Auftragsdatenverarbeitung nach Art. 28 DSGVO
Das Thema Auftragsdatenverarbeitung ist eine Geschichte, die nur manchmal gut endet. Nach wie vor besteht ein erheblicher Teil unserer Beratungstätigkeit in der Erklärung, was Auftragsdatenverarbeitung ist, warum die vertragliche Regelung sein muss sowie der Prüfung der entsprechenden Verträge. Wer möchte, kann das Wieso-Weshalb-Warum in meinen alten Artikeln der letzten Jahre zum Thema Anforderungen an eine Auftragsdatenverarbeitung und Auftragsdatenverarbeitung? nachlesen. Die dort beschriebenen Beispiele einer grob fahrlässig nicht oder nur sehr unzureichend geregelten Auftragsdatenverarbeitung begegnen uns in Varianten noch immer. Die EU-Datenschutz-Grundverordnung macht die Auftragsdatenverarbeitung nun nicht wesentlich schwieriger – aber auch nicht einfacher, denn die Anforderungen an die Auftragsverarbeiter sind an einigen Stellen erhöht. Wir haben einen kurzen Überblick über die wichtigsten Punkte zusammengestellt.
DSGVO und Auftragsdatenverarbeitung
Art. 28 DSVO sieht weiterhin eine Regelung der Auftragsdatenverarbeitung in einem Vertrag vor, der die wichtigsten Punkte im Umgang mit den personenbezogenen Daten des auftraggebenden Unternehmens regelt (Art. 28 Abs. 3 DSGVO). So, wie auch das BDSG bisher schon tat. Auftraggebende Unternehmen sind gehalten, nur Auftragsverarbeiter einsetzen, die „hinreichend Garantien“ dafür bieten, dass sie „geeignete technische und organisatorische Maßnahmen“ für einen ausreichenden Datenschutz im Sinne der DSGVO etabliert haben (Art. 28 Abs. 1 DSGVO). Wichtig ist in diesem Zusammenhang: diese Garantien müssen nachgewiesen werden, und zwar vor der Beauftragung und auch im Vertrag (Art. 28 Abs. 5 DSGVO).
Einhaltung DSGVO nachweisen
Bis die von der DSGVO vorgesehenen Möglichkeiten eines standardisierten Nachweises in Form von Zertifizierungen und Verhaltensregeln etabliert sein werden, wird voraussichtlich noch viel Zeit vergehen. In der Praxis muss daher auf andere Faktoren des Nachweises geeigneter Sicherheitsmaßnahmen zurück gegriffen werden. Dies können z.B. sein: Berichte eigener, interner Prüfungen und Audits, Ergebnisse externer Audits, ISO-Zertifizierungen. An dieser Stelle hakt es in der Praxis noch gewaltig. Erst kürzlich wollte mir ein Datenschutzbeauftragter eines Rechenzentrums erzählen, die Vorlage eines Zertifikats, dass das Rechenzentrum ISO 27001 zertifiziert sei, reiche als Nachweis für das Vorliegen von Sicherheitsmaßnahmen aus. Nein – da muss schon mehr vorgelegt werden.
Neue Pflichten für Auftragsverarbeiter
Neben den altbekannten Pflichten bringt die DSGVO Neuerungen insbesondere für Auftragsverarbeiter mit sich. Verstößt ein Auftragsverarbeiter bei der Datenverarbeitung gegen die Anweisungen des auftraggebenden Unternehmens, gilt er nach Art. 28 Abs. 10 DSGVO jetzt selbst als Verantwortlicher – alle rechtlichen Folgen inklusive. Neu hinzugekommen sind für den Fall von Datenschutzverletzungen durch Auftragsverarbeiter auch spezielle Haftungsregelungen (Art. 82 DSGVO). Betroffene können einen entstandenen Schaden entweder beim Verantwortlichen oder beim Auftragsverarbeiter geltend machen.
Meldepflichten und Bußgeld
In der Praxis dürfte auch Art. 33 Abs. 2 DSGVO Bedeutung bekommen. Danach muss ein Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten nach Bekanntwerden unverzüglich dem Verantwortlichen (Auftraggeber) melden. Ebenso sind die Bußgeldvorschriften des Art. 83 Abs. 4, 5 und 6 DSGVO zu berücksichtigen; sie können bei Verstößen auch bei einem Auftragsverarbeiter ohne Umweg über den Verantwortlichen zur Anwendung kommen.
Muster für einen Vertrag nach Art. 28 DSGVO
Die GDD hat einen Mustervertrag für eine Auftragsdatenverareitung nach DSGVO veröffentlicht. Er ist auf den Seiten der GDD abrufbar. Bitte beachten Sie, dass er im Einzelfall auf die konkreten Umstände der individuellen Vereinbarung angepasst werden muss.