Verschärfte Haftung bei Auftrags(daten)verarbeitung
Abgemacht!
Die Zusammenarbeit mit externen Dienstleistern bei der Verarbeitung personenbezogener Daten ist für Unternehmen äußert relevant. Mit Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) werden dabei einige Neuerungen zu beachten sein, allen voran die verschärften Haftungsregeln.
Die denkbaren Szenarien sind vielfältig und ganz alltäglich. Firma X möchte ihre Marketingaktivitäten ausweiten und beauftragt eine Agentur mit der Versendung eines E-Mail-Newsletters an die eigenen Kunden. Der Selbstständige Y will sich alter Ordner und Festplatten entledigen und bedient sich hierzu eines auf Akten- und Datenträgervernichtung spezialisierten Dienstleisters. Unternehmensgruppe Z beabsichtigt die Lohn- und Gehaltsabrechnung outzusourcen. Doch ganz gleich ob Freiberufler oder Großkonzern, die dabei notwendige Weitergabe personenbezogener Daten an außenstehende Dritte ist nicht ohne Weiteres zulässig.
So wie nach bisheriger nationaler Rechtslage gilt auch im neuen europäischen Datenschutzrecht, das ab dem 25. Mai 2018 mit der Anwendbarkeit der DSGVO Einzug hält, das Prinzip des „Verbots mit Erlaubnisvorbehalt“. Legal ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten demnach nur, soweit eine Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis vorliegt.
Einwilligung taugt nicht
Die Einwilligung ist in Fällen der beauftragten Datenverarbeitung meist ein eher praxisuntaugliches Mittel. Man stelle sich vor, der Selbstständige Y müsste von allen seinen Kunden das Einverständnis dafür einholen, dass er die sie betreffenden Dokumente an einen Dienstleister zur Vernichtung weitergeben darf. Erschwerend kommt hinzu, dass erteilte Einwilligungen jederzeit widerrufen werden können.
Zur Einbindung von Externen und Dienstleistern hat sich daher unter dem derzeit noch gültigen Bundesdatenschutzgesetz (BDSG-alt) das Instrument der sogenannten Auftragsdatenverarbeitung etabliert. Es zeichnet sich dadurch aus, dass, in Abgrenzung zur Datenübermittlung, die Person oder Stelle, die personenbezogene Daten im Auftrag erhebt, verarbeitet oder nutzt, nicht mehr als „Dritter“ angesehen wird. Denn der Dienstleister unterliegt den Weisungen des Auftraggebers, der als „Herr der Daten“ die alleinige Verfügungsgewalt über die Daten behält.
Der Auftragnehmer fungiert dadurch lediglich als „verlängerter Arm“ des Auftraggebers. Nach außen bilden die beiden eine rechtliche Einheit. Aus Sicht des für die Verarbeitung Verantwortlichen bedarf es daher keines gesonderten Erlaubnistatbestandes für die Weitergabe personenbezogener Daten an seinen Dienstleister. Voraussetzung für eine wirksame Auftragsdatenverarbeitung ist eine gesonderte schriftliche Vereinbarung zwischen Auftraggeber und -nehmer.
Altes Prinzip – neuer Name
Am Prinzip der Auftragsdatenverarbeitung hat der europäische Gesetzgeber festgehalten, allerdings gibt es signifikante Änderungen gegenüber den Regelungen des BDSG-alt. Zunächst muss man sich an neue Begrifflichkeiten gewöhnen. Anstelle von „Auftraggeber“ und „Auftragnehmer“ werden die Beteiligten im einschlägigen Art. 28 DSGVO als „Verantwortlicher“ und „Auftragsverarbeiter“ bezeichnet. Künftig wird man die „Auftragsdatenverarbeitung“ demgemäß nur noch schlicht „Auftragsverarbeitung“ (AV) nennen. Doch auch sonst ändert sich einiges.
Bereits bei der Auswahl geeigneter Auftragsverarbeiter muss der Verantwortliche darauf achten, dass ein neuer Geschäftspartner – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien bietet, dass die Vorschriften der DSGVO eingehalten werden. Zum Nachweis der Erfüllung von Datenschutzstandards setzt die neue Verordnung dabei verstärkt auf Zertifikate. Frei nach dem Motto „Gehe direkt über Los“ werden Firmen, die datenschutzrelevante Siegel oder Prüfzeichen vorweisen können, bei Ausschreibungen einen echten Wettbewerbsvorteil genießen. Zwar gibt es derartige Zertifikate derzeit nur sehr eingeschränkt auf dem Markt, dies wird sich aber mit Sicherheit nach der Einführung der DSGVO ändern.
Schriftform adieu
Auch Firmen außerhalb des EU- beziehungsweise EWR-Auslands (Europäischer Wirtschaftsraum, bestehend aus EU-Mitgliedsländern plus Island, Liechtenstein und Norwegen) kommen nun als Auftragsverarbeiter in Betracht. Anders als das BDSG-alt sieht die DSGVO nämlich keine räumliche Beschränkung der Auftragsverarbeitung mehr vor. Voraussetzung ist jedoch, dass die Vorgaben zum internationalen Datentransfer eigehalten werden. So muss etwa im Empfangsstaat ein angemessenes Datenschutzniveau gewährleistet sein (siehe dazu auch Artikel „Grenzübertritt“ auf Seite 52).