07410 Datenschutzkonformes Outsourcing – Auftragsverarbeitung
|
Mit Geltung der neuen EU-Datenschutz-Grundverordnung (DSGVO) hat sich im Bereich Auftragsverarbeitung einiges getan. Aufgrund der erhöhten Anforderungen an einen Verantwortlichen sind auch die Anforderungen an eine Auftragsverarbeitung gestiegen. Ferner wurde mit der DSGVO eine in Deutschland bisher unbekannte Verarbeitungsform – die gemeinsame Datenverarbeitung – eingeführt. Durch diese neue Verarbeitungsform kam und kommt es in der Praxis zunehmend zu Abgrenzungsproblemen. Unter anderem wegen dieser neuen Verarbeitungsform ist es wichtiger denn je, die genauen Umstände der Datenverarbeitung durch Externe zu analysieren. Erst wenn Klarheit darüber besteht, wie die Datenverarbeitung durch den Externen konkret abläuft, lassen sich seine Verantwortlichkeit bestimmen und die erforderlichen Maßnahmen ergreifen.
Aufgrund der weiterhin ungebrochenen Relevanz der Auftragsverarbeitung für die Praxis befasst sich der Beitrag intensiv mit den neuen und alten Anforderungen der DSGVO an eine rechtskonforme Datenverarbeitung. Ferner zeigt er, was und welche Regelungen in einem Auftragsverarbeitungsvertrag nicht fehlen dürfen und wie die Regelungen ausgestaltet sein sollten.
Die Aspekte des datenschutzkonformen Outsourcings wie die „gemeinsame Datenverarbeitung” und die „Übertragung einer Verarbeitungsaufgabe” (früher: Funktionsübertragung) sowie deren Abgrenzungsfragen werden in weiteren Beiträgen erörtert. Arbeitshilfen: von: |
1 Einführung
Keine nationale Öffnungsklausel
Beim Lesen der für die Auftragsverarbeitung (nachfolgend AV) relevanten Vorschrift in Art. 28 DSGVO (in Nachfolgenden wird der besseren Lesbarkeit halber auf den Zusatz „DSGVO” verzichtet) fällt auf, dass in dieser Vorschrift keine nationale Öffnungsklausel enthalten ist. Daraus folgt, dass der nationale Gesetzgeber nicht befugt ist, im Bereich „Auftragsverarbeitung” eigene Regelungen zu schaffen. Das wiederum hat zur Konsequenz, dass es dem deutschen Gesetzgeber bspw. verwehrt ist, Spezialregelungen der Auftragsverarbeitung wie z. B. im Sozialbereich bisher in § 80 SGB X, „Verarbeitung von Sozialdaten im Auftrag”, oder bestimmte landesrechtliche Regelungen zu schaffen. Vielmehr müssen alle Auftragsverarbeitungen nunmehr grundsätzlich an den Regelungen der DSGVO ausgerichtet werden. Denn auch die inhaltliche Ausgestaltung eines Auftragsverarbeitungsvertrags (AV-Vertrag) ist in der DSGVO abschließend geregelt.
Beim Lesen der für die Auftragsverarbeitung (nachfolgend AV) relevanten Vorschrift in Art. 28 DSGVO (in Nachfolgenden wird der besseren Lesbarkeit halber auf den Zusatz „DSGVO” verzichtet) fällt auf, dass in dieser Vorschrift keine nationale Öffnungsklausel enthalten ist. Daraus folgt, dass der nationale Gesetzgeber nicht befugt ist, im Bereich „Auftragsverarbeitung” eigene Regelungen zu schaffen. Das wiederum hat zur Konsequenz, dass es dem deutschen Gesetzgeber bspw. verwehrt ist, Spezialregelungen der Auftragsverarbeitung wie z. B. im Sozialbereich bisher in § 80 SGB X, „Verarbeitung von Sozialdaten im Auftrag”, oder bestimmte landesrechtliche Regelungen zu schaffen. Vielmehr müssen alle Auftragsverarbeitungen nunmehr grundsätzlich an den Regelungen der DSGVO ausgerichtet werden. Denn auch die inhaltliche Ausgestaltung eines Auftragsverarbeitungsvertrags (AV-Vertrag) ist in der DSGVO abschließend geregelt.
Einfluss über andere, „geöffnete” Artikel denkbar
Es sei aber darauf hingewiesen, dass es dem deutschen Gesetzgeber dennoch durchaus möglich ist, bei Regelungen, die in engem Zusammenhang mit der AV stehen bzw. Teil eines AV-Vertrags sein können und die eine entsprechende Öffnungsklausel enthalten, konkretisierende Regelungen zu schaffen, die dann wiederum Auswirkungen auf die AV nach der DSGVO haben.
Es sei aber darauf hingewiesen, dass es dem deutschen Gesetzgeber dennoch durchaus möglich ist, bei Regelungen, die in engem Zusammenhang mit der AV stehen bzw. Teil eines AV-Vertrags sein können und die eine entsprechende Öffnungsklausel enthalten, konkretisierende Regelungen zu schaffen, die dann wiederum Auswirkungen auf die AV nach der DSGVO haben.
Einzelsachverhalt klären
Heutzutage ist es daher wichtiger denn je, sich mit dem jeweiligen Einzelsachverhalt eines „Datenverarbeitungsoutsourcings” auseinanderzusetzen und zu überprüfen, ob es sich um eine Auftragsverarbeitungskonstellation handelt oder nicht. In einem zweiten Schritt gilt es dann zu prüfen, welche (nationalen) Regelungen neben denen der DSGVO existieren, die bspw. in der Vertragsgestaltung zu beachten sind. Da es gerade bei Auftragsverarbeitungen immer mehr auf den jeweiligen Einzelfall ankommt, kann die Verwendung von Standardverträgen ohne eine entsprechende Anpassung an den Einzelfall im Nachhinein durchaus mal, bildlich gesprochen, nach hinten losgehen.
Heutzutage ist es daher wichtiger denn je, sich mit dem jeweiligen Einzelsachverhalt eines „Datenverarbeitungsoutsourcings” auseinanderzusetzen und zu überprüfen, ob es sich um eine Auftragsverarbeitungskonstellation handelt oder nicht. In einem zweiten Schritt gilt es dann zu prüfen, welche (nationalen) Regelungen neben denen der DSGVO existieren, die bspw. in der Vertragsgestaltung zu beachten sind. Da es gerade bei Auftragsverarbeitungen immer mehr auf den jeweiligen Einzelfall ankommt, kann die Verwendung von Standardverträgen ohne eine entsprechende Anpassung an den Einzelfall im Nachhinein durchaus mal, bildlich gesprochen, nach hinten losgehen.
