Anforderungen an den Auftraggeber
Die Anforderungen an den Auftraggeber entsprechen weitgehend denen, die aus der aktuellen Fassung des § 11 BDSG bekannt sind. Sie gehen aber in ihrer Detaillierung teilweise auch darüber hinaus. Sie umfassen insbesondere:
- · die Maßgabe zum Einsatz nur solcher Auftragsverarbeiter, die hinreichende
technische und organisatorische Maßnahmen garantieren können - · die Verpflichtung zur Einbeziehung der Sicherheitskonzepte der Dienstleister in
eine eventuell durchzuführende Datenschutzfolgenabschätzung - · die Vergabe eines Auftrags nur in Form eines schriftlich oder in elektronischer Form
abgeschlossenen Vertrages mit den Inhalten gemäß Art. 26 Abs. 2 DS-GVO - · ausdrückliche Erteilung von dokumentierten Weisungen,
also wohl in schriftlicher Form oder Textform - · ausdrückliche dokumentierte Weisung im Falle der Übermittlung in ein Drittland.
Vordergründig erleichternd wirkt, dass die ausdrückliche Kontrollpflicht des Auftragsverarbeiters, wie sie zum Beispiel § 11 Abs. 2 Satz 3 BDSG vorsieht, entfällt.
Allerdings ist die alleinige Fixierung auf die konkrete Norm zur Auftragsverarbeitung in Art. 26 DS-GVO trügerisch. Es finden sich über die gesamte DS-GVO verteilt immer wieder Verpflichtungen, die auf die Auftragsverarbeitung ausstrahlen. So wird sich zumindestens aus der „Rechenschaftspflicht“ („Accountability“) des Art. 5 Abs. 2 DS-GVO eine Kontrollpflicht ableiten lassen.
Auftraggeber zur Auftragsverarbeitung werden bis zur Gültigkeit der DS-GVO ihre Dienstleistungsverträge an die neue Rechtslage anpassen müssen. Darüber hinaus müssen sie sich mit ihren Dienstleistern über die Art und Weise der Weisungserteilung verständigen und entsprechende Prozesse etablieren und dokumentieren.
Anforderungen an den Auftragnehmer
Während die Anforderungen an den Auftraggeber sich innerhalb der bekannten Grundsätze bewegen, kommt es im Hinblick auf den Auftragsverarbeiter zu einem regelrechten Paradigmenwechsel:
Während bisher im Hinblick auf das Auftragsverhältnis der Auftraggeber nahezu vollumfänglich alleiniger Normadressat war und die datenschutzrechtlichen Verpflichtungen nahezu ausschließlich im Rahmen eines Vertrages auf den Auftragsverarbeiter überleiten musste, ist der Auftragsverarbeiter nunmehr gleichrangiger Normadressat. Dies gilt aber nicht nur für die Kernnorm der Auftragsverarbeitung gemäß Art. 26 DS-GVO sondern auch für viele weitere Normen, in denen seiner Verantwortlichkeit ausdrücklich genannt wird. Hervorzuheben ist dabei seine gesamtschuldnerische Haftung mit dem Auftraggeber gemäß Art. 77 DS-GVO sowie die Bußgeldbewehrung insbesondere bei Verstoß gegen Art. 26 DS-GVO gemäß Art. 79 Abs. 3(neu) lit. (a) DS-GVO.
Zudem gilt der Auftragsverarbeiter, der ohne oder entgegen einer Weisung oder einen Vertrag arbeitet, selbst als „für die Verarbeitung Verantwortlicher“. Das wirkt sich insbesondere im Bereich der Bußgeldtatbestände aus, da sich der Auftragsverarbeiter in diesen Fällen regelmäßig nicht auf eine eigene Rechtsgrundlage berufen kann und damit unzulässiger Weise personenbezogene Daten verarbeitet.
Für den Auftragsverarbeiter ergeben sich daraus insbesondere folgende neue Pflichten [6]:
- · Einsatz von Unterauftragnehmern nur mit Zustimmung des Auftraggebers
- · Verarbeitung nur bei Vorliegen eines schriftlichen oder in
elektronischer Form abgeschlossenen Vertrages - · Verarbeitung nur auf Grundlage von dokumentierten Weisungen
- · Übermittlung in ein Drittland nur auf Grundlage von
dokumentierten expliziten Weisungen - · Befolgung der Hinweispflicht gegenüber dem Auftraggeber soweit eine
gesetzliche Pflicht des Auftragsverarbeiters zur Übermittlung in ein Drittland besteht - · Vorhalten von Prozessen zur Sicherstellung der Rechte Betroffener
- · Prozess zur Meldung von allen Sicherheitsvorfällen an den Auftraggeber
- · Unterstützung des Auftraggebers hinsichtlich Wiederherstellung der IT-Sicherheit
bei Sicherheitsvorfällen sowie der Datenschutzfolgenabschätzung - · Nachweis gegenüber dem Auftraggeber im Hinblick auf die
Einhaltung der Anforderungen aus Art. 26 DS-GVO - · Dokumentation der Auftragsverhältnisse gemäß Art. 28 Abs. 2a
DS-GVO (analog dem Verfahrensverzeichnis nach BDSG).
[6] zu den Anforderungen an den Auftragsverarbeiter siehe detailliert Müthlein, a.a.O., S. 77 ff.
Auftragsdatenverarbeitung in Drittländern
Die DS-GVO bringt nun endgültig Klarheit in eine rein deutsche Fragestellung: ist eine Auftragsverarbeitung im Drittland, d.h., in einem Land außerhalb der EU, möglich? Durch einen Fehler bei der Umsetzung der EU Datenschutzrichtlinie hatte der deutsche Gesetzgeber 2001 in der Definition des Auftragnehmers seine Tätigkeit auf den Geltungsbereich der EU Datenschutzrichtlinie beschränkt. Hieraus zogen insbesondere die auf Datenschutzaufsichtsbehörden bislang der Schluss, dass das Modell der Auftragsdatenverarbeitung für die Einschaltung eines Auftragsverarbeiters in Drittländern nicht gilt.
Diese territoriale Beschränkung fehlt nunmehr in der DS-GVO, genauso wie sie auch in der EU Datenschutzrichtlinie nicht vorhanden war. Hieraus genau wie aus weiteren Regelungen, die explizit Regelungen für Auftragsverarbeiter in Drittländern vorsehen, ergibt sich, dass ein Auftragsverarbeiter gleichwohl nach den Regelungen der Auftragsverarbeitung innerhalb der EU wie auch in Drittländern eingesetzt werden kann.
Auftragsverhältnisse in Drittländern sind gemäß Art. 26 DS-GVO unter Beachtung der Regelungen zur Verarbeitung in Drittländern (s. Kapitel V DS-GVO) zu gestalten.
Soweit der Auftragsverarbeiter Daten in Drittländer übermittelt oder Unteraufträge in Drittländer vergibt, müssen hierfür bis zur Geltung der DS-GVO die entsprechenden dokumentierten Weisungen der Auftraggeber vorliegen.
Funktionsübertragung
Im deutschen Recht ist die Ausgestaltung der sogenannten Funktionsübertragung, die z. B. bei der Verlagerung der Personalverwaltung in ein Shared Service Center (SSC) zum Tragen kommt, lange kontrovers diskutiert worden. Die DS-GVO beendet die Debatte, in dem sie keinen Unterschied zwischen Funktionsübertragung und Auftragsverarbeitung mehr macht. Eine Funktionsübertragung ist nunmehr regelmäßig als Auftragsverarbeitung einzuordnen.
Dienstleister wie auch konzerninterne Shared Service Center müssen ihre Verträge überprüfen und anpassen, sowie die oben skizzierten Pflichten zukünftig umsetzen. Dabei ist zu beachten, dass die vom Auftraggeber zur Verarbeitung überlassenen Daten, nicht vom Auftragnehmer für eigene Zwecke genutzt werden dürfen.
Die deutschen Unternehmen werden ihre Dienstleistungsverträge neu bewerten müssen. Die bisher als Funktionsübertragung ausgestalteten Vereinbarungen werden auf eine Auftragsverarbeitung gemäß Art. 26 DS-GVO oder im Hinblick auf eine gemeinsame Verantwortung nach Art. 24 DS-GVO umzustellen sein.
Umsetzung von Standards und Zertifizierung
Vereinigungen können Standards zum Datenschutz entwickeln und, soweit sich Unternehmen zu ihrer Einhaltung verpflichten, deren Einhaltung kontrollieren. Hierbei handelt es sich um Regelungen wie zum Beispiel den Code of Conduct der Versicherungswirtschaft. Zu einem solchen Standard im Bereich der Auftragsdatenverarbeitung könnte zum Beispiel der von GDD und BvD vorgelegte Standard zur Auftragsdatenverarbeitung entwickelt werden.
Ausdrücklich geregelt ist in Art. 39, 39a DS-GVO die Zertifizierung. Denn gerade im Rahmen der Auftragsverarbeitung gewinnt sie in unterschiedlicher Hinsicht Bedeutung. Zum einen kann sie im Verhältnis zum Auftraggeber wie auch die Einhaltung von Standards als Nachweis für die Einhaltung datenschutzrechtlicher Vorgaben herangezogen werden. Zum anderen dienen beide Instrumente den eigenen Nachweispflichten des Auftragsverarbeiters zur Einhaltung der ihm obliegenden Datenschutzverpflichtungen. Und zum dritten kann eine bestehende Zertifizierung wie auch die Einhaltung von Standards im Bußgeldverfahren zugunsten eines Auftragsverarbeiters wirken.
Unterauftragnehmer
Neue rechtliche Verantwortlichkeiten ergeben sich auch beim Einsatz von Unterauftragnehmern. Dies wird schon dadurch deutlich, dass die DS-GVO nicht von Unterauftragnehmern sondern vom Einsatz „weiterer Auftragsverarbeiter“ spricht. Damit wird auch schon der Status der Unterauftragnehmer deutlich: Sie haben die gleichen Rechte und Pflichten wie einen Auftragsverarbeiter. Die Kontrolle in der Lieferkette wird der Gestalt neu geordnet, als dass der Auftragsverarbeiter gegenüber seinem Unterauftragnehmer in die Rolle eines Auftraggebers schlüpft. D.h. er hat eigenständig die vollumfänglichen Verpflichtungen eines Auftraggebers gegenüber seinem Unterauftragnehmer umzusetzen. Dies setzt sich auch konsequent in den Haftungsregelungen fort. Hier kann der Auftragsverarbeiter vollumfänglich für ein Fehlverhalten des von ihm eingesetzten Unterauftragnehmers (mit)haftbar gemacht werden. Daneben unterliegt er der Bußgeldandrohung, wenn er keine ordnungsgemäßen Verträge mit seinen Unterauftragnehmern abschließt.
Auch gegenüber dem Auftraggeber hat der Auftragsverarbeiter beim Einsatz von Unterauftragnehmern neue Pflichten. Er darf diese nur noch einsetzen, wenn er hierzu die vorherige schriftliche Zustimmung seiner Auftraggeber hat. Erleichternd kann eine solche Zustimmung pauschal gegeben werden, zum Beispiel im Rahmen des Vertrages mit dem Auftraggeber. Dann muss jedoch dem Auftraggeber nach einer zeitnahen Information über Einschaltung oder Wechsel eines Unterauftragnehmers vertraglich ein Einspruchsrecht eingeräumt werden.
Auftragsverarbeiter haben dafür Sorge zu tragen, dass bis zur Geltung der DS-GVO schriftliche Verträge mit den Unterauftragnehmern vorliegen.
Zugleich ist ein wirksames Kontrollkonzept für die Unterauftragnehmer zu etablieren.
Verfahren bezüglich der Zustimmungen von Auftraggebern zum Einsatz oder Wechsel von Unterauftragnehmern sind mit den Auftraggebern zu vereinbaren und zu etablieren.
Wartung/Fernwartung (§ 11 Abs. 5 BDSG)
Im Zusammenhang mit der Aufrechterhaltung von IT werden häufig externe Dienstleister im Bereich der Wartung und Fernwartung eingesetzt. Nach der Definition der Auftragsdatenverarbeitung lässt sich diese Tätigkeit regelmäßig nicht hierunter subsumieren. Daraus ergibt sich die Frage, auf welcher Rechtsgrundlage eine, zufällige, Kenntnisnahme personenbezogener Daten anlässlich dieser Tätigkeit gestützt werden kann. Bei der Einstufung einer solchen Kenntnisnahme als Übermittlung wird sich in der überwiegenden Anzahl der Fälle eine Rechtsgrundlage nicht darstellen lassen, d.h. die Kenntnisnahme stellt ein von mindestens bis zu 20. Mio. Euro bußgeldbewerten Gesetzesverstoß dar. Deshalb ist der Abschluss eines Vertrags zur Auftragsdatenvereinbarung empfehlenswert. Die heutige gesetzliche Gleichstellung in § 11 Abs. 5 BDSG zur Auftragsdatenverarbeitung ist entfallen.
Der Einsatz von Wartungs- bzw. Fernwartungsunternehmen wird auch künftig als (Unter)Auftragsverarbeitung anzusehen sein. Die Maßnahmen, die für den Einsatz von Auftragsverarbeitern insbesondere im Hinblick auf Verträge zu ergreifen sind, sind auch in Bezug auf diese Unternehmen bis zur Geltung der DS-GVO umzusetzen.
Fazit
Wie in anderen Bereichen auch wird die DS-GVO im Bereich des Outsourcings die Unternehmen vor neue Herausforderungen stellen. Insbesondere vor dem geänderten Haftungs- und Bußgeldrahmen stehen Auftraggeber wie Dienstleister vor eine große Herausforderung, die Outsourcing Projekte bis zum Wirksamwerden der DS-GVO im Jahr 2018 an die neue Rechtslage anzupassen.
Daneben sind die Anforderungen des Art. 26 Abs. 2 DS-GVO, die im Rahmen des Vertrages festgeschrieben werden müssen, durch den Auftragsverarbeiter als eigene Verpflichtung umzusetzen. Das bedeutet, dass der Auftragsverarbeiter bereits beim Design seiner Leistung, zum Beispiel der Gestaltung eines Cloud Services, diese Anforderungen implementieren muss. D.h., er muss sich bereits in dieser Phase mit den Datenschutzanforderungen an seine Dienstleistung auseinandersetzen und Lösungen entwickeln. Dies ist auch der Ansatz, den bereits heute der GDD/BvD Standard „Anforderungen an Auftragnehmer nach § 11 BDSG“ – Datenschutzstandard DS-BvD-GDD 01 vorgibt. In der Konsequenz kann man daher sagen, dass dieser Standard, den die Datenschutzverbände GDD und BvD mit Unterstützung des LDI NRW vorgelegt haben, nunmehr einen Maßstab für die ab 2018 geltenden Anforderungen an einen Auftragsverarbeiter darstellt.
Soweit Zertifizierungsverfahren im Sinne der DS-GVO eingerichtet sind, wird die Möglichkeit bestehen, Nachweise im Bereich der Auftragsverarbeitung auch durch Zertifizierungen oder die Einhaltung von Standards [7] zu erbringen.
Auftragsverarbeiter müssen bestehende Dienstleistungsverhältnisse daraufhin überprüfen, ob sie den neuen Anforderungen gerecht werden. Soweit dies nicht der Fall ist, zum Beispiel weil entsprechende Verträge fehlen, ist dies bis zur Geltung der DS-GVO in 2018 zu heilen, da sie sonst in ein erhebliches Bußgeldrisiko laufen.
Für die neuen Dokumentationspflichten sind die entsprechenden Prozesse zu etablieren.
Die Dokumentation zum Nachweis der ordnungsgemäßen Auftragserbringung ist zum Beispiel anhand des GDD/BvD Standard „Anforderungen an Auftragnehmer nach § 11 BDSG“ – Datenschutzstandard DS-BvD-GDD 01 zu erstellen und vorzuhalten.
[7] hierzu unten Standard und Zertifizierung
Aufsichtsbehörden und Bußgelder
Die Rolle der Aufsichtsbehörden im Bereich der Auftragsverarbeitung geht in zwei unterschiedliche Richtungen: auf der einen Seite bleibt die Aufsichtsbehörde Kontrollbehörde mit der Kompetenz zur Verhängung von Bußgeldern. Dabei ändert sich ihr Fokus allerdings gegenüber der Rechtslage nach BDSG gewaltig. Während bislang die Bußgeldandrohung allein gegenüber dem Auftraggeber galt und zwar „nur“ für Verstöße bei der Vertragsgestaltung sowie bei der Kontrolle vor der Verarbeitung, richtet sich die Bußgeldandrohung nunmehr sowohl gegen den Auftraggeber als auch gegen den Auftragsverarbeiter. Geahndet werden kann nunmehr jedweder Verstoß gegen Regelungen zur Auftragsverarbeitung sowie weitere Regelungen, bei denen der Auftragsverarbeiter die Pflicht genommen wird. Damit kann bereits eine fehlende oder unvollständige Dokumentation oder z.B. ein fehlendes IT-Sicherheitskonzept, ein Bußgeld auslösen.
Der Bußgeldrahmen beträgt hier bis zu 10 Millionen Euro oder bis zu 2 % des gesamten weltweiten Jahresumsatzes des abgelaufenen Finanzjahres, je nachdem, was höher ist. Verstößt einen Auftragsverarbeiter gegen den Vertrag oder die Weisungen wird er selbst für die Verarbeitung zum sogenannten „Verantwortlichen für die Verarbeitung“. Im Bereich der Bußgeldvorschriften hat das zur Konsequenz, dass diese Verarbeitung als eine Verarbeitung ohne Rechtsgrundlage anzusehen ist. Damit erhöht sich der Bußgeldrahmen auf 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des abgelaufenen Finanzjahres, je nachdem, was höher ist.
Der Bußgeldrahmen für Verstöße von Auftraggebern oder Auftragsverarbeitern im Zusammenhang mit der Auftragsverarbeitung bemisst sich künftig auf mindestens 10 Mio. bzw. 20 Mio. Euro.
Im Hinblick auf diese Summen ist zur Vermeidung von Bußgeldern die Datenschutzkonformität der Auftragsverhältnisse bis zur Gültigkeit der DS-GVO in 2018 nachweisbar herzustellen.
Zur Auftragsverarbeitung
In ersten Analysen wird die Rechtslage nach der DS-GVO vielfach so bewertet, dass sich gegenüber dem Bundesdatenschutzgesetz (BDSG) nichts oder kaum etwas ändert [2]. Dieser Eindruck entsteht schnell, wenn man die Texte der DS-GVO [3] und des BDSG [4] rein aus der Sicht eines Auftraggebers vergleicht. Versetzt man sich jedoch in andere Rollen, wie zum Beispiel die eines Auftragnehmers, jetzt Auftragsverarbeiter, dann wandelt sich das Bild sehr schnell [5].
———————————————————————————–
[1] Achtung: Zum Redaktionsschluss liegt die Endfassung der DS-GVO
noch nicht vor. Daher beziehen sich die angegebenen Verweise auf
Artikel der DS-GVO auf das Ergebnis des sog. Trilogs in der
Fassung des Dokuments des Rates 5455/16 vom 28.01.2016.
Die Nummerierung der Artikel in der Endfassung kann von der
vorliegenden abweichen.
[2] siehe zum Beispiel Petri in ZD 2015, Seite 305 ff auf der Basis der
Vorschläge der Kommission, des Parlamentes und des Rates,
die sich inhaltlich im Bereich der Auftragsdatenverarbeitung nicht
wesentlich von der Endfassung der DS-GVO unterschieden.
So auch eine erste Bewertung der gemeinsamen Arbeitsgruppe
von BvD, bvitg, GMDS und GDD, Auftragsdatenverarbeitung
in der geplanten europäischen Datenschutz-Grundverordnung
vom 10.12.2014
[3] Art. 26 DS-GVO
[4] § 11 BDSG
[5] Ausführlich zu dem Thema auch Müthlein, ADV 5.0 – Neugestaltung der
Auftragsdatenverarbeitung in Deutschland, RDV 2016, S. 74-87
Tipp zur Serie: Weiterlesen
Dieser Fachbeitrag unserer Partnerredaktion „LOHN+GEHALT“ hat Ihnen neue Zugänge für Ihre Arbeit erschlossen? Sie möchten mehr lesen? Dann schauen Sie jetzt in die aktuelle Ausgabe.
Jetzt weiterlesen: www.lohnundgehalt-magazin.de
