Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Vor der DSGVO gab es zwar auch schon die Auftragsverarbeitung. Allerdings wurden mit der DSGVO die Auftragsverarbeiter mit mehr Rechten und Pflichten ausgestattet. Was das für die Auftragsverarbeiter bedeutet, wird in diesem DSK-Papier erläutert.

Was bedeutet Auftragsverarbeiter?

• Eine Stelle verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten

Neue Pflichten und Verantwortlichkeiten des Auftragsverabeiters

• Gesamtverantwortung der Verarbeitung umfasst auch die Verarbeitung durch den Auftragsverarbeiter – keine Befreiung der Nachweispflicht durch Beauftragung eines Auftragsverarbeiters
• Bei Verstoß gegen die Weisung des Auftraggebers (Verarbeitung der Daten zu eigenen Zwecken oder Zwecke Dritter) haftet der Auftragnehmer als eigener Verantwortlicher
• Folge: Schadenersatz gegenüber den betroffenen Personen
• Führen eines Verfahrensverzeichnisses, welches bei Anfrage der Aufsichtsbehörde vorzulegen ist
• unverzügliche Meldung an den Auftraggeber bei Datenschutzverletzungen

Der Auftragsverarbeitungsvertrag

• Rechtsgrundlage: Art. 28 DSGVO
• Dieser kann schriftlich oder elektronisch abgeschlossen werden
• Es können darin individuelle Regelungen getroffen werden oder von der Aufsichtsbehörde Standardklauseln verwendet werden
• In diesem ist der Einsatz von Subunternehmern zu regeln und
• Die Vorgaben des Art. 32 DSGVO (TOMs) zu beachten
• Auftragsverarbeiter hat die Einhaltung des Datenschutzes nachzuweisen z.B. durch genehmigte Verhaltensregeln oder Zertifizierungen

Anmerkung der Datenbeschützerin

Mustervorlagen für einen Auftragsverarbeitungsvertrag werden beispielsweise von der GDD oder Bitkom zur Verfügung gestellt.

Wie sieht es mit Subunternehmern aus?

• Werden weitere Auftragsverarbeiter (Subunternehmer) seitens des Auftragnehmers eingesetzt, ist die Genehmigung des Auftraggeber einzuholen
• Bei Änderungen von Subunternehmern reicht eine Information an den Auftraggeber – dieser kann jedoch noch Widerspruch gegen die beabsichtigte Änderung einlegen
• Zwischen Subunternehmer und Auftragsverarbeiter ist ebenfalls ein Auftragsverarbeitungsvertrag zu schließen

Anmerkung der Datenbeschützerin

Nachfolgende Grafik erläutert die Abfolge und Vertragsverhältnisse zwischen Auftraggeber – Auftragnehmer und Subunternehmer.

Wartung und Fernzugriffe

• Bei Fernwartung oder IT-Wartung besteht die Möglichkeit Zugriff und Einsicht auf personenbezogene Daten zu erlangen
• Daher handelt es sich dabei um eine Verarbeitung (Auslesen, Abfragen, Verwenden) und somit um eine Auftragsverarbeitung

Technische Wartungen der IT-Infrastruktur

• Rein technischen Wartungen (Arbeiten an Stromzufuhr, Kühlung, Heizung) unterliegen keiner Auftragsverarbeitung

Mit welchen Folgen ist bei Verstößen zu rechnen?

• Es kann ein Bußgeld (Art. 83 Abs. 4, 5 und 6 DSGVO) verhängt werden.
• Die Sanktionen können den Verantwortlichen und auch den Auftragsverarbeiter betreffen.

Wer ist Auftragsverarbeiter?

Im DSK-Papier ist als Anhang eine Auflistung über Auftragsverarbeiter beigefügt.

Eine Abgrenzung für Auftragsverarbeiter veröffentlichte das BayLDA.

Hinweis der Datenbeschützerin

Weitere Informationen um das Thema die Auftragsverarbeitung finden Sie im Blogbeitrag „Wann handelt es sich um einen Auftragsverarbeiter?„

DSK-Kurzpapier Nr. 13

Quelle

Konferenz der unabhängigen Datenschutzbehörden
des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf