Grundkonstruktion der Auftragsverarbeitung/Auftragsdatenverarbeitung (ADV)
Die Fragen was als Auftragsverarbeitung bzw. Auftragsdatenverarbeitung angesehen wird, kann wie folgt beschrieben werden: Wer die Hilfe externer Dienstleister bei der
Erbringung eigener Aufgaben in Anspruch nimmt, löst seine eigenen Aufgaben aus der innerbetrieblichen Organisation und überträgt sie auf Dritte.
Beispiele für diese Aufgabenübertragung („Outsourcing“):
- Lohnbuchhaltung
- Versendung von Werbeschreiben
- Mitarbeiter-Recruitment
- Verarbeitung von Adressdaten
- Entsorgung von Datenträgern
- Cloud Computing.
In der Praxis sollten diese datenschutzrechtlich relevanten Übermittlungen im Rahmen einer Auftragsverarbeitung/Auftragsdatenverarbeitung (ADV) stattfinden und zwar mit Hilfe von einem schriftlichem Vertrag.
Frühere Rechtslage
Die Auftragsdatenverarbeitung war bis zum 25. Mai 2018 in § 11 Bundesdatenschutzgesetz (BDSG) geregelt:
„Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.“
Der deutsche Gesetzgeber hat sich (im Gegensatz zur einer maßgeblichen EU-Richtlinie, die eine gemeinsame Verantwortung vorgesehen hat) dafür entschieden, im Falle einer Auftragsdatenverarbeitung die
alleinige Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben dem
Auftraggeber aufzuerlegen.
Seit dem 25. Mai 2018
Die Auftragsdatenverarbeitung wurde als Auftragsverarbeitung durch die DSGVO in einigen Bereichen neu geregelt. Auftragsverarbeiter ist gemäß Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Neben Google Analytics gehören auch Cloud Anbieter oder auf Aktenvernichtung spezialisierte Dienstleister zu den Auftragsverarbeitern.
Diese externen Dienstleister müssen die Daten weisungsgebunden verarbeiten, dürfen also nicht selbst nach eigenen Interessen handeln. Der verantwortliche Auftraggeber ist verpflichtet, den Dienstleister sorgfältig auszuwählen und zu kontrollieren. Der Dienstleister ist Rechenschaftspflichtig, d. h. er muss dem Auftraggeber die notwendigen Informationen zur Verfügung stellen, anhand derer überhaupt eine Kontrolle möglich ist.
Art und Umfang der Auftragsverarbeitung müssen in einem Vertrag festgehalten werden. Dieser kann schriftlich (vgl. das Beispiel von Google Analytics), unter der Geltung der DSGVO aber auch in elektronischer Form geschlossen werden.
WICHTIG
Die DSGVO sieht bei der Verletzung der datenschutzrechtlichen Pflichten eine
Mithaftung des Dienstleisters vor. Durch diese Mit-Schadensersatzhaftung gegenüber einem Betroffenen wird eine Haftungslücke geschlossen.
Die DSGVO nimmt auch solche Unternehmen in ihren Geltungsbereich auf, die zwar nicht ihren Sitz in der EU haben, aber innerhalb der EU personenbezogenen Daten erheben.