Auftragsverarbeitung nach DSGVO

Der aus dem BDSG bekannte Begriff Auftragsdatenverarbeitung wird mit Einführung der DSGVO in Auftragsverarbeitung umbenannt. Was genau verbirgt sich dahinter?

Definition

Eine Auftragsverarbeitung liegt immer dann vor, wenn ein Unternehmen im Auftrag eines anderen Daten weisungsabhängig verarbeitet. Man spricht dabei von den Rollen Verantwortlicher und Auftragsverarbeiter. Üblicherweise liegt eine Auftragsverarbeitung vor wenn eine der folgenden Tätigkeiten durch ein externes Unternehmen erbracht wird:

  • Website-Hosting
  • Clouddienste
  • Backupdienste
  • Fernwartung
  • Dokumentendruck
  • Aktenvernichtung
  • Callcenter
  • Buchhaltung

Vertragliche Regelung

Liegt eine Auftragsverarbeitung vor, so sind Verantwortlicher und Auftragsverarbeiter verpflichtet einen Vertrag miteinander zu schließen, der folgende Punkte regelt:

  • Beschreibung der Umsetzung des Schutzniveaus durch technische und organisatorische Maßnahmen
  • Dauer, Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personenbezogene
  • Kontrollrechte des Verantwortlichen

Sowohl Verantwortlicher als auch Auftragsverarbeiter müssen ein Verzeichnis der Verarbeitungstätigkeiten führen. Will der Auftragsverarbeiter weitere Subunternehmen als Auftragsverarbeiter hinzuziehen ist dies durch den Verantwortlichen genehmigungspflichtig.

Beispiel: Web-Hosting

In der Regel bietet der Hostinganbieter einen Mustervertrag über Auftragsverarbeitung an, welcher schnell und problemlos geschlossen werden kann. In jedem Fall sollte geprüft werden, ob dieser aus rechtlicher Sicht der DSGVO genügt und die darin beschriebenen TOM ein angemessenes Schutzniveau garantieren können.

Besonderheit: Drittländer

Sitzt der Auftragsverarbeiter außerhalb der EU muss zusätzlich zu obigen Ausführungen ein angemessenes Datenschutzniveau garantiert werden, dies ist z.B. über folgende Instrumente möglich:

Das Datenschutzniveau in einem gesamten Drittland wird von der Europäischen Komission als ausreichend bewertet. Das ist derzeit der Fall bei z.B. Kanada und der Schweiz. Die ganze Liste ist hier einsehbar.

Das Datenschutzniveau ausgewählter Unternehmen in einem unsicheren Drittland gilt durch Selbstverpflichtung als sicher. Diese Regelung gibt es z.b. beim EU-US Privacy Shield . Ich vermute, dass nach dem EU Austritt auch die UK zunächst als unsicheres Drittland gelten wird. Zu beachten ist, dass der EuGH in der Vergangenheit bereits das Safe Harbor Abkommen für ungültig erklärte und Unklarheit darüber besteht, ob das Privacy Shield einer Überprüfung durch den EuGH standhält.

Es gibt viele weitere Möglichkeiten das Datenschutzniveau eines einzelnen Unternehmens in unsicheren Drittländern zu garantieren, ich gehe hier nur auf Standardvertragsklauseln ein:

Im Rahmen von individuellen Verträgen kann auf Standardvertragsklauseln der europäischen Kommission zurückgegriffen werden, für den Fall einer Auftragsverarbeitung ist dabei besonders 2010/87/EU relevant.

Beim individuellen Vertragsschluss müssen Klauseln unverändert aus dem Muster übernommen werden. Weiterhin gelten alle obigen Ausführungen zu Auftragsverarbeitung. Unklar ist, ob eine EuGH Entscheidung zum Privacy-Shield auch Konsequenzen für die Gültigkeit der Standardvertagsklauseln hat.

Organisatorische Konsequenz

Bei der Übermittlung in Länder, die kein angemessenes Datenschutzniveau bieten, ist Vorsicht geboten. Derzeitige Rechtsgrundlagen könnten in der Zukunft durch EuGH-Entscheidungen entfallen. Es ist daher ratsam einen Alternativplan in der Hinterhand haben, um einen schnellen Umzug auf Server innerhalb der EU möglich zu machen oder bei der Wahl eines Anbieters direkt auf einen Standort innerhalb der EU zu setzen.

Technische Aspekte

Verträge beinhalten eine genaue Beschreibungen von TOM, deren Schutzniveau zu bewerten ist. Bei der individuellen Vertragsausgestaltung über Auftragsverarbeitung oder der Prüfung eines Mustervertrages sollte man daher neben Juristen auch technische Berater hinzuziehen.