Artikel 28 DS-GVO (Auf­trags­ver­ar­bei­ter) enthält we­sent­li­che Vor­ga­ben zur Auf­trags­ver­ar­bei­tung und zu den damit ein­her­ge­hen­den Pflich­ten des Auf­trags­ver­ar­bei­ters, weitere Pflich­ten sind u.a. in Art. 30 Abs. 2 DS-GVO (Ver­zeich­nis der Verarbeitungstätigkeiten), Art. 32 DS-GVO (Si­cher­heit der Ver­ar­bei­tung) und in Art. 37 DS-GVO (Be­nen­nung eines Datenschutz­beauftragte) normiert.

Die Pri­vat­wirt­schaft wie auch die öf­fent­li­che Ver­wal­tung setzen in vielen Fällen andere Dienst­leis­ter ein, die ihnen bei der Er­fül­lung ihrer eigenen Auf­ga­ben be­hilf­lich sind. ¹ Sofern dabei mit per­so­nen­be­zo­ge­nen Daten um­ge­gan­gen wird, handelt es sich häufig um eine Auf­trags­ver­ar­bei­tung. ² Auf­trags­ver­ar­bei­tung im da­ten­schutz­recht­li­chen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwer­punkt mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten be­auf­tragt wird. ³ Die Be­auf­tra­gung mit fach­li­chen Dienst­leis­tun­gen anderer Art, d. h., mit Dienst­leis­tun­gen, bei denen nicht die Da­ten­ver­ar­bei­tung im Vor­der­grund steht bzw. bei denen die Da­ten­ver­ar­bei­tung nicht zu­min­dest einen wich­ti­gen (Kern-) Be­stand­teil aus­macht, stellt keine Auf­trags­ver­ar­bei­tung im da­ten­schutz­recht­li­chen Sinne dar. 4

Bei­spie­le für eine Auf­trags­ver­ar­bei­tung: 5
  • Betrieb eines Re­chen­zen­trums im Auftrag,
  • Ent­sor­gung von Datenträgern,
  • Tech­ni­sche Betrieb einer vir­tu­el­len Poststelle.
Keine Auf­trags­ver­ar­bei­tung

Keine AV im Sinne von Art. 4 Nr. 8 DS-GVO (sondern eigene Ver­ant­wort­lich­keit) liegt z.B. re­gel­mä­ßig vor, bei: 6

  • Tä­tig­kei­ten der Be­rufs­ge­heim­nis­trä­ger (Steu­er­be­ra­ter, Rechts­an­wäl­te, Wirt­schafts­prü­fer, etc.),
  • In­kas­so­bü­ros mit Forderungsübertragung,
  • Post­diens­te für den Brief- oder Pakettransport.
Out­sour­cing

Ent­schließt sich eine Stelle zum Out­sour­cing solcher Tä­tig­kei­ten, die auch die Er­he­bung, Ver­ar­bei­tung und Nutzung per­so­nen­be­zo­ge­ner Daten be­inhal­ten, muss sie dabei ver­schie­de­ne recht­li­che, tech­ni­sche und or­ga­ni­sa­to­ri­sche Vor­aus­set­zun­gen er­fül­len. Art. 28 DS-GVO regelt die so­ge­nann­te Auf­trags­ver­ar­bei­tung, d.h. die Vor­aus­set­zun­gen im Rahmen dieses Outsourcings.

We­sent­li­che Än­de­rung durch die DS-GVO

Eine we­sent­li­che Än­de­rung durch die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung bei der Auf­trags­ver­ar­bei­tung ist, dass nunmehr auch der Auf­trags­ver­ar­bei­ter mit­ver­ant­wort­lich für die Ein­hal­tung der tech­­nisch-or­­ga­­ni­­sa­­to­ri­­schen Maß­nah­men ist. Es ist daher auch re­le­vant, die Min­dest­an­for­de­run­gen der TOM im Rahmen einer Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung zu regeln. Denn seit Ein­füh­rung der DS-GVO gelten auch spe­zi­el­le Haf­tungs­re­ge­lun­gen für Auf­trags­ver­ar­bei­ter. Danach sind auch Auf­trags­ver­ar­bei­ter bei Ver­stö­ßen ge­gen­über Be­trof­fe­nen scha­dens­er­satz­pflich­tig. Zu be­ach­ten sind auch die um­fas­sen­den Buß­geld­vor­schrif­ten des Art. 83 Abs. 4, 5 und 6 DS-GVO. Bei Ver­stö­ßen können diese auch bei einem Auf­trags­ver­ar­bei­ter zur An­wen­dung kommen. 8

Die DS-GVO regelt nicht, welche der Ver­trags­par­tei­en für die Er­stel­lung der Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung (AVV) ver­ant­wort­lich ist. Art. 28 Abs. 3 DS-GVO regelt le­dig­lich, dass, sofern die Ver­ar­bei­tung durch einen Auf­trags­ver­ar­bei­ter erfolgt, dies auf der Grund­la­ge eines Ver­trags oder eines anderen Rechts­in­stru­ments zu er­fol­gen hat. Es regelt aber, dass der Verstoß, der Nicht­ab­schluss einer AVV, beide Ver­trags­par­tei­en, der Ver­ant­wort­li­che wie auch der Auf­trags­ver­ar­bei­ter, sank­tio­nier­bar sind. Dies ergibt sich aus Art. 5 und Art. 83 DS-GVO.

In der Unternehmenspraxis

Dem­zu­fol­ge stellt sich in der Un­ter­neh­mens­pra­xis re­gel­mä­ßig die Frage, wer den Vertrag er­stellt bzw. zur Ver­fü­gung stellt – der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter. Ten­den­zi­ell bietet es sich in der Praxis an, das Ver­trags­kon­strukt des Dienst­leis­ters als Ver­hand­lungs­grund­la­ge zu ver­wen­den. Dies u. a. aus fol­gen­den Gründen:

  • Der Service, i.S.d. Leis­tungs­ge­gen­stan­des, ist der Ge­schäfts­zweck des Dienst­leis­ters, welchen er i.d.R. einer Viel­zahl von Kunden ge­gen­über er­bringt. Die Ver­ar­bei­tungs­pro­zes­se sind ent­spre­chend do­ku­men­tiert (Art. 30 Abs. 2 i.V.m. Art. 5 Abs. 2 DS-GVO).
  • Die tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men sind dem Risiko der Ver­ar­bei­tung für die Rechte und Frei­hei­ten na­tür­li­cher Per­so­nen­be­tref­fend im­ple­men­tiert, um ein dem Risiko an­ge­mes­se­nes Schutz­ni­veau zu ge­währ­leis­ten (Art. 32 Abs. 1 DS-GVO).
  • Die Pro­zes­se und Nach­wei­se sind intern und/oder extern, i.S.d. Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung geprüft und die Prü­fun­gen sind do­ku­men­tiert z.B. durch Au­dit­be­rich­te, Zertifizierungen.

 

Im nächs­ten Teil (3): Vertragsparteien.

 

AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

 

1 vgl. BfDI, (2020), DSGVO – BDSG, S. 45

2 Ebenda.

3 vgl. BayLDA, Aus­le­gungs­hil­fe, Was ist Auf­trags­ver­ar­bei­tung und was nicht?

4 Ebenda.

5 Ebenda.

6 Ebenda.

7 vgl. BfDI, (2020), DSGVO – BDSG, S. 45

8 vgl. BfDI, (2020), DSGVO – BDSG, S. 46, 47

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!