Artikel 28 DS-GVO (Auftragsverarbeiter) enthält wesentliche Vorgaben zur Auftragsverarbeitung und zu den damit einhergehenden Pflichten des Auftragsverarbeiters, weitere Pflichten sind u.a. in Art. 30 Abs. 2 DS-GVO (Verzeichnis der Verarbeitungstätigkeiten), Art. 32 DS-GVO (Sicherheit der Verarbeitung) und in Art. 37 DS-GVO (Benennung eines Datenschutzbeauftragte) normiert.
Die Privatwirtschaft wie auch die öffentliche Verwaltung setzen in vielen Fällen andere Dienstleister ein, die ihnen bei der Erfüllung ihrer eigenen Aufgaben behilflich sind. ¹ Sofern dabei mit personenbezogenen Daten umgegangen wird, handelt es sich häufig um eine Auftragsverarbeitung. ² Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird. ³ Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. 4
Beispiele für eine Auftragsverarbeitung: 5
- Betrieb eines Rechenzentrums im Auftrag,
- Entsorgung von Datenträgern,
- Technische Betrieb einer virtuellen Poststelle.
Keine Auftragsverarbeitung
Keine AV im Sinne von Art. 4 Nr. 8 DS-GVO (sondern eigene Verantwortlichkeit) liegt z.B. regelmäßig vor, bei: 6
- Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer, etc.),
- Inkassobüros mit Forderungsübertragung,
- Postdienste für den Brief- oder Pakettransport.
Outsourcing
Entschließt sich eine Stelle zum Outsourcing solcher Tätigkeiten, die auch die Erhebung, Verarbeitung und Nutzung personenbezogener Daten beinhalten, muss sie dabei verschiedene rechtliche, technische und organisatorische Voraussetzungen erfüllen. 7 Art. 28 DS-GVO regelt die sogenannte Auftragsverarbeitung, d.h. die Voraussetzungen im Rahmen dieses Outsourcings.
Wesentliche Änderung durch die DS-GVO
Eine wesentliche Änderung durch die Datenschutz-Grundverordnung bei der Auftragsverarbeitung ist, dass nunmehr auch der Auftragsverarbeiter mitverantwortlich für die Einhaltung der technisch-organisatorischen Maßnahmen ist. Es ist daher auch relevant, die Mindestanforderungen der TOM im Rahmen einer Vereinbarung zur Auftragsverarbeitung zu regeln. Denn seit Einführung der DS-GVO gelten auch spezielle Haftungsregelungen für Auftragsverarbeiter. Danach sind auch Auftragsverarbeiter bei Verstößen gegenüber Betroffenen schadensersatzpflichtig. Zu beachten sind auch die umfassenden Bußgeldvorschriften des Art. 83 Abs. 4, 5 und 6 DS-GVO. Bei Verstößen können diese auch bei einem Auftragsverarbeiter zur Anwendung kommen. 8
Die DS-GVO regelt nicht, welche der Vertragsparteien für die Erstellung der Vereinbarung zur Auftragsverarbeitung (AVV) verantwortlich ist. Art. 28 Abs. 3 DS-GVO regelt lediglich, dass, sofern die Verarbeitung durch einen Auftragsverarbeiter erfolgt, dies auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen hat. Es regelt aber, dass der Verstoß, der Nichtabschluss einer AVV, beide Vertragsparteien, der Verantwortliche wie auch der Auftragsverarbeiter, sanktionierbar sind. Dies ergibt sich aus Art. 5 und Art. 83 DS-GVO.
In der Unternehmenspraxis
Demzufolge stellt sich in der Unternehmenspraxis regelmäßig die Frage, wer den Vertrag erstellt bzw. zur Verfügung stellt – der Verantwortliche oder der Auftragsverarbeiter. Tendenziell bietet es sich in der Praxis an, das Vertragskonstrukt des Dienstleisters als Verhandlungsgrundlage zu verwenden. Dies u. a. aus folgenden Gründen:
- Der Service, i.S.d. Leistungsgegenstandes, ist der Geschäftszweck des Dienstleisters, welchen er i.d.R. einer Vielzahl von Kunden gegenüber erbringt. Die Verarbeitungsprozesse sind entsprechend dokumentiert (Art. 30 Abs. 2 i.V.m. Art. 5 Abs. 2 DS-GVO).
- Die technischen und organisatorischen Maßnahmen sind dem Risiko der Verarbeitung für die Rechte und Freiheiten natürlicher Personenbetreffend implementiert, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DS-GVO).
- Die Prozesse und Nachweise sind intern und/oder extern, i.S.d. Datenschutz-Grundverordnung geprüft und die Prüfungen sind dokumentiert z.B. durch Auditberichte, Zertifizierungen.
Im nächsten Teil (3): Vertragsparteien.
AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
1 vgl. BfDI, (2020), DSGVO – BDSG, S. 45
2 Ebenda.
3 vgl. BayLDA, Auslegungshilfe, Was ist Auftragsverarbeitung und was nicht?
4 Ebenda.
5 Ebenda.
6 Ebenda.
7 vgl. BfDI, (2020), DSGVO – BDSG, S. 45
8 vgl. BfDI, (2020), DSGVO – BDSG, S. 46, 47