Auftragsverarbeitung
Die Verarbeitung personenbezogener Daten im Auftrag wird es auch unter der DS-GVO geben. Sie heißt dort "Auftragsverarbeitung" und ist in Art. 28 DS-GVO geregelt. Das neue BDSG (nicht-amtliche Fassung) enthält keine diesbezüglichen Regelungen mehr, für die Landesdatenschutzgesetze ist dies ebenso zu erwarten. Ab dem 25. Mai 2018 wird damit für alle öffentlichen und nichtöffentlichen Verantwortlichen Art. 28 DS-GVO anwendbar sein.
Die Auftragsverarbeitung wird nicht grundlegend umgestaltet. Die Auftragnehmer müssen sorgfältig ausgewählt werden und dürfen personenbezogene Daten nur im Rahmen der Anweisungen des Auftraggebers verarbeiten. Insgesamt kann festgestellt werden, dass sich die DS-GVO klar zum Modell der Auftragsverarbeitung bekennt und dieses sogar fortentwickelt.
Es ergeben sich aber im Detail einige Änderungen, insbesondere:
- Die zwingenden Inhalte des Auftrags wurden in Art. 28 Abs. 3 DS-GVO detailliert geregelt und enthalten zahlreiche kleinere Unterschiede zur bisherigen Rechtslage. Daher ist es notwendig, bestehende Aufträge bis zum 25. Mai 2018 anzupassen.
- Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO in Zukunft auch in einem elektronischen Format erfolgen. Das strenge Schriftformerfordernis (handschriftliche Unterschrift) gilt damit nicht mehr. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in § 126b BGB).
- Gemäß Art. 32 Abs. 2 DS-GVO haben die Auftragsverarbeiter in Zukunft ein eigenes Verzeichnis von Verarbeitungstätigkeiten zu führen.
- Art. 82 DS-GVO enthält einen eigenen Schadensersatzanspruch betroffener Personen gegenüber den Auftragsverarbeitern. Die Auftragsverarbeiter haften dann, wenn sie gegen ihre speziellen Pflichten aus der DS-GVO oder gegen die Anweisungen des Auftraggebers verstoßen.
- Verstoßen Auftragsverarbeiter gegen die Anweisungen des Auftraggebers und bestimmen selbst die Zwecke der Verarbeitung, gelten sie insofern außerdem gemäß Art. 28 Abs. 10 DS-GVO selbst als Verantwortliche, mit allen Konsequenzen.
Für eine Übermittlung an Auftragnehmer außerhalb der EU gelten zusätzlich die Anforderungen aus den Art. 44 ff. DS-GVO über die Übermittlung personenbezogener Daten in Drittländer.
Ein Kurzpapier der Datenschutzkonferenz gibt weitere Hinweise zur Auftragsverarbeitung.