Am 25. Mai 2018 tritt die Europäische Datenschutz Grundverordnung (DSGVO) in Kraft und stellt Unternehmen vor etliche Herausforderungen. Warum? Ab diesem Stichtag werden Verstöße gegen die Datenschutz Grundverordnung geahndet. Dies betrifft auch die Zusammenarbeit zwischen Unternehmen und externen Dienstleistern. Der Fachbegriff hierfür lautet Auftragsdatenverarbeitung. Wir erklären, was dieser Begriff konkret bedeutet und was Sie als Unternehmen wissen und beachten müssen.
DEFINITION AUFTRAGSDATENVERARBEITUNG
Im Zuge der Digitalisierung nimmt das Kontingent personenbezogener Daten Ausmaße an, die sich von einzelnen Unternehmen und auch von Behörden schon lange nicht mehr handhaben lassen. Wann immer personenbezogene Daten durch einen externen Dienstleister erhoben, verarbeitet, verwaltet, aber auch genutzt werden, spricht man von Auftragsdatenverarbeitung.
Es handelt sich also nicht um die Verarbeitung von Auftragsdaten, sondern um die Verarbeitung personenbezogener Daten im Auftrag einer übergeordneten verantwortlichen Stelle, eben dem Auftraggeber. Grundlage der Beauftragung ist in allen Fällen ein schriftlicher Vertrag, der den Umgang mit den personenbezogenen Daten regelt.
Die aktuellen Anforderungen an solche Verträge werden in § 11 BDSG geregelt. Die bisherige Gesetzeslage in Europa war in Bezug auf die Auftragsdatenverarbeitung in vielen Punkten undeutlich. Art. 17 der Datenschutzrichtlinie genügte den wachsenden Anforderungen nicht.
Mit Art. 28 ff. EU-DSGVO erfährt nun auch die Auftragsdatenverarbeitung eine detaillierte gesetzliche Regelung. An dieser Stelle informieren wir Sie gerne über die Änderungen.
Auftragsdatenverarbeitung – grundsätzliche Änderungen und Anforderungen aufgrund der DSGVO
Die DSGVO führt zunächst einige sprachliche Änderungen ein. Juristisch deutlicher, dafür im Lesefluss etwas sperriger ist nun vom Auftragsverarbeiter bzw. vom für die Verarbeitung Verantwortlichen die Rede.
Nach wie vor ist für die Auftragsdatenverarbeitung eine vertragliche Regelung erforderlich. Neu ist, dass diese nicht mehr ausschließlich in rein schriftlicher Form vorliegen muss, sondern auch im elektronischen Format abgeschlossen werden kann.
Der Gesetzgeber stellt, wie auch schon in § 11 BDSG, die Anforderung, dass der jeweilige Auftragsverarbeiter unter Berücksichtigung der technischen und organisatorischen Maßnahmen ausgewählt werden muss. Übersetzt bedeutet dies nichts anderes, als dass der Dienstleister über die nötigen Ressourcen zur Verarbeitung der Daten verfügen muss.
Analog zur bestehenden Regelung darf der Auftragsverarbeiter personenbezogene Daten ausschließlich im Sinne der vertraglichen Regelungen mit dem Verantwortlichen bearbeiten. Nutzt ein Dienstleister diese Daten über diese Regelungen hinaus für eigene oder fremde Zwecke, wird er selbst zum Verantwortlichen (siehe Art. 28 Abs. 10 EU-DSGVO).
Die DSGVO gestattet nach Art. 3 nun auch die Datenverarbeitung im Auftrag außerhalb der EU.
„Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“
Was muss in einem Vertrag zur Auftragsdatenverarbeitung beachtet werden?
Die Anforderungen an einen Vertrag, der die Bedingungen der Auftragsdatenverarbeitung regelt, sind weitestgehend dieselben wie bisher. Die EU-DSGVO orientiert sich stark an der in Deutschland gebräuchlichen Richtlinie und gibt nach Art. 28 Abs. 3 die folgenden inhaltlichen Vertragspunkte vor:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien von betroffenen Personen
- Umfang der Weisungsbefugnisse
- Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
- Sicherstellung von technischen und organisatorischen Maßnahmen
- Hinzuziehung von Subunternehmern
- Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
- Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
- Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
- Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
- Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
Wer ist für die Datenverarbeitung verantwortlich?
Wie bisher liegt die Verantwortung für die Einhaltung des Datenschutzes beim Auftraggeber. Im Fall von Verstößen bleibt er auch der erste Ansprechpartner für Betroffene.
Ein Sonderfall ist die sogenannte Joint Control, die in Art. 26 EU-DSGVO geregelt wird. Hierbei handelt es sich um die Zusammenarbeit mehrerer Verantwortlicher, die die Verarbeitungsbedingungen personenbezogener Daten gemeinsam, gleichberechtigt und transparent festlegen. Bei diesem Modell, das dem BDSG unbekannt ist, kann der Betroffene seine Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen.
Wer haftet bei Datenschutzverstößen?
Die EU-DSGVO verschärft in Art. 28 die Haftungsregelung für Auftragsverarbeiter. In diesem Punkt unterscheidet sie sich von der deutschen Richtlinie, die ausschließlich den Auftraggeber für Schadensersatzforderungen heranzieht. In der DSGVO heißt es:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder moralischer Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“
Grundsätzlich haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter gegenüber dem Betroffenen gemeinsam! Das bedeutet aber nicht, dass die beauftragten Dienstleister auch in vollem Umfang haftbar gemacht werden können. Dem Auftragsverarbeiter obliegt allein die Einhaltung der vertraglichen Regelungen mit dem Verantwortlichen. Führt ein nachweislicher Vertragsbruch des Dienstleisters zum Verstoß gegen das Datenschutzgesetz, können beide Parteien haftbar gemacht werden. Ebenso besteht für beide Vertragspartner die Möglichkeit zur sogenannten Exkulpation, dem Nachweis der eigenen Unschuld im Schadensfall. Ein Umstand, der die Chancen für von Datenschutzverstößen Betroffenen auf Schadensersatz nicht gerade erhöht.
Welche besonderen Pflichten hat der für die Verarbeitung Verantwortliche?
Für deutsche Unternehmen, die externe Dienstleister zur Auftragsverarbeitung einsetzen, ergeben sich keine besonderen neuen Verpflichtungen, da die Regelungen der EU-DSGVO die derzeitigen Anforderungen des BDSG nahezu vollständig übernommen haben.
Welche besonderen Pflichten hat der Auftragsverarbeiter?
Für Dienstleister werden künftig einige neue Regelungen und Pflichten zu beachten sein.
Gemäß Art. 30 Abs. 2 DSGVO müssen auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den für die Verarbeitung Verantwortlichen durchführen. Dieses Verzeichnis, das inhaltlich dem aus dem BDSG bekannten Verfahrensverzeichnis ähnelt, musste bislang nur von Auftraggebern geführt werden.
Ein solches beiderseitiges Protokoll soll Verbindlichkeiten und Transparenz fördern, erhöht aber auch den Verwaltungsaufwand. Neben dieser Regelung bestehen die bekannten Meldepflichten aus dem BDSG grundsätzlich fort.
FAZIT:
Inbound Marketing ist eine Methode, bei der der Kunde im Mittelpunkt steht. Leads kaufen, Cold-Calls und andere lästige Outbound-Strategien, bei denen Personen mit plakativen Werbebotschaften belagert werden, kommen beim Inbhound Marketing nicht zum Einsatz! Beim Inbound Marketing erhalten Interesenten hilfreichen Informationen, wenn Sie im Internet auf der Suche nach diesen Informationen sind oder danach fragen. Der Kunde bestimmt, welche Informationen er wo und zu welcher Zeit abrufen möchte! Die DSGVO regelt somit gesetzlich, was die Inbound Methode ausmacht.
Die DSGVO stellt Unternehmen vor zahlreiche Herausforderungen, aber mit der richtigen Vorbereitung werden Sie auch diese Herausforderungen meistern und auch in Zukunft mit externen Dienstleistern problemlos zusammenarbeiten.