Die Datenschutzgrundverordnung (DSGVO) - Teil 8: Daten-Outsourcing und Auftragsdatenverarbeitung

Veröffentlicht: 15.06.2017 | Geschrieben von: Yvonne Bachmann | Letzte Aktualisierung: 14.02.2018

Die Datenflut nimmt Tag für Tag zu. Egal ob mobile Endgeräte, wie Smartphone oder Tablet, oder Kreditkartendaten – die Datenmengen, die Verbraucher preisgeben, werden immer komplexer. Google & Co. machen es vor und verdienen mit dem Sammeln und Verarbeiten von Daten Unsummen. Auch kleineren Unternehmen wollen an dem Wissen teilhaben und geben die Datensammlungen bewusst oder unbewusst weiter, ohne sich über die datenschutzrechtlichen Folgen bewusst zu sein.

Cloud Computing

© Jakub Jirsák – Fotolia.com

Status quo: Auftragsdatenverarbeitung

Bei der Auftragsdatenverarbeitung erhebt, verarbeitet und/oder nutzt ein externer Dienstleister die personenbezogenen Daten für einen anderen, „Auftraggeber“, beispielsweise den Online-Händler. So stellen folgende Datenverarbeitungsprozesse eine Auftragsdatenverarbeitung dar:

  • dauerhafte oder temporäre Nutzung externer Serverkapazitäten
  • Auslagerung des Kundenservices (z. B. Bestellannahme) an ein externes Callcenter
  • Entsorgung von Datenträgern oder Akten
  • Wartungsdienstleistungen von Servern und Computern bei Einsicht in personenbezogene Daten
  • Nutzung von Google Analytics

Auch das Cloud Computing und das Hosten von Online-Shops kann eine Auftragsdatenverarbeitung darstellen.

Der Online-Händler, der die Daten seiner Webseitenbesucher oder andere persönliche Daten von anderen nutzen lässt, behält jedoch die volle Verantwortlichkeit, dass der Datenschutz nicht verletzt wird. Die Daten dürfen nur anhand der konkreten Weisungen des Auftraggebers genutzt werden. Der Auftraggeber weist und kontrolliert somit jeden Schritt der Datenverarbeitung und bleibt der Herr der Daten.

Beispiel: Ein Callcenter bekommt den Auftrag für einen Online-Händler, eine Bestellannahme durchzuführen. Das Callcenter tritt nicht als eigenständiges Callcenter auf, sondern im Namen des Händlers. Dem Callcenter ist es verboten, die übermittelten oder neu gesammelten Daten für weitere oder eigene Zwecke weiter zu nutzen.

Das Besondere an dieser Datenverwaltung: Stellen, die Daten im Auftrag verarbeiten, gelten nicht als „Dritte“. Eine Übermittlung der Daten an diese Stelle ist deshalb ohne gesonderte gesetzliche Erlaubnis bzw. Anordnung oder Einwilligung des Betroffenen möglich.

Die Auftragsdatenverwaltung ist derzeit noch in § 11 BDSG verankert. Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Das BDSG legt selbstverständlich noch weitere Voraussetzungen fest, die bei so einer Auftragsdatenverarbeitung einzuhalten sind. Der Auftragnehmer ist sorgfältig auszuwählen. Und es ist ein schriftlicher Auftrag zu erteilen, in welchem Mindestfestlegungen zu treffen sind (z. B. Gegenstand und die Dauer des Auftrags, Umfang, Art und Zweck der vorgesehenen Datenerhebung). Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und auch später regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

DSGVO: Die Auftragsdatenverarbeitung wird zur Auftragsverarbeitung

Mit der DSGVO wird die bisher gesetzlich verankerte Auftragsdatenverarbeitung zur Auftragsverarbeitung. Die Regelungen zur Auftrags(daten)verarbeitung sind in der DSGVO hauptsächlich in Artikel 28 DSGVO verankert.

Die DSGVO definiert den Auftragsverarbeiter als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Auftraggebers verarbeitet. Es kommt also auf einen „Auftrag“ (s. o.) an, nicht mehr jedoch auf ein Weisungsrecht des Auftraggebers. Dennoch wird auch weiterhin statuiert, dass der Auftragsverarbeiter die Daten ausschließlich auf Weisung des Auftraggebers verarbeiten muss. Auch um den jetzt schon notwendigen Vertrag über die Auftragsdatenverarbeitung kommt man nicht unbedingt herum. Die DSGVO lässt künftig jedoch einen Vertrag in elektronischer Form oder einen „sonstigen Rechtsakt“ genügen. Im Vertrag muss sich der Auftragnehmer zur Verschwiegenheit verpflichten.

Neu ist, dass nicht nur der Auftraggeber, sondern künftig auch der Auftragnehmer in die Verantwortung genommen werden kann, und schlimmstenfalls auch gegen ihn ein Bußgeld verhängt werden kann. Dass die Augen bei der Wahl des Auftragnehmers aufzuhalten sind, bleibt auch in der DSGVO unverändert. Der Auftraggeber darf nur mit solchen natürlichen oder juristischen Personen, Behörden, Einrichtungen oder anderen Stellen zusammenarbeiten, die hinreichend garantieren können, dass sie die Verarbeitung der Daten im Einklang mit dem Datenschutzrecht gewährleisten können.

Kommt es bei einem Auftragsverarbeiter zu einem Datenschutzverstoß, muss dieser seinen Auftraggeber informieren, Artikel 33 Absatz 2 DSGVO.

Bestehen bleiben weiterhin:

  • Eine Dokumentation von Weisungen, Artikel 28 Absatz 3a DSGVO
  • Anfertigung eines Verzeichnisses über die Verarbeitungstätigkeiten, Artikel 30 Absatz 1 und 2 DSGVO (nicht verpflichtet werden Stellen mit weniger als 250 Beschäftigten, es sei denn, es bestehen besondere Verarbeitungsrisiken, etwa durch die Verarbeitung von besonderen Datenkategorien oder von Daten über Straftaten)
  • Dokumentation von Sicherheitsvorfällen, Artikel 33 Absatz 5 DSGVO.

 

Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)

Einführung

Teil 1: Newsletterversand

Teil 2: Informationspflichten

Teil 3: Auskunftspflichten

Teil 4: Betroffenenrechte

Teil 5: Umgang mit Datenpannen

Teil 6: Neuerungen beim Umgang mit Kundendaten

Teil 7: Übermittlung von Daten ins Ausland

Teil 8: Auftragsdatenverarbeitung

Teil 9: Der Einsatz von Cookies

Teil 10: Social Plugins

Teil 11: Der Datenschutzbeauftragte

Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung

Teil 13: Aufsichtsbehörden

Teil 14: Befugnisse und Sanktionsmaßnahmen

Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)

Teil 16: Glossar

 

Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)

Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)

 

Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.

 

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.