Die DSGVO in der betrieblichen Praxis. Das neue Buch erscheint in Kürze und beantwortet mehr als 120 Fragen zum neuen europäischen Datenschutzrecht, das ab 25. Mai 2018 anzuwenden ist. In diesem Blog werden vorab einige Fragen veröffentlicht (Härting, Datenschutz–Grundverordnung, 2016).
Die Auftragsdatenverarbeitung ist für die digitale Wirtschaft von besonderer Bedeutung und wird durch die DSGVO wesentlich verändert.
Geltendes Recht
- Verantwortlichkeit des Auftraggebers
Die Auftragsdatenverarbeitung ist in § 11 BDSG geregelt. Sie fußt auf der Vorstellung, dass der Auftragnehmer ausschließlich nach den Weisungen des Auftraggebers handelt (§ 11 Abs. 3 Satz 1 BDSG). Die Verantwortlichkeit für die Verarbeitung bleibt daher vollständig beim Auftraggeber.
Nach § 11 Abs. 4 BDSG ist der Auftragnehmer von einer Einhaltung der Bestimmungen des Datenschutzrechts in weitem Umfang befreit. Die Verantwortung für eine rechtskonforme Datenverarbeitung bleibt nahezu vollständig beim Auftraggeber.
Merke:
Nach § 3 Abs. 8 Satz 3 BDSG sind Personen und Stellen, die personenbezogene Daten „im Auftrag“ erheben, verarbeiten oder nutzen, keine „Dritten“. Die Übermittlung von Daten an den Auftragnehmer stellt daher selbst keine Datenverarbeitung im Sinne des § 3 Abs. 4 Nr. 3 BDSG dar mit der Folge, dass das Verbotsprinzip (§ 4 Abs. 1 BDSG) nicht gilt. Die Übermittlung bedarf somit keiner weiteren datenschutzrechtlichen Legitimation.
- Abgrenzung zur „Funktionsübertragung“
Wenn es an einer Auftragsverarbeitung fehlt, weil der Auftragnehmer bei der Datenverarbeitung nach den mit dem Auftraggeber getroffenen Absprachen eigenverantwortliche Entscheidungen treffen kann, spricht man von einer „Funktionsübertragung“. Dieser Begriff dient ausschließlich einer Negativabgrenzung gegenüber der Auftragsverarbeitung. Beispielsfälle sind der Forderungseinzug durch ein Inkassounternehmen oder die Anfertigung von Steuererklärungen durch ein Steuerbüro. In beiden Fällen ist eine sinnvolle Datenverarbeitung durch den Auftragnehmer ohne ein eigenverantwortliches Handeln nicht vorstellbar.
Änderungen durch die DSGVO
- Begriffsdefinitionen
In Art. 4 Nr. 7 DSGVO wird der Begriff des Verantwortlichen (Auftraggebers) definiert:
“die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden ”.
(Hervorhebungen hinzugefügt)
Der Begriff des Auftragsverarbeiters wird in Art. 4 Nr. 8 DSGVO definiert:
„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet”.
Merke:
Die Definition des Art. 4 Nr. 8 DS-GVO stellt lediglich auf ein Auftragsverhältnis (!) ab, nicht jedoch auf Weisungsrechte und Verantwortlichkeiten.
Ein eigenverantwortliches Handeln des Auftragsverarbeiters ist nach der Definition ebenso wenig ausgeschlossen wie Entscheidungsspielräume des Auftragsverarbeiters.
Das Cloud Computing lässt sich zwanglos mit der Definition vereinbaren. Die herkömmliche Abgrenzung zur „Funktionsübertragung“ wird obsolet.
- Mitverantwortung und Pflichten des Auftragsverarbeiters
Die DSGVO nimmt den Auftragnehmer weitaus stärker in die Pflicht zur Einhaltung des Datenschutzrechts, als dies nach dem BDSG der Fall ist. Während nach dem BDSG ausschließlich der Auftraggeber für die Datenverarbeitung verantwortlich ist, wird durch die DSGVO der Auftragnehmer für die Verarbeitung der Daten mitverantwortlich.
An zahlreichen Stellen der DSGVO finden sich selbstständige datenschutzrechtliche Pflichten, die sich (auch) an den Auftragsverarbeiter richten:
- Art. 27 Abs. 1 DSGVO: Die Pflicht zur Bestellung eines „Repräsentanten“ trifft auch den Auftragsverarbeiter.
- Art. 30 Abs. 2 DSGVO: Der Auftragsverarbeiter ist zur Führung von Verfahrensverzeichnissen verpflichtet.
- Art. 31 DSGVO: Die Pflicht zur Zusammenarbeit mit der Datenschutzaufsicht trifft auch den Auftragsverarbeiter.
- Art. 32 Abs. 1 DSGVO: Die Pflicht zu technischen und organisatorischen Maßnahmen der Datensicherheit gilt auch für den Auftragsverarbeiter.
- Art. 37 Abs. 1 DSGVO: Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten trifft auch den Auftragsverarbeiter.
- Art. 44 DSGVO: Die Beschränkungen für den Datentransfer in Drittländer sind auch vom Auftragsverarbeiter zu beachten.
- Weisungsunterworfenheit des Auftragsverarbeiters
Nach Art. 29 DSGVO bleibt es dabei, dass der Auftragsverarbeiter grundsätzlich verpflichtet ist, bei der Datenverarbeitung ausschließlich auf Weisung des Verantwortlichen zu handeln:
“Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind. ”
(Hervorhebung hinzugefügt)
- Überwindung des Verbotsprinzips
Eine Vorschrift, die die Parteien – parallel zu § 3 Abs. 8 Satz 3 BDSG – vom Verbotsprinzip befreit, fehlt.
Dies dürfte allerdings in der Praxis keine allzu großen Schwierigkeiten bereiten:
- Durch Interessenabwägung: Entweder stellt man die Frage, ob der Verantwortliche zur Einschaltung des Auftragsverarbeiters gemäß Art. 6 Abs. 1 Satz 1 lit. f DSGVO aufgrund „berechtigter Interessen“ befugt ist. Hiervon wird auszugehen sein, wenn die Voraussetzungen des Art. 28 DSGVO eingehalten werden.
- Durch Ermächtigungsgrundlage: Oder man versteht Art. 28 DSGVO als eine eigenständige Befugnisnorm für die Datenverarbeitung. Wenn die Voraussetzungen des Art. 28 DSGVO erfüllt sind, reicht dies für eine rechtmäßige Übertragung der Datenverabeitung an den Auftragsverarbeiter aus.
- Durch einheitlichen Datenverarbeitungsvorgang: Oder man betrachtet die Datenverarbeitung durch den Auftragsverarbeiter für den Verantwortlichen als einheitlichen Vorgang der Datenverarbeitung gemäß Art. 4 Nr. 2 DSGVO, für den es auch nur eine einheitliche Prüfung der Rechtmäßigkeit nach Art. 6 Abs. 1 DSGVO geben kann.