Auf den ersten Blick kommt dem Leser des Art. 28 EU-DSGVO Vieles bekannt vor – neben der Kleinigkeit, dass es nun Auftragsverarbeitung und nicht mehr AuftragsDATENverarbeitung heisst:

  • Im Vorgriff auf Art. 29 EU-DSGVO darf der Auftragsverarbeiter personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten.
  • Auftragnehmer müssen sorgfältig ausgewählt werden
  • es ist eine Vereinbarung zur Auftragsverarbeitung notwendig

Auch andere, neu eingeführte Verpflichtungen sind zumindest aus der Praxis bereits bekannt:

  • Der Auftragsverarbeiter muss explizit bei der Erfüllung der Verpflichtungen des Verantwortlichen hinsichtlich der Betroffenenrechte (z.B. Auskunftsrecht) unterstützen (Art. 28. III e) EU-DSGVO.
  • Der Auftragsverarbeiter muss er Weisungen auf ihre Rechtmäßigkeit hin prüfen und in Zweifelsfällen seinen Kunden informieren (Art. 28. III h) EU-DSGVO). Zwar ist diese Verpflichtung auch bisher schon in vielen Vereinbarungen enthalten, jedoch stößt die Umsetzung dieser Verpflichtung auf zahlreiche Probleme. So etwa, ob der Auftragsverarbeiter verpflichtet ist zu monitoren, ob die Tätigkeiten des Auftraggebers rechtmäßig sein. Dies kann vor allem Server-Hoster vor Probleme stellen, die regelmäßig nicht wissen (können), welche Verarbeitungsverfahren konkret die Auftraggeber auf den gehosteten Maschienen betreiben.
  • Die Weisungen Weisungen des Auftraggebers sind durch den Auftragsverarbeiter zu dokumentieren. (Art. 28.III a) EU-DSGVO)
  • Der Auftragsverarbeiter haftet explizit für seine Sub-Auftragnehmer (Art. 28. IV EU-DSGVO), mit denen er ebenfalls eine Vereinbarung treffen muss (Art. 28. II EU-DSGVO).
  • Der Auftraggeber muss bezüglich eines Wechsels der Subauftragnehmer informiert werden und diesbezüglich ein Einspruchsrecht erhalten, auch dann, wenn eine allgemeine schriftliche Genehmigung zur Einschaltung weiterer Auftragnehmer besteht (Art. 28. II EU-DSGVO)
  • Der Auftragsverarbeiter muss gewährleisten, dass seine Mitarbeiter angemessen zur Verschwiegenheit verpflichtet wurden (Art. 28. III b) EU-DSGVO).
  • Der Auftragsverarbeiter muss zur Dokumentation der Verarbeitungstätigkeit beitragen und entsprechende Verzeichnisse anlegen sowie diese auf Anforderung der Aufsichtsbehörde vorlegen.

Allerdings gilt das Privileg der Auftragsverarbeitung anders im BDSG nicht nur auf den EU/EWR-Raum begrenzt. Zudem kann der Vertrag, auf der die Auftragsverarbeitung beruht, nun auch elektronisch abgeschlossen werden.

Hauptänderung ist die Verantwortung für die Datenverarbeitung im Auftrag. Während bei der Auftragsdatenverarbeitung nach §11 BDSG der Auftraggeber allein verantwortliche Stelle blieb (nach §3 Abs. 7 BDSG: „durch andere im Auftrag vornehmen lässt.“), können nun sowohl Auftraggeber als auch Auftragnehmer verantwortliche Stelle sein.
Das gilt insbesondere dann, wenn (Art. 28.X EU-DSGVO) der Auftragsverarbeiter gegen die Bestimmungen der Verordnung verstößt und selbst Zwecke und Mittel der Verarbeitung bestimmt.

In der Folge

  • haftet der Auftragnehmer nach Art. 82 EU-DSGVO gemeinsam mit dem Verantwortlichen (gesamtschuldnerisch) gegenüber der betroffenen Person sowohl für materielle wie auch immaterielle Schäden (z.B. Schmerzensgeld).
  • ist der Auftragnehmer wie auch der Auftraggeber nach Art. 79 EU-DSGVO durch die betroffene Person auf diesen Schadensersatz verklagbar.

Die Verantwortung des Auftragsverarbeiters erhöht sich gegenüber den Regelungen des BDSG damit enorm.

Ferner muss die Einhaltung der technisch-organisatorischen Maßnahmen nunmehr vom Auftragsverarbeiter eigeninitiativ nachgewiesen werden (Art. 28. V EU-DSGVO), etwa durch Zertifizierung nach Art. 42 EU-DSGVO. Im Unterschied zur bisher geltenden Regelung, in denen Audits des Auftragnehmers durch den Auftraggeber schon aus Budgetgründen eher spärlich vorkamen, darf der Auftragverarbeiter nicht mehr auf die Anforderung des Auftraggebers warten, sondern muss die Einhaltung selbständig nachweisen.

Weitere wichtige Informationen zur Auftragsdatenverarbeitung vom BayLDA nach der DSGVO finden Sie hier.