Die Datenschutz-Grundverordnung (DS-GVO), die ab dem 25. Mai 2018 europaweit gilt, bringt einige Änderungen mit sich. Dazu gehört auch, dass man sich mit neuen bzw. angepassten Begrifflichkeiten anfreunden muss. Im Bundesdatenschutz (BDSG) war zum Beispiel die Rede von einer „verantwortlichen Stelle“, wobei die DS-GVO von einem „Verantwortlichen“ spricht. Auch fallen beispielsweise die Gesundheitsdaten nicht mehr unter die „besonderen Arten personenbezogener Daten“, sondern unter die „besonderen Kategorien personenbezogener Daten“ und die „Auftragsdatenverarbeitung“ wird in der DS-GVO als „Auftragsverarbeitung“ bezeichnet. Die DS-GVO sieht jedoch neben der angepassten Bezeichnung der Auftragsdatenverarbeitung, weitere Änderungen vor.
Bleibt die Privilegierung der Auftragsdatenverarbeitung bestehen?
Nach § 4 Abs. 1 BDSG gilt, dass eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten einer Rechtsgrundlage oder der informierten Einwilligung des Betroffenen bedarf, wobei bei einer Auftragsdatenverarbeitung (ADV) die Fiktion der „Nicht-Übermittlung“ greift. Bei der Weitergabe von personenbezogenen Daten an einen Dienstleister, der seinen Sitz innerhalb der EU / des EWR hat und die Daten im Sinne von § 11 BDSG im Auftrag verarbeitet (Auftragsdatenverarbeitung), muss keine Einwilligung des Betroffenen eingeholt werden. Zudem ist für die Weitergabe keine weitere Rechtsgrundlage erforderlich.
Zwar ist die Frage nach dem Fortbestehen der Privilegierung ein Streitthema, jedoch geht aus dem Kurzpapier Nr. 13 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) hervor, dass die Sonderregelungen für die Verarbeitung im Auftrag fortbestehen wird, wodurch regelmäßig keine weiteren Rechtsgrundlagen im Sinne von Art. 6 bis 10 DS-GVO erforderlich sind. Diese Privilegierung ergibt sich aus Art. 4 Nr. 10 DS-GVO. Demnach ist ein Auftragsverarbeiter kein Dritter, wobei in Art. 4 Nr. 8 DS-GVO geregelt ist, dass es sich bei einem Auftragsverarbeiter um „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ handelt. Auch ist – wie in dem Kurzpapier näher erläutert – eine Auftragsverarbeitung durch einen Auftragsverarbeiter außerhalb der EU / des EWR möglich, wenn zusätzlich die Bedingungen der Art. 44 ff DS-GVO eingehalten werden.
Weiterhin sollte jedoch berücksichtigt werden, dass es sich bei einem Auftragsverarbeiter um einen Empfänger handelt, was Auswirkungen auf die Informations-, Mitteilungs- und Auskunftspflichten sowie auf die Erstellung des Verzeichnisses für Verarbeitungstätigkeiten seitens des Verantwortlichen hat. Aus der DS-GVO ergibt sich zudem auch die Notwendigkeit zum Abschluss von Verträgen zur Auftragsverarbeitung sowie zur Prüfung/Kontrolle des Auftragsverarbeiters.
Pflicht zum Abschluss eines Vertrages zur Auftragsverarbeitung bleibt
Gemäß Art. 28 DS-GVO darf die Verarbeitung nur auf Grundlage eines „Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten“ erfolgen. Dabei schreibt die DS-GVO – wie auch schon das BDSG – vor, welche Regelungen getroffen werden sollen. Demnach wäre unter anderem festzulegen:
- Gegenstand und Dauer der Verarbeitung,
- Art und Zweck der Verarbeitung,
- Art der personenbezogenen Daten,
- Kategorien der Betroffenen,
- Pflichten und Rechts des Verantwortlichen,
- Weisungsbefugnis des Verantwortlichen, insbesondere auch in Hinblick auf Datenübermittlungen,
- …
Neben der Frage zu den Inhalten eines AV-Vertrages, stellt sich häufig die Frage nach der erforderlichen Form eines AV-Vertrages. In Art. 28 Abs. 9 heißt es, dass der Vertrag oder das andere Rechtsinstrument schriftlich abzufassen ist, was allerdings auch in einem elektronischen Format durchgeführt werden kann. In § 126 a Bürgerliches Gesetzbuch (BGB) heißt es zur elektronischen Form, dass sofern diese die gesetzlich vorgeschriebene Schriftform ersetzten soll, der Austeller seinen Namen der Erklärung hinzufügen und das Dokument mit einer qualifizierten elektronischen Signatur versehen soll. „Einen Hinweis auf nationale Formvorschriften wie §§ 126, 126 a BGB enthält die DS-GVO ersichtlich nicht. Vor dem Hintergrund wird für den Fall der elektronischen Form zT eine einfache digitale Signatur vorausgesetzt.“ Gola, Datenschutz- Grundverordnung: DS-GVO, VO(EU) 2016/679, Kommentar, 2017, Art. 28 Rnd.-Nr. 12).
Strenge Auswahl des Auftragnehmers
Die DS-GVO sieht – wie auch schon das BDSG – vor, dass eine strenge Auswahl der Auftragsverarbeiter erfolgen soll. Hierzu heißt es in Art. 28 Abs. 1 DS-GVO: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“
Dies setzt voraus, dass der Auftragsverarbeiter – vor dem Einsatz – ausreichend geprüft wird und auch Kontrollen während der Beauftragung sichergestellt werden.
