftig akkreditierte Zertifizierungsstellen geben, die berechtigt sind, Zertifikate mit einer Gültigkeitsdauer von jeweils drei Jahren zu vergeben.


Zukünftig werden zuverlässige Anbieter von Services daher insbesondere daran zu erkennen sein, dass sie sich speziellen Verhaltenskodizes unterworfen haben oder über datenschutzrechtliche Zertifikate verfügen. Damit dokumentieren sie die Einhaltung der datenschutzrechtlichen Kriterien und dürfen als Auftragsverarbeiter ausgewählt werden.

Wie kann der Auftragsverarbeiter beauftragt werden?

Bei der Beauftragung gibt es Erleichterungen, denn nach der DSGVO ist es nicht mehr erforderlich, einen gesonderten und schriftlichen Auftragsdatenverarbeitungsvertrag zu schließen. Vielmehr ist es ausreichend, die gegenseitigen Rechte und Pflichten der Auftragsverarbeitung in dem Auftrag „mitzuregeln“. Dabei reicht jetzt auch die elektronische Form, d.h. der Vertrag kann auch online per Mausklick geschlossen werden.

Auch die Rechte der Betroffenen haben wiederum zusätzliche Pflichten auf der Seite des Datenverarbeiters zur Folge. Hier die Wichtigsten in der Übersicht:

  • Auskunftsrecht: Die betroffene Person hat ein Recht auf Bestätigung darüber, ob sie betreffende personenbezogene Daten verarbeitet werden und ist das der Fall, ein Recht auf Auskunft über die Umstände der Datenverarbeitung;
  • Löschungsrecht: Es bleibt dabei, dass Daten auch auf Anforderung des Betroffenen zu löschen sind, wenn kein gesetzlicher Grund für die weitere Verarbeitung gegeben ist. Neu ist das „Recht auf Vergessenwerden“: Wurden Daten öffentlich gemacht, muss der zur Löschung verpflichtete Verantwortliche unter Berücksichtigung der „verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art“ treffen, um die für die Datenverarbeitung anderen Verantwortlichen, die die Daten verarbeiten, über das Löschungsverlangen zu informieren. Es ist derzeit noch unklar, in welchem Umfang und wie der Verantwortliche dieser Verpflichtung nachkommen kann und muss;
  • Berichtigungsrecht;
  • Recht auf Datenübertragbarkeit: Der Betroffene kann verlangen, seine personenbezogenen in einem nutzbaren Format (z. B. zum Beispiel XML) zu erhalten oder dass diese an einen anderen Verantwortlichen weiter zu geben sind. Beispiel: Übertragung der Daten von einem sozialen Netzwerk in ein anderes;
  • Widerspruchsrecht;
  • Recht auf Einschränkung der Verarbeitung.

 

Sie müssen auf entsprechende “Anträge” der Betroffenen schnell reagieren!

Eingehende Anträge von Betroffenen auf Löschung, Berichtigung, Auskunft usw. müssen von Ihnen als rechtlich relevant erkannt und ein Verfahren für deren Bearbeitung eingerichtet werden. Dazu kann auch ein Onlineformular eingerichtet werden. Wichtig ist: Die Ersuchen der Betroffenen müssen in der vorgesehenen Zeit erledigt werden können, denn die beantragten Informationen müssen unverzüglich, in jedem Fall aber innerhalb eines Monats zur Verfügung gestellt werden.

Diese Frist kann zwar um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Dann müssen die Betroffenen aber über die Fristverlängerung und die Gründe für die Verzögerung unterrichtet werden.

Werden Sie auf Antrag eines Betroffenen hin nicht tätig, sind Sie außerdem verpflichtet, die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde oder einen gerichtlichen Rechtsbehelf einzulegen, zu unterrichten.

Fragen? Sprechen Sie uns an!

RESMEDIA MAINZ - Anwälte
für IT-IP-Medien
Am Winterhafen 78
55131 Mainz
Telefon: + 49 6131 144 56-0
Telefax: + 49 6131 144 56-20
E-Mail: mainz(at)res-media.net

RESMEDIA BERLIN - Anwälte
für IT-IP-Medien
Märkisches Ufer 28
10179 Berlin
Telefon: +49 30 285058-56   
Telefax: +49 30 285058-57   
E-Mail: berlin(at)res-media.net

Kontakt aufnehmen