Aufsatz : ADV 5.0 – Neugestaltung der Auftragsdatenverarbeitung in Deutschland : aus der RDV 2/2016, Seite 74 bis 87
Im Dezember 2015 haben sich die europäische Kommission, das europäische Parlament und der Rat der Europäischen Union auf eine neue Regelung des europäischen Datenschutzrechts in Form einer sogenannten Grundverordnung geeinigt. Mit der Veröffentlichung dieser „Verordnung des europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“ (DS-GVO)[1] und ihrem Inkrafttreten wird im zweiten Quartal 2016 gerechnet. Anschließend haben die betroffenen Unternehmen zwei Jahre Zeit, ihre Organisation, Prozesse und Verarbeitungen an die neuen Regelungen anzupassen, bis sie für sie Gültigkeit bekommt. Dabei ergibt sich insbesondere für Dienstleister eine neue Rechtssituation. Wieder einmal ändern sich in Deutschland nach den Novellen des Bundesdatenschutzgesetzes (BDSG) von 1990, 2001 und 2009 die Bedingungen der Auftragsdatenverarbeitung. Die jetzt Auftragsverarbeitung genannte Auftragsdatenverarbeitung geht damit in Deutschland in ihre nunmehr fünfte Evolutionsstufe[2]. Man kann daher auch im modernen Wording von Auftragsverarbeitung/Auftragsdatenverarbeitung 5.0 sprechen.
I. Zur Auftragsverarbeitung
In ersten Analysen wird die Rechtslage zur Auftragsdatenverarbeitung nach der DS-GVO vielfach so bewertet, dass sich gegenüber dem BDSG nichts oder kaum etwas ändert[3]. Dieser Eindruck entsteht schnell, wenn man die Texte der DS-GVO und des BDSG rein aus der Sicht eines Auftraggebers vergleicht. Versetzt man sich jedoch in andere Rollen, wie zum Beispiel in die eines Auftragnehmers, jetzt Auftragsverarbeiter genannt, dann wandelt sich das Bild sehr schnell.
1. Vergleich der Definitionen
Die wichtigsten Definitionen zur Auftragsdatenverarbeitung, insbesondere zur verantwortlichen Stelle, Auftragsverarbeiter und Drittem werden ihrem Wortlaut nach weitgehend aus der EU-Datenschutzrichtlinie (RL 95/46/EG) übernommen und finden sich in Art. 4 Abs. 5, 6, 7a DS-GVO (Tri)[4] sowie weitere mit Bezug zur Auftragsverarbeitung in Art. 4 Abs. 7, 19b, 19c DS-GVO (Tri).
Grundsätzlich entsprechen die Definitionen den bisherigen aus der RL 95/46/EG und abgeleitet daraus den im BDSG bekannten.
Im Hinblick darauf, dass sich der deutsche Gesetzgeber bei der Umsetzung der RL 95/46/EG bzgl. der Begriffsbestimmungen hinsichtlich der Auftragsdatenverarbeitung nicht an der Richtlinie, sondern an dem Text des BDSG 1990 orientiert hat, sind einige Aspekte der Begriffsdefinitionen der Richtlinie nicht ins BDSG eingeflossen. Dies betrifft insbesondere den Aspekt, dass ein für die Verarbeitung Verantwortlicher „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ bzw. entscheiden kann, s. Art. 2 lit. d) RL 95/46/EG und Art. 4 Abs. 5 DS-GVO (Tri).
Die Folge dieses „Umsetzungsversehens“ des deutschen Gesetzgebers ist, dass nach deutscher Auffassung die Auftragsdatenverarbeitung sehr stark auf die rein „technische“ Durchführung im Rahmen einer Datenverarbeitung beschränkt ist[5]. Dagegen verfolgt die RL 95/46/EG einen stärker funktional geprägten Ansatz. Dies zeigt insbesondere die Interpretation der Artikel 29-Datenschutzgruppe[6] zum Begriff des „für die Verarbeitung Verantwortlichen“[7] in Abgrenzung zum Auftragsverarbeiter:
„… Der Begriff „für die Verarbeitung Verantwortlicher“ ist eine eigene Prägung, da er in erster Linie gemäß dem Datenschutzrecht der Gemeinschaft ausgelegt werden sollte, und er ist funktionell, da er die Verantwortung entsprechend dem tatsächlichen Einfluss und damit auf der Grundlage einer faktischen anstelle einer formalen Analyse zuweist.
Die Definition in der Richtlinie umfasst die folgenden drei Hauptkomponenten:
- den personenbezogenen Aspekt („die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle“);
- die Möglichkeit einer pluralistischen Kontrolle („die allein oder gemeinsam mit anderen“) und
- die wesentlichen Elemente zur Unterscheidung des für die Verarbeitung Verantwortlichen von anderen Akteuren („über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“). …“
Dementsprechend sieht die Art. 29-Datenschutzgruppe die Auftragsdatenverarbeitung dann verlassen, wenn eine Stelle „… weder einen rechtlichen noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, …“, denn dann kann sie „…nicht als für die Verarbeitung Verantwortlicher angesehen werden“[8].
Andererseits definiert sie die Rolle des Auftragsverarbeiters konsequent weit[9]:
„… Zudem ergibt sich die Rolle des Auftragsverarbeiters nicht aus seiner Eigenschaft als Akteur, der personenbezogene Daten verarbeitet, sondern aus seinen konkreten Tätigkeiten in einem spezifischen Kontext und in Bezug auf spezifische Daten- oder Vorgangsreihen. Einige Kriterien können für die Einstufung der verschiedenen an der Verarbeitung beteiligten Akteure hilfreich sein:
- die Ausführlichkeit der von dem für die Verarbeitung Verantwortlichen erteilten Weisungen;
- die Überwachung der Erbringung der Dienstleistung durch den für die Verarbeitung Verantwortlichen;
- die Außenwirkung gegenüber betroffenen Personen;
- die Fachkompetenz der Parteien und der den verschiedenen an der Verarbeitung beteiligten Parteien überlassene Entscheidungsspielraum. …“
In der Konsequenz heißt das, dass, anders als nach dem BDSG, die DS-GVO (Tri) auch dann von einer Auftragsverarbeitung ausgeht, wenn sie sich nicht nur auf die technische Durchführung eines Auftrags beschränkt. Als Beispiel hierfür nennt die Art. 29-Datenschutzgruppe die Beauftragung eines Callcenters[10]. Weiterhin ist es danach auch nicht schädlich, wenn dem Auftragsverarbeiter eigenverantwortliche Spielräume für die Umsetzung des Auftrags bleiben. Als Beispiel hierfür verweist die Art. 29-Datenschutzgruppe auf die Tätigkeit im Rahmen von Direktwerbekampagnen mit entsprechenden Gestaltungsspielräumen[11]. Entscheidend ist vielmehr, dass ein Auftraggeber auch bei der Tätigkeit eines Auftragsverarbeiters einen rechtlichen und/oder einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden[12].
II. Anforderungen an den Auftraggeber
Die Anforderungen an den für die Verarbeitung Verantwortlichen, im Weiteren Auftraggeber genannt, im Rahmen der Auftragsverarbeitung ergeben sich im Wesentlichen aus Art. 26 DS-GVO (Tri) und entsprechen weitgehend denen, die aus der aktuellen Fassung des § 11 BDSG bekannt sind. Sie gehen damit in ihrer Detaillierung über die Regelungen der RL 95/46/EG, deren Grundprinzipien beibehalten und verfeinert werden, deutlich hinaus. Betrachtet man die einzelnen Phasen eines Projektes zur Auftragsverarbeitung, wie sie sich zum Beispiel aus dem Datenschutzstandard DS-BVDGDD-01[13] ergeben, werden einige Unterschiede deutlich.
2.1 Auswahlphase/Angebotsphase:
Bereits in dieser Phase verlangt die DS-GVO (Tri), dass bei der Anforderungsdefinition an die Dienstleistung die Aspekte berücksichtigt werden müssen, die es dem Auftragsverarbeiter aufgrund technischer und organisatorischer Maßnahmen ermöglichen, die Verarbeitung so durchzuführen, dass sie im Einklang mit den Anforderungen dieser Verordnung erfolgt und dass der Schutz der Rechte der betroffenen Person sichergestellt wird, Art. 26 Abs. 1 DS-GVO (Tri). Hierzu hat sich der Auftraggeber von hinreichenden Garantien des Auftragsverarbeiters zu überzeugen. Solche Garantien können gemäß Art. 26 Abs. 3 DS-GVO (Tri) ausdrücklich in Zertifikaten gemäß Art. 39 DS-GVO (Tri) oder der Einhaltung von genehmigten Verhaltensregeln gemäß Art. 38 DS-GVO (Tri) bestehen. Damit gehen die Anforderungen bereits hier über die des BDSG hinaus, das gemäß § 11 Abs. 2 S. 1 BDSG lediglich eine sorgfältige Auswahl „unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen“ verlangt.
Aber auch bei der Definition dessen, was als Leistung von einem Dienstleister eingefordert werden soll, unterliegt der Auftraggeber unter Umständen gegenüber dem BDSG weitergehenden Anforderungen. Gemäß Art. 33 DS-GVO (Tri) unterliegen bestimmte Verarbeitungen[14], deren Katalog durch die Aufsichtsbehörden ergänzt werden kann, der Datenschutzfolgenabschätzung. Diese Anforderung, die von ihrer Intention her mit der Vorabkontrolle des BDSG[15] vergleichbar ist, setzt auch eine Prüfung im Hinblick auf den Einsatz von Auftragsverarbeitern voraus. Dies ergibt sich insbesondere daraus, dass bei einer Vorlage der Datenschutzfolgenabschätzung bei der Aufsichtsbehörde gemäß Art. 34 Abs. 1 DS-GVO (Tri) im Rahmen der sogenannten vorherigen Konsultation der für die Verarbeitung Verantwortliche insbesondere auch Angaben zur Auftragsverarbeitung vorzulegen hat. Weiterhin ergibt es sich – indirekt – daraus, dass nach Art. 34 Abs. 6 lit (a) DS-GVO (Tri) die Zuständigkeiten des Auftragsverarbeiters explizit darzulegen sind, aber auch daraus, dass die Mittel der Verarbeitung sowie die Garantien zum Schutz der Rechte und Freiheiten der Betroffenen gemäß Art. 34 Abs. 6 lit (b), (c) DS-GVO (Tri) der Aufsichtsbehörde gegenüber darzulegen sind. Im Rahmen der Auftragsverarbeitung ist dies ohne Einbeziehung der konkreten Datenschutz- und Sicherheitskonzepte der Auftragsverarbeiter nicht möglich.
2.2 Vertragsabschlussphase:
Form
Während das BDSG für die Beauftragung eines Auftragnehmers bewusst die Forderung nach einem Vertrag, der gemäß den Vorschriften des BGB an bestimmte formale Voraussetzungen gebunden ist, vermied und von „Auftrag“ sprach, verlangt die DS-GVO (Tri) nunmehr ausdrücklich einen schriftlichen Vertrag, Art. 26 Abs. 1, 3 DS-GVO (Tri). Zwar kann von der Schriftform zu Gunsten einer „elektronischen Form“ gemäß Art. 26 Abs. 3 DS-GVO (Tri) abgewichen werden. Fraglich ist allerdings, welche Anforderungen an diese elektronische Form zu stellen sind.
Nach deutschem Recht ist die elektronische Form durch § 126a BGB bestimmt. Danach müssen bei einem Vertrag die Parteien jeweils ein gleichlautendes elektronisches Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz signieren.
Auch wenn es fraglich ist, ob der europäische Gesetzgeber diese elektronische Form im Sinne des BGB in diesem Zusammenhang gemeint hat, wird man nicht stark hiervon abweichen können.
Durch die elektronische Form soll die Möglichkeit eines anderen Mediums als Papier ermöglicht werden. Es sind jedoch keine Anzeichen dafür ersichtlich, dass die sonstigen Anforderungen an einen Vertrag, die sich letztlich in der gesetzlich definierten Schriftform manifestieren, durch den Medienwechsel entfallen sollen. Dies betrifft insbesondere die mit der beiderseitigen Zeichnung des Dokumentes verbundene Warnfunktion. Vor diesem Hintergrund wird man den Verweis auf die elektronische Form so verstehen müssen, dass auch hier eine gegenseitige Zeichnung verlangt wird.
Vor dem europäischen Hintergrund der Norm kann darüber diskutiert werden, ob hierfür eine qualifizierte digitale Signatur im Sinne des § 126a BGB erforderlich ist. Da Art. 26 Abs. 3 DS-GVO (Tri) jedoch keinen Verweis auf Gestaltungsmöglichkeiten des nationalen Gesetzgebers enthält, dürfte auch eine einfache digitale Signatur ausreichen. Weiterhin dürfte auch der Fall abgedeckt sein, dass ein ursprünglich schriftlich erstellter Vertrag in elektronisch archivierter Form vorliegt.
Inhalt
Die Inhalte des Vertrages, den der Auftraggeber mit dem Auftragsverarbeiter abzuschließen hat, entsprechen im Wesentlichen den Inhalten, die nach § 11 Abs. 2 BDSG bereits heute in Deutschland gefordert werden. Sie umfassen gemäß Art. 26 Abs. 1 DS-GVO (Tri) zum einen konkrete Angaben zum Auftrag wie die Festlegung
- des Gegenstandes der Verarbeitung,
- der Dauer der Verarbeitung,
- der Art der Verarbeitung,
- des Zwecks der Verarbeitung,
- der Art der personenbezogenen Daten,
- der Kategorien von betroffenen Personen,
- der Verpflichtungen und Rechte des Auftragsverarbeiters und zum anderen die aus § 11 Abs. 2 BDSG bekannten Regelungen der Verpflichtungen des Auftragsverarbeiters hinsichtlich
- der Festlegung der weisungsgebundenen Verarbeitung,
- des Einsatzes zur Verschwiegenheit verpflichteter Mitarbeiter,
- des Einsatzes aller erforderlichen technischen und organisatorischen Maßnahmen gemäß Artikel 30 DS-GVO (Tri),
- der Voraussetzungen für den Einsatz „weiterer Auftragsverarbeiter“ (Unterauftragnehmer),
- der Unterstützung des Auftraggebers bei der Umsetzung der Rechte Betroffener gemäß Kap. III DS-GVO (Tri),
- der Wahlfreiheit des Auftraggebers zur Rückgabe oder Löschung der personenbezogenen Daten nach Beendigung des Auftrags,
- der Ausgestaltung von Kontrollen.
- Auch wenn sich aus diesem Katalog eine weitgehende Überschneidung mit den Anforderungen des § 11 Abs. 2 BDSG und den hierauf aufbauenden gebräuchlichen Vertragsmustern[16] ergibt, wird der zu regelnde Katalog des Art. 26 Abs. 3 DS-GVO (Tri) um folgende neue Anforderungen ergänzt:
- Hinweispflicht bei rechtswidrigen Weisungen (musste nach § 11 BDSG nicht geregelt werden, ist aber regelmäßig in Vertragsmustern enthalten),
- Dokumentationspflicht für Weisungen,
- weisungsabhängige Drittlandübermittlung, –
- Hinweispflicht bei gesetzlicher Pflicht des Auftragsverarbeiters zur Übermittlung in ein Drittland,
- Unterstützungspflicht des Auftragsverarbeiters zugunsten des Auftraggebers hinsichtlich der Art. 30-34 DS-GVO (Tri),
- Nachweispflicht gegenüber dem Auftraggeber im Hinblick auf die Einhaltung der Anforderungen aus Art. 26 DS-GVO (Tri).
Da zumindest diese zusätzlichen Aspekte nach § 11 Abs. 2 BDSG bisher noch nicht verpflichtend zu regeln waren, sollte die Übergangsfrist der Datenschutzgrundverordnung dringend dazu genutzt werden, die bestehenden Verträge zu prüfen und anzupassen.
Vertragsmuster
Das BDSG sieht genau wie die RL 95/46/ EG die Verwendung individueller Texte zur Auftragserteilung vor. Betrachtet man allerdings die in Deutschland abgeschlossenen Verträge zur Auftragsdatenverarbeitung, stellt man fest, dass sie meistens auf den Vertragsmustern, die durch Aufsichtsbehörden und Verbände entwickelt wurden, basieren[17]. Aber nicht nur in Deutschland, sondern auch im EU-Ausland werden gerade zur Auftragsdatenverarbeitung Vertragsmuster zum Beispiel durch Aufsichtsbehörden angeboten[18].
Diese „Quasi-Standardisierung“ greift die DS-GVO (Tri) in Art. 26 Abs. 2ab DS-GVO (Tri) auf. Künftig sollen Auftraggeber wie Auftragsverarbeiter die Auswahl haben zwischen
- individuellen Verträgen,
- Standardverträgen zur Auftragsverarbeitung in der EU, die die Kommission bereitstellt,
- Standardverträgen zur Auftragsverarbeitung in der EU, die die Aufsichtsbehörden bereitstellen,
- Standardverträgen zur Auftragsverarbeitung in Drittländern, die die Kommission bereitstellt[19],
- Vertragsmuster zur Auftragsverarbeitung, die Gegenstand einer Zertifizierung der Auftragsverarbeitung nach Art. 39/ 39a DS-GVO (Tri) waren.
Im Hinblick auf die durch die Kommission oder die Aufsichtsbehörden bereitgestellten Standardverträge zur Nutzung innerhalb der EU sollen die Verwender frei bleiben zu entscheiden, ob sie diese Standardverträge vollständig oder nur teilweise, zum Beispiel durch Verwendung einzelner Klauseln, nutzen.
Soweit ein Vertragsmuster Gegenstand einer Zertifizierung war, schließt dies nicht aus, dass bei der konkreten Beauftragung abweichend hiervon eines der Vertragsmuster der Kommission oder der Aufsichtsbehörden verwendet wird.
2.3 Verarbeitungsphase:
Im Rahmen der Verarbeitungsphase sah § 11 Abs. 2 S. 3 BDSG Kontrollen des Auftragnehmers vor und während der Vertragslaufzeit vor. In Art. 26 DS-GVO (Tri) fehlt eine derartige Kontrollverpflichtung. Es ist lediglich im Rahmen der Vertragsgestaltung gemäß Art. 26 Abs. 2 lit. h) DS-GVO (Tri) ein Kontrollrecht vertraglich zu gestalten.
Allerdings ist die alleinige Fixierung auf die konkrete Norm zur Auftragsverarbeitung in Art. 26 DS-GVO (Tri) trügerisch. Es finden sich über die gesamte DS-GVO (Tri) verteilt immer wieder Verpflichtungen, die auf die Auftragsverarbeitung ausstrahlen. So wird sich zumindest aus Art. 5 Abs. 2 DS-GVO (Tri) eine Kontrollpflicht ableiten lassen. Danach ist der Auftraggeber unter dem Stichwort “accountability” oder “Rechenschaftspflicht” für die Einhaltung der in Art. 5 Abs. 1 definierten „Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten“ verantwortlich und muss in der Lage sein, dies nachzuweisen. Im Falle der Auftragsverarbeitung dürfte dieser bußgeldbewehrte Nachweis ohne effektive Kontrolle des Auftragsverarbeiters regelmäßig nicht zu führen sein.
II. Anforderungen an den Auftragnehmer
Während die Anforderungen an den Auftraggeber sich innerhalb der bekannten Grundsätze bewegen, kommt es im Hinblick auf den Auftragsverarbeiter zu einem regelrechten Paradigmenwechsel. Während bisher im Hinblick auf das Auftragsverhältnis der Auftraggeber nahezu vollumfänglich alleiniger Normadressat war, und die datenschutzrechtlichen Verpflichtungen nahezu ausschließlich im Rahmen eines Vertrages auf den Auftragsverarbeiter übergeleitet werden mussten, ist der Auftragsverarbeiter nunmehr gleichrangiger Normadressat. Dies gilt aber nicht nur für die Kernnorm der Auftragsverarbeitung gemäß Art. 26 DS-GVO (Tri), sondern auch für viele weitere Normen, in denen seine Verantwortlichkeit ausdrücklich genannt wird.
1. Haftung
Verschärft wird diese Situation durch die Haftungs-[20] und Bußgeldregeln[21], neben die auch ein direktes Klagerecht des Betroffenen gegen den Auftragsverarbeiter tritt[22]. Zum einen steht der Auftragsverarbeiter nach Art. 77 Abs. 1 DSGVO (Tri) grundsätzlich in einer gemeinsamen, gesamtschuldnerischen Haftung mit dem Auftraggeber gegenüber dem Betroffenen im Hinblick auf materielle wie immaterielle Schäden. Zum anderen ist ein Verstoß des Auftragsverarbeiters nach Art. 79 Abs. 3 lit (a) DS-GVO (Tri) gegen die Pflichten gemäß
- Artikel 8 Verarbeitung personenbezogener Daten eines Kindes
- Artikel 10 Verarbeitung, ohne dass die betroffene Person bestimmt werden kann
- Artikel 23 Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
- Artikel 24 Gemeinsam für die Verarbeitung Verantwortliche
- Artikel 25 Vertreter von nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen
- Artikel 26 Auftragsverarbeiter
- Artikel 27 Verarbeitung unter der Aufsicht des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters
- Artikel 28 Dokumentation
- Artikel 29 Zusammenarbeit mit der Aufsichtsbehörde
- Artikel 30 Sicherheit der Verarbeitung
- Artikel 31 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
- Artikel 32 Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes ihrer personenbezogenen Daten
- Artikel 33 Datenschutz-Folgenabschätzung
- Artikel 34 Vorherige Genehmigung und vorherige Zurateziehung
- Artikel 35 Benennung eines Datenschutzbeauftragten
- Artikel 36 Stellung des Datenschutzbeauftragten
- Artikel 37 Aufgaben des Datenschutzbeauftragten
- Artikel 38 Verhaltensregeln
- Artikel 39 Zertifizierung
- Artikel 39a Zertifizierungstelle und -verfahren
bußgeldbewehrt. Der Bußgeldrahmen beträgt hier bis zu 10 Millionen Euro oder bis zu 2 % des gesamten weltweiten Jahresumsatzes des abgelaufenen Finanzjahres, je nachdem, was höher ist.
Zu beachten ist hierbei, dass nicht wie im BDSG ein bestimmtes Verhalten oder Unterlassen bußgeldbewehrt ist, sondern jeder Verstoß gegen die genannten Artikel. So kann z.B. schon eine mangelhafte Dokumentation von Weisungen den Bußgeldtatbestand auslösen.
Das sich hiermit ergebende Haftungsszenario eines Auftragsverarbeiters macht es unumgänglich, dass er sich bereits beim Design seiner Dienstleistung sorgfältig auf die hiermit verbundenen Datenschutzaspekte, denen seine potenziellen Auftraggeber ausgesetzt sein können, einstellt und datenschutzkonforme Lösungen implementiert. Eine vorausschauende Prozessgestaltung ist im Hinblick auf die eigene Entlastung im Haftungsfall zwingend erforderlich. Vorgehensmodelle wie sie die Datenschutzverbände GDD und BvD mit dem Standard „Anforderungen an Auftragnehmer nach § 11 BDSG“ – DATENSCHUTZSTANDARD DS-BVDGDD-01[23] vorgestellt und mit dem LDI NRW abgestimmt haben, werden unter diesem Blickwinkel vom „Nice-ToHave“ zum „Must-Have“.
Aber auch eine bei Dienstleistern häufig zu beobachtende Praxis ist im Hinblick auf diese Haftungsszenarien neu zu bewerten. Häufig verweigern bislang Dienstleister den Abschluss einer erforderlichen Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG oder versuchen diese im Hinblick auf die gesetzlichen Anforderungen nur unzulänglich abzuschließen. Die hiermit verbundene Verarbeitung ohne Vertrag gemäß Art. 26 DS-GVO (Tri) wird künftig auch für den Auftragsverarbeiter zu einer eigenen Bußgeldbewehrung führen. Gemäß Art. 26 Abs. 2 DS-GVO (Tri) darf eine Auftragsverarbeitung nur auf der Grundlage eines Vertrages durchgeführt werden. Hierauf zu achten ist auch eine Pflicht des Auftragsverarbeiters, die unter Art. 79 Abs. 3 lit (a) DS-GVO (Tri) zu subsumieren ist[24].
2. Organisationsregeln
Vor dem Hintergrund dieser Haftungsszenarien sind die nachfolgenden Anforderungen an einen Auftragsverarbeiter im Vergleich zum BDSG zu betrachten: – Die Verarbeitung darf nur auf der Grundlage eines Vertrages erfolgen, Art. 26 Abs. 2 DS-GVO (Tri)[25]. Dies entspricht der bekannten Rechtslage. Es besteht jetzt für den Auftragsverarbeiter die Möglichkeit, ein eigenes Vertragsmuster im Rahmen eines Zertifizierungsverfahrens nach Art. 39/39a DS-GVO (Tri) zertifizieren zu lassen. Allerdings ist fraglich, inwieweit Zertifizierer diese Möglichkeit eröffnen werden. Schließlich ist hierzu eine juristische Bewertung erforderlich, und zudem können im Hinblick auf die Rechtsprechung zu Allgemeinen Geschäftsbedingungen neue Haftungsrisiken für den Zertifizierer entstehen.
– Es bleibt für den Auftragsverarbeiter dabei, dass er die Verarbeitung personenbezogener Daten ausschließlich weisungsgebunden vornehmen darf, Art. 27 DS-GVO (Tri). Damit einher geht wie bisher die Verpflichtung des Auftragsverarbeiters, Weisungen auf ihre Rechtmäßigkeit hin zu überprüfen und bei Zweifeln an der Rechtmäßigkeit den Auftraggeber zu informieren, Art. 26 Abs. 2 lit. (h) DS-GVO (Tri). Verschärft werden allerdings die Anforderungen dadurch, dass nunmehr ausdrücklich eine Dokumentation der Weisungen gefordert ist, Art. 26. Abs. 2a lit. (a) DS-GVO (Tri).[26]
– Soweit die Verarbeitung in einem Drittland stattfindet, ist dies dem Auftragsverarbeiter jetzt nur noch gestattet, soweit er hierzu eine „ausdrückliche“ Weisung des Auftraggebers erhalten hat. Der Auftragsverarbeiter hat den Auftraggeber auf dieses Weisungserfordernis für die Verarbeitung im Drittland hinzuweisen, Art. 26 Abs. 2 lit (a) DS-GVO (Tri). Auch für diese Weisungen greift das Dokumentationserfordernis. In diesem Fall ist eine „dokumentierte Weisung“ erforderlich, d.h. hier ist ausdrücklich keine Schriftlichkeit gefordert. Damit ist hier auch die Textform i.S.d. § 126 b BGB ausreichend.
– Besonders betont wird die Verarbeitung eines Auftragsverarbeiters auf der Grundlage eines Vertrages bzw. von Weisungen des Auftraggebers durch die Feststellung, dass der Auftragsverarbeiter bei Abweichungen hier von selber für die durchgeführte Datenverarbeitung in die Rolle des „für die Verarbeitung Verantwortlichen“ schlüpft, Art. 26 Abs. 4 DS-GVO (Tri). Damit verbunden ist, dass die Bußgeldandrohung für eine dann unzulässige Datenverarbeitung nach Art. 79 Abs. 3a DS-GVO (Tri) zu bemessen ist. Dies erhöht den Bußgeldrahmen auf bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des abgelaufenen Finanzjahres, je nachdem was höher ist.
– Der Auftragsverarbeiter muss dem Auftraggeber „hinreichende Garantien … bieten“ dafür, dass er die Auftragsverarbeitung gemäß der DS-GVO (Tri) durchführen kann, Art. 26 Abs. 1 DS-GVO (Tri). Dabei können diese hinreichenden Garantien durch eine Zertifizierung nach Art. 39 DS-GVO (Tri) oder durch die Einhaltung genehmigter Verhaltensregeln nach Art. 38 DS-GVO (Tri) nachgewiesen werden, Art. 26 Abs. 2aa DS-GVO (Tri). Soweit ein Nachweis hierüber nicht geführt werden kann, muss dies auf andere Art und Weise erfolgen. Hierbei wird es hilfreich sein, wenn die Auftragsverarbeitung nach öffentlich zugänglichen und anerkannten Standards zur Auftragsverarbeitung wie dem GDD/BvD Standard „Anforderungen an Auftragnehmer nach § 11 BDSG“ – DATENSCHUTZSTANDARD DS-BVD-GDD-01[27] organisiert sind und die entsprechenden Prozesse und Nachweise schlüssig im Einzelfall dem jeweiligen Auftraggeber dargelegt werden können.
– Die Forderung nach „hinreichenden Garantien“ geht einher mit der Verpflichtung des Auftragsverarbeiters, im Rahmen von Kontrollen den Nachweis zur Einhaltung der Pflichten nach Art. 26 DS-GVO (Tri) gegenüber dem Auftraggeber führen zu können, Art. 26 Abs. 2 lit. (h) DSGVO (Tri). Diese Anforderung geht deutlich über § 11 Abs. 2 Satz 3 BDSG hinaus. Dieser beschränkte sich nur darauf, dass der Auftraggeber Kontrollen durchführen muss. Dabei oblag die Effizienz der Untersuchung allein dem Prüfvorgehen des Auftraggebers und den vertraglich vereinbarten Mitwirkungspflichten des Auftragnehmers. Wie weit diese Mitwirkungspflichten jedoch gehen, ist bislang vielfach von den jeweiligen Verhandlungspositionen der Vertragspartner abhängig.
– Auch wenn sich das Datengeheimnis gemäß § 5 BDSG in der bekannten Form nicht mehr in der DS-GVO (Tri) findet, lebt es im Bereich der Auftragsverarbeitung wieder auf: gemäß Art. 26 Abs. 2 lit. (b) DS-GVO (Tri) dürfen im Rahmen der Auftragsverarbeitung nur Personen eingesetzt werden, die sich zur Vertraulichkeit verpflichtet haben. Da hierzu im Hinblick auf die Haftungsregelungen eine (schriftliche) Dokumentation der Verpflichtung erforderlich ist, werden in diesem Zusammenhang die gewohnten Prozesse gemäß § 5 BDSG beim Auftragsverarbeiter weiterhin zum Tragen kommen. Zu beachten ist dabei folgendes: Während die Verpflichtung nach § 5 BDSG lediglich ein zu dokumentierender „Hinweis“ des Arbeitgebers auf die bestehende Rechtslage darstellt, ist hier nach dem Wortlaut die Wirksamkeit der Verpflichtung von der Mitwirkung des Mitarbeiters abhängig. Damit ist die Verpflichtungserklärung konstitutiv und ein Mitarbeiter darf bei einer Verweigerung oder fehlender Verpflichtung nicht eingesetzt werden.
– Es sind beim Auftragsverarbeiter Prozesse vorzusehen, die, soweit dies im Blick auf die konkrete Dienstleistung erforderlich ist, die Umsetzung der Rechte der Betroffenen gemäß Kapitel III „Rechte der betroffenen Person“ der DS-GVO (Tri) unterstützen, Art. 26 Abs. 2 lit. (c) DSGVO (Tri). Hierbei handelt es sich insbesondere um die Umsetzung der Transparenzrechte, der Informationspflichten und Auskunftsrechte, der Berichtigung, Einschränkung der Verarbeitung (BDSG: Sperrung) und Löschung sowie des Widerspruchsrechts.
– Der Auftragsverarbeiter hat den Auftraggeber nunmehr ausdrücklich hinsichtlich einer Reihe von organisatorischen Pflichten (Art. 30-34 DS-GVO (Tri)) zu unterstützen, Art. 26 Abs. 2 lit. f DS-GVO (Tri). Dies betrifft insbesondere die Unterstützung bei der Umsetzung folgender Vorschriften:
- Artikel 30 Sicherheit der Verarbeitung
- Artikel 31 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
- Artikel 32 Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes ihrer personenbezogenen Daten
- Artikel 33 Datenschutz-Folgenabschätzung
- Artikel 34 Vorherige Genehmigung und vorherige Zurateziehung
Dies bedingt die Einrichtung von Prozessen zu den angesprochenen Themenbereichen, die an die entsprechenden Prozesse der Auftraggeber angeschlossen werden können, sowie das Vorhalten entsprechender Dokumentationen und Nachweise.
– Wie auch bisher schon gemäß § 11 Abs. 2 Satz 2 BDSG ist für die Beendigung der Auftragsverarbeitung nach Wahl des Auftraggebers die Rückgabe oder die Löschung der personenbezogenen Daten zu vereinbaren, und vorhandene Kopien sind grundsätzlich zu löschen, Art. 26 Abs. 2 lit. (g) DS-GVO (Tri).
– Entsprechend der Regelung des § 42a BDSG sind Datenverluste gemäß Art. 31/32 DS-GVO (Tri) durch den für die Verarbeitung Verantwortlichen meldepflichtig. Während im BDSG Regelungen zu einem Datenverlust bei einem Auftragnehmer fehlten, ist nunmehr der Auftragsverarbeiter bei Feststellung eines Datenverlustes aufgrund eigener Rechtspflicht unverzüglich meldepflichtig gegenüber seinem Auftraggeber, Art. 31 Abs. 2 DS-GVO (Tri). Dafür fehlt die Verpflichtung nach § 11 Abs. 2 Satz 2 Nr. 8 BDSG, eigene Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Datenschutzvorschriften oder gegen die im Auftrag getroffenen Festlegungen an den Auftraggeber zu melden. Ob es in der Praxis ratsam ist, auf solche Informationen künftig zu verzichten, erscheint im Hinblick auf die geänderte Haftungssituation für den Auftragsverarbeiter wenig sinnvoll.
– Vorbehaltlich der Regelungen, die der deutsche Gesetzgeber noch treffen wird[28], ist nach der DS-GVO (Tri) die Bestellung eines Datenschutzbeauftragten nicht mehr abhängig von der Beschäftigtenzahl, wie es § 4f Abs. 1 BDSG vorsah, Art. 35 DS-GVO (Tri). Vielmehr kommt es auf den konkreten Bereich der Verarbeitungen an, den der Auftragsverarbeiter durchführt, Art. 35 Abs. 1 DS-GVO (Tri). Hier wird der Auftragsverarbeiter im Einzelfall prüfen müssen, ob er schon der Bestellpflicht nach der DSGVO (Tri) unterliegt. Unabhängig von der Fragestellung, ob ein Datenschutzbeauftragter nach der DS-GVO (Tri) zu bestellen ist, wird der Auftragsverarbeiter im Hinblick auf eine ordnungsmäßige Erfüllung der Anforderungen, die im Hinblick auf die Auftragsverarbeitung entstehen, nicht umhin kommen, eine verantwortliche Person zu bestimmen, die im Sinne der bisherigen Aufgabenprägung des Datenschutzbeauftragten gemäß §§ 4f, 4g BDSG auf die Umsetzung des Datenschutzes hinwirkt. Die Aufgabenstellung des Datenschutzbeauftragten gemäß Art. 35-37 DS-GVO (Tri) wird ihm künftig eine stärker überwachende Rolle im Sinne einer (nachträglichen) Revision zuweisen als die hinwirkende Rolle des BDSG. Über diese Punkte hinaus ergeben sich für den Auftragsverarbeiter weitere Änderungen in den Bereichen:
- Technische und organisatorische Maßnahmen,
- Dokumentationspflichten zur Auftragsverarbeitung und
- Unterbeauftragung[29].
3. Technische und organisatorische Maßnahmen (TOM)/Sicherheit der Verarbeitung
Entsprechend der Anforderung des BDSG nach § 11 Abs. 2 Satz 2 Nr. 3 BDSG sind auch nach Art. 26 Abs. 2 lit. (c) DSGVO (Tri) alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen. Die „Nachfolgeregelung“ des § 9 BDSG und seiner Anlage findet sich unter dem Titel „Sicherheit der Verarbeitung“ in Art. 30 DS-GVO (Tri). Dieser adressiert als Normadressaten ausdrücklich Auftraggeber wie Auftragsverarbeiter. Hieraus, wie auch aus der Bußgeldandrohung nach Art. 79 Abs. 3 lit. (a) DS-GVO (Tri), ergibt sich, dass der Auftragsverarbeiter bereits aus eigenem Antrieb die erforderlichen IT-Sicherheitsmaßnahmen für sein Auftragsverarbeitungsangebot vorzuhalten hat[30]. Wie auch § 9 BDSG fordert Art. 30 Abs. 1a DS-GVO (Tri) angemessene TOM. Dabei ist neben den Datenschutzrisiken für den
Betroffenen und den Wirtschaftlichkeitsaspekten auch der „Stand der Technik“ zu berücksichtigen. Hierdurch wird für die Auswahl der TOM eine bestimmte Richtung der Aktualität und Wirksamkeit vorgegeben.
Der Begriff „Stand der Technik“ ist im rechtlichen Umfeld nicht neu. So fordert schon die Anlage zu § 9 BDSG Satz 3, dass Verschlüsselungsverfahren dem „Stand der Technik“ entsprechen müssen. Nach der Literatur wird damit zum Ausdruck gebracht, „dass in der Praxis bewährte und mit einem hohen Sicherheitsstandard versehene Verfahren gemeint sind.“[31]
Die Rechtsprechung hatte sich bereits in den 1970er Jahren im Rahmen der „Kalkar-Entscheidung“ des Bundesverfassungsgerichts[32] mit dem Begriff „Stand der Technik“ auseinanderzusetzen und ihn im Rahmen einer Dreistufentheorie gegen „(allgemein) anerkannte Regeln der Technik“ (1. Stufe)[33] und den „Stand von Wissenschaft und Technik“ (3. Stufe)[34] abgegrenzt.
Dabei verlagert das BVerfG beim „Stand der Technik“ (2. Stufe) den rechtlichen Maßstab an die „Front der technischen Entwicklung“[35]. Fraglich ist allerdings, ob diese Grundsätze im Rahmen der DS-GVO Anwendung finden. Hier handelt es sich um eine EU-Norm, die sich auch an Vorgaben und Definitionen der EU orientiert und an ihnen auszulegen sein wird.
Im europäischen Umfeld ist der Begriff „Stand der Technik“ durch die Europäische Norm EN 45020 Normung – Allgemeine Begriffe (ISO/IEC Guide 2:2004) definiert. Im Hinblick auf eine EU-weit einheitliche Auslegung und Anwendung der DS-GVO wird hier diese Definition zu Grunde zu legen sein. Unter Ziffer 1.4 wird der „Stand der Technik“ wie folgt definiert:
„Stand der Technik: entwickeltes Stadium der technischen Möglichkeiten zu einem bestimmten Zeitpunkt, soweit Produkte, Prozesse und Dienstleistungen betroffen sind, basierend auf entsprechenden gesicherten Erkenntnissen von Wissenschaft, Technik und Erfahrung“[36]
Durch das Abstellen auf den „Stand der Technik“ wird der Auftragsverarbeiter künftig ständig seine Infrastruktur und TOM überprüfen müssen. Szenarien wie beispielsweise der Betrieb von Betriebssystemen wie Windows XP über das Supportende hinaus können daher künftig Bußgeld- und Haftungstatbestände auslösen.
Des Weiteren fordert Art. 30 Abs. 1 DS-GVO (Tri) ein Abwägen zwischen Stand der Technik, Kosten der Umsetzung, Art, Umfang, Kontext und Zwecken der Verarbeitung sowie den Risiken für den Betroffenen. Bei der Betrachtung der Risiken für die Betroffenen sind auch die Risiken aus unbeabsichtigter oder ungesetzlicher Zerstörung, Verlust, Änderung, unerlaubter Zugänglichmachung zu berücksichtigen. Dabei sind sowohl die Übertragung, Speicherung und alle anderen Formen der Verarbeitung einzubeziehen (Art. 30 Abs. 1a DS-GVO (Tri)). Damit fordert die DS-GVO (Tri) explizit eine Betrachtung von Schadensszenarien und die systematische Ableitung von Maßnahmen. Im Hinblick auf die Bußgeldandrohungen der DS-GVO (Tri) empfiehlt es sich, die entsprechende Abwägung zu dokumentieren. Anhaltspunkte hierzu geben beispielsweise die BSI Grundschutzkataloge und BSI-Normen sowie der Datenschutzstandard DSBvD-GDD-01.[37]
Unter diesen Vorzeichen sieht die DS-GVO (Tri) für die Umsetzung von TOM im Hinblick auf die Verarbeitung personenbezogener Daten folgende Einzelaspekte vor:
- Etablierung eines IT-Sicherheitsmanagements, Art. 30 Abs. 1a lit. (e), Abs. 2b DS-GVO (Tri),
- Maßnahmen zur Sicherstellung der Sicherheitsziele:
- Vertraulichkeit, – Vollständigkeit,
- Verfügbarkeit einschließlich Recovery[38],
- Belastbarkeit der Systeme und Dienste,
- Pseudonymisierung und Verschlüsselung personenbezogener Daten.
Dieser umzusetzende Katalog an IT-Sicherheitsmaßnahmen ist nicht abschließend. Gemäß Art. 30 Abs. 2a DS-GVO (Tri) wird betont, dass der Nachweis für die Umsetzung der TOM durch eine Zertifizierung gemäß Art. 39 DS-GVO (Tri) oder die Einhaltung genehmigter Verhaltensregeln gemäß Art. 38 DS-GVO (Tri) erbracht werden kann.
Art. 30 DS-GVO (Tri) steht als eigenständige Norm für den Auftraggeber und Auftragsverarbeiter neben Art. 26 DS-GVO (Tri), d.h. die vertraglichen Vereinbarungen von TOM müssen sich an den Anforderungen des Art. 30 DS-GVO (Tri) messen lassen. Da der Auftraggeber seinerseits eine Risikoanalyse mit Ableitung der Maßnahmen machen muss, benötigt er die entsprechende Dokumentation der Abwägung des Dienstleisters. Damit besteht nun die Pflicht zur Offenlegung der Sicherheitskonzeption. Eine Beschränkung auf Maßnahmenlisten wird zukünftig als nicht mehr ausreichend anzusehen sein.
Offen bleibt, was konkret vertraglich zu vereinbaren ist. Art. 26 Abs. 2 (c) DS-GVO (Tri) verlangt lediglich zu regeln, „dass der Auftragsverarbeiter…alle gemäß Art. 30 erforderlichen Maßnahmen ergreift“. Reicht es daher zukünftig aus, den Auftragsverarbeiter auf die Umsetzung seiner selber erkannten TOM zu verpflichten, oder müssen diese explizit aufgeführt werden oder muss sogar die Sicherheitskonzeption Vertragsbestandteil werden?
Im Hinblick auf die verbleibende Verantwortung des für die Verarbeitung Verantwortlichen für die ausgelagerte Datenverarbeitung wird eine „Mischform“ angemessen sein. Das heißt, es wird im Vertrag das Sicherheitskonzept des Auftragsverarbeiters zu Grunde gelegt werden können. Daneben werden spezifische Anforderungen des Auftraggebers gesondert vertraglich zu vereinbaren sein.
Da der Auftragsverarbeiter eine eigene Pflicht hat, seine Dienstleistungen hinsichtlich der TOM aktuell zu halten, wird ein Prozess zur Information des Auftraggebers über Änderungen sowie Behandlung von Einwänden notwendig werden. Es empfiehlt sich deshalb, das Vorgehen bei Änderungen vertraglich zu vereinbaren.
4. Dokumentationspflicht
Neu für einen Auftragsverarbeiter ist im Vergleich zur Rechtslage nach BDSG, dass die Dokumentationspflicht, die das Verfahrensverzeichnis gemäß §§ 4d, 4e BDSG ablöst, nunmehr von ihm, bußgeldbewehrt, eine Dokumentation sämtlicher Auftragsverhältnisse verlangt, Art. 28 Abs. 2 DSGVO (Tri). Eine Ausnahme hiervon gilt für kleine und mittelständische Unternehmen, die als Auftragsverarbeiter tätig sind und weniger als 250 Mitarbeiter beschäftigen, soweit nicht eine der Bedingungen des Art. 28 Abs. 4 DS-GVO (Tri) erfüllt ist.
Da hier u.a. gefordert ist, dass die Verarbeitung für die Ausnahme nur gelegentlich erfolgen darf, die Leistungserbringung im Rahmen einer Auftragsdatenverarbeitung aber grundsätzlich eine regelmäßige Datenverarbeitung darstellt, wird diese Ausnahme für die meisten Auftragsnehmer faktisch nicht zutreffen.
Diese Dokumentation, die auf Anforderung der Aufsichtsbehörde zur Verfügung zu stellen ist, kann schriftlich oder im „elektronischen Format“ erfolgen. Sie hat zu allen Kategorien von im Auftrag eines Auftraggebers durchgeführten Tätigkeiten folgende Punkte zu dokumentieren (Art. 28 Abs. 2a DS-GVO (Tri)):
- Name und Kontaktdaten zu
- dem Auftragsverarbeiter oder den Auftragsverarbeitern,
- einem etwaigen Vertreter des Auftragsverarbeiters,
- einem etwaigen Datenschutzbeauftragten des Auftragsverarbeiters,
- allen für die Verarbeitung Verantwortlichen, in deren Auftrag der Auftragsverarbeiter tätig ist,
- allen etwaigen Vertretern der für die Verarbeitung Verantwortlichen,
- den etwaigen Vertretern der für die Verarbeitung Verantwortlichen, in deren Auftrag der Auftragsverarbeiter tätig ist,
- die Kategorien der Verarbeitungen, die im Auftrag jedes für die Verarbeitung Verantwortlichen durchgeführt werden,
- allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 30 Abs. 1 (laut Art. 28 Abs. 2a Buchst. (h): „wenn möglich“. Wann sich allerdings eine „Unmöglichkeit“ ergeben soll, bleibt im Hinblick auf die mannigfaltigen Dokumentations- und Nachweispflichten nach Art. 26 und Art. 30 DS-GVO (Tri) unklar),
und, soweit zutreffend,
- Übermittlungen von Daten in ein Drittland oder an eine internationale Organisation,
- Bezeichnung dieses Drittlands oder der internationalen Organisation,
- Dokumentation der geeigneten Garantien für die Übermittlung in ein Drittland (nur soweit die Übermittlung auf Art. 44 Abs. 1 Buchstabe (h) DS-GVO (Tri) gestützt wird).
III. Unterauftragnehmer
Neue rechtliche Verantwortlichkeiten ergeben sich auch beim Einsatz von Unterauftragnehmern. Dies wird schon dadurch deutlich, dass die DS-GVO (Tri) nicht von Unterauftragnehmern sondern vom Einsatz „weiterer Auftragsverarbeiter“ spricht. Damit wird auch schon der Status der Unterauftragnehmer deutlich: Sie haben die gleichen Rechte und Pflichten wie sie, wie oben gezeigt, für einen Auftragsverarbeiter gelten[39]. Die Kontrolle in der Lieferkette wird der Gestalt neu geordnet, dass der Auftragsverarbeiter gegenüber seinem (Unter-)Auftragsverarbeiter in die Rolle eines Auftraggebers schlüpft. D.h., er hat eigenständig die vollumfänglichen Verpflichtungen eines Auftraggebers gegenüber seinem (Unter-)Auftragsverarbeiter umzusetzen. Dies setzt sich auch konsequent in den Haftungsregelungen fort. Hier haftet der Auftragsverarbeiter vollumfänglich für ein Fehlverhalten des von ihm eingesetzten (Unter-)Auftragnehmers gegenüber dem Auftraggeber, Art. 26 Abs. 2a S. 2 DS-GVO (Tri). Über die Regelung der gesamtschuldnerischen Haftung gemäß Art. 77 Abs. 4 DS-GVO (Tri) kann der Auftragsverarbeiter auch für Fehler seines (Unter-)Auftragsverarbeiters gegenüber dem Betroffenen haftbar gemacht werden.
Auch wenn sich hierdurch an der datenschutzrechtlichen Verantwortung des für die Verarbeitung Verantwortlichen für die gesamte Lieferkette gegenüber der Rechtslage nach dem derzeit gültigen BDSG nichts ändert, stellt sich dennoch die Frage, ob das Thema der Kontrolle von (Unter-) Auftragsverarbeitern diesbezüglich neu zu betrachten ist.
Die scharfe Fassung der Anforderungen an eine Unterbeauftragung[40] und die damit einhergehenden Haftungsregelungen zulasten des Auftragsverarbeiters[41] lassen den Schluss zu, dass der europäische Gesetzgeber hier auf die faktischen Möglichkeiten der Kontrolle von (Unter-)Auftragsverarbeitern reagieren wollte. In der Praxis läuft die nach BDSG geforderte Kontrolle der Unterauftragnehmer durch den Auftraggeber selbst häufig ins Leere, da hier in der Regel weder eine tatsächliche noch eine rechtliche Anbindung der beiden Parteien am Auftragnehmer vorbei gegeben ist. Daher wird regelmäßig die Kontrolle der Unterauftragnehmer durch eine vertragliche Überleitung der Kontrollpflicht auf den Auftragnehmer umgesetzt. Der Auftraggeber beschränkt sich dann regelmäßig darauf zu kontrollieren, ob der Auftragnehmer wiederum seiner Kontrollpflicht gegenüber den Unterauftragnehmern nachgekommen ist. Dieses Vorgehen wird von den Aufsichtsbehörden bislang nur dann toleriert, wenn dem Auftraggeber das Recht einer eigenen Kontrolle beim Unterauftragnehmer vorbehalten bleibt[42].
Die Regelung des Art. 26 DS-GVO (Tri) legt nahe, dass im Gegensatz dazu die Kontrolle von Unterauftragsverhältnissen stufenweise weitergegeben wird. D.h., in jeder Stufe der Leistungskette ist der jeweilige Auftragsverarbeiter zuständig und verantwortlich für die Kontrolle der weiteren Auftragsverarbeiter, die er einsetzt. Eine „Durchgriffskontrolle“ des Auftraggebers bis hin zum letzten Unterauftragnehmer erscheint im Hinblick auf die Haftungsregelungen der DS-GVO (Tri) sowohl gegenüber dem Betroffenen als auch im internen Ausgleich weder sachgerecht noch gewollt.
Die Voraussetzungen zum Einsatz weiterer Auftragsverarbeiter werden in Art. 20 Abs. 1a, 2 lit. (d), 2a DS-GVO (Tri) geregelt:
– Der Auftragsverarbeiter hat vor dem Einsatz eines weiteren Auftragsverarbeiters die „vorherige gesonderte oder allgemeine schriftliche Zustimmung“ des Auftraggebers einzuholen. In der Regel wird die Einholung einer „gesonderten schriftlichen Zustimmung“, zumindest bei Dienstleistungen, bei denen der Auftragsverarbeiter eine Vielzahl von Auftraggebern hat, wie z.B. bei Cloud-Dienstleistungen, nicht praktikabel sein, zumal hier die elektronische Form nicht zugelassen ist, da der Verweis zur möglichen elektronischen Form des Art. 26 Abs. 3 DS-GVO (Tri) hier fehlt. Hieraus könnte sich ergeben, dass für die Zustimmung zu weiteren Auftragsverarbeitern höhere Form erfordernisse gelten als für den zugrundeliegenden Vertrag, bzw. diesbezüglich das Schriftformerfordernis, welches für den Vertrag selbst entfallen kann, im Rahmen einer nachfolgenden Handlung wiederauflebt. Dies wäre gerade bei „Massengeschäften“ wie Cloud-Dienstleistungen mit einer Vielzahl von Auftraggebern extrem hinderlich. Da es sich bei der Zustimmung ausdrücklich nicht um einen Vertrag handelt, der folgende Einsatz von weiteren Auftragsverarbeitern auch mehrfach abgesichert ist (zugrundeliegender Vertrag, Prüfpflicht des Auftragsverarbeiters), entfallen hier die Zwänge für besondere Form anforderungen, die beim Vertrag z.B. durch die Warnfunktion bedingt sind. Daher muss hier die nach deutschem Recht der Papierform grundsätzlich gleichgestellte Textform nach § 126b BGB für die Zustimmung ausreichen.
- In der Praxis wird allerdings zumeist die zweite Alternative der vorherigen allgemeinen schriftlichen Zustimmung Anwendung finden. Für die Umsetzung dieser Alternative bietet es sich an, dass im Vertrag die allgemeine Zustimmung zum Einsatz von weiteren Auftragsverarbeitern gegeben wird. Um das – wohl nicht beabsichtigte – Wiederaufleben des Schriftformerfordernisses für den Vertrag an sich entgegen Art. 26 Abs. 3 DS-GVO (Tri) auszuschließen, muss hier auch das „elektronische Format“ im Sinne des Art. 26 Abs. 3 DS-GVO (Tri) ausreichen. Allerdings ist diese Alternative auch an zwei Bedingungen geknüpft, Art. 26 Abs. 1a DS-GVO (Tri):
- der Auftragsverarbeiter muss seine Auftraggeber „immer über jede vorgesehene Änderung in Bezug auf die Hinzufügung oder die Ersetzung anderer Auftragsverarbeiter [zu] informieren“,
- dem Auftraggeber verbleibt ein Einspruchsrecht.
- Der Auftragsverarbeiter hat zur Beauftragung weiterer Auftragsverarbeiter einen Vertrag schriftlich oder im elektronischen Format abzuschließen[43].
- An den Inhalt des Vertrages werden dieselben Anforderungen gestellt wie an den Vertrag zwischen Auftraggeber und Auftragsverarbeiter[44].
- Bei der Beauftragung eines weiteren Auftragsverarbeiters müssen insbesondere hinreichende Garantien für technischen und organisatorische Maßnahmen zur Sicherstellung der Verarbeitung entsprechend der DS-GVO (Tri) gegeben sein.
Die neuen Regelungen zu Unterbeauftragung berücksichtigen damit zwar die tatsächlichen Gegebenheiten, dass ein Dienstleister regelmäßig selbstständig über den Einsatz von Unterauftragnehmern entscheidet. Durch das ausdrückliche Zustimmungserfordernis bzw. das nunmehr gesetzliche Einspruchsrecht der Auftraggeber sowie die gestiegene Verantwortung der Auftragsverarbeiter als Auftraggeber weiterer Auftragsverarbeiter wird die Position der Auftraggeber praxisgerecht entlastet. Gleichzeitig steigen die Anforderungen an den Auftragsverarbeiter.
Die derzeit gültigen Vereinbarungen zur Auftragsdatenverarbeitung, die z.B. noch eine pauschale Genehmigung von Unterauftragnehmern enthalten, müssen mit Blick auf das Einspruchsrecht angepasst werden.
IV. Wartung/Fernwartung (§ 11 Abs. 5 BDSG)
Im Zusammenhang mit der Aufrechterhaltung von IT werden häufig externe Dienstleister im Bereich der Wartung und Fernwartung eingesetzt. Nach der Definition der Auftragsdatenverarbeitung lässt sich diese Tätigkeit regelmäßig nicht hierunter subsumieren, da Gegenstand der (Fern-)Wartung regelmäßig „technische“ Unterstützung beim IT-Betrieb, nicht aber die Verarbeitung personenbezogener Daten ist. Daraus ergibt sich die Frage, auf welcher Rechtsgrundlage eine – zufällige – Kenntnisnahme personenbezogener Daten anlässlich dieser Tätigkeit gestützt werden kann. Bei der Einstufung einer solchen Kenntnisnahme als Übermittlung wird sich in der überwiegenden Anzahl der Fälle eine Rechtsgrundlage nicht darstellen lassen. Dies gilt insbesondere dann, wenn hierbei auch sensible Daten im Sinne des Art. 9 DS-GVO (Tri)/§ 3 Abs. 9 BDSG betroffen sind. Dieses Dilemma veranlasste den deutschen Gesetzgeber 2001, das Problem dahingehend zu lösen, dass die Wartung/Fernwartung der Auftragsdatenverarbeitung gleichgestellt wurde, § 11 Abs. 5 BDSG[45]. Eine entsprechende Regelung fehlt allerdings nunmehr in der DS-GVO (Tri). Damit ist absehbar, dass das Thema der Einordnung von Wartung und Fernwartung zu neuen Diskussionen führen wird.
Abzuwarten bleibt, ob es sich dabei um eine rein dogmatische Diskussion handeln wird. In der Praxis werden bereits heute unter der Richtlinie 95/46/EG im Allgemeinen für Wartungs- und Fernwartungstätigkeiten zumindest mit Drittländern die EU-Standardverträge Controller/Processor verwendet, die jedoch keine Rechtsgrundlage für die Datenverarbeitung schaffen, sondern lediglich das Datenschutzniveau beim Auftragnehmer sicherstellen sollen.
Eine analoge Anwendung des Art. 26 DS-GVO (Tri) und die Behandlung von (Fern-)Wartung wie Auftragsverarbeitung, wie es auch bisher § 11 Abs. 5 BDSG vorgibt, erscheint als sachgerechteste Lösung.
V. Auftragsdatenverarbeitung in Drittländern
Die DS-GVO (Tri) bringt nun endgültig Klarheit in eine rein deutsche Fragestellung: ist eine Auftragsverarbeitung im Drittland möglich? Durch einen Fehler bei der Umsetzung der EU-Datenschutzrichtlinie hatte der deutsche Gesetzgeber 2001 in der Definition des Auftragnehmers seine Tätigkeit auf den Geltungsbereich der EU-Datenschutzrichtlinie RL 95/46/EG beschränkt[46]. Hieraus zogen insbesondere die Datenschutzaufsichtsbehörden bislang der Schluss, dass die Privilegierung der Auftragsdatenverarbeitung für die Einschaltung eines Auftragsverarbeiters in Drittländern nicht gilt mit der Folge, dass hier stets die Übermittlungsvorschriften zu prüfen seien[47].
Diese territoriale Beschränkung fehlt nunmehr in der DSGVO (Tri), genauso, wie sie auch in der EU Datenschutzrichtlinie RL 95/46/EG nicht vorhanden war. Hieraus, genau wie aus weiteren Regelungen, die explizit Regelungen für Auftragsverarbeiter in Drittländern vorsehen, wie z.B. in Art. 3, 40, 42, 43, 43a, 44 DS-GVO (Tri), ergibt sich, dass ein Auftragsverarbeiter gleichwohl nach den Regelungen der Auftragsverarbeitung innerhalb der EU wie auch in Drittländern eingesetzt werden kann.
Das bedeutet in der Praxis, dass Auftragsverarbeiter in Drittländern grundsätzlich unter den gleichen Voraussetzungen eingesetzt werden können wie Auftragsverarbeiter im EU-Raum. Zu beachten sind hierbei natürlich die zusätzlichen Anforderungen an die Sicherstellung des Datenschutzniveaus beim Empfänger gemäß Kapitel V DS-GVO (Tri).
VI. Funktionsübertragung
Im deutschen Recht ist die Ausgestaltung der sogenannten Funktionsübertragung lange kontrovers diskutiert worden[48]. Im Kern geht es um die Abgrenzungsfrage, wann die Tätigkeit eines Dienstleisters aus einer technischen Unterstützung in die eigenverantwortliche Verarbeitung als verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG kippt[49]. Grundlegende Bedeutung erlangt diese Abgrenzung zum Beispiel beim Einsatz von sogenannten Shared Service Centern, bei denen zentrale Verwaltungsfunktionen eines Unternehmens wie zum Beispiel die Personalverwaltung auf einen Dienstleister übertragen werden. Während der deutsche Gesetzgeber sich hierzu zu keiner Regelung entschließen konnte, wurde zuletzt im Code of Conduct (CoC) der Versicherungswirtschaft[50] eine Regelung gefunden. Nach diesem CoC wird die Ausgestaltung der Funktionsübertragung analog zur Beauftragung im Rahmen einer Auftragsdatenverarbeitung verlangt. Eine ähnliche Auffassung vertritt auch das Bayerische Landesamt für Datenschutzaufsicht in seinem 6. Tätigkeitsbericht.[51]
Die DS-GVO (Tri) begegnet dem Thema der Funktionsübertragung mit den Regelungen zur Auftragsverarbeitung gemäß Art. 26 DS-GVO (Tri) und zur Gemeinsamen Verantwortung gemäß Art. 24 DS-GVO (Tri).
Entscheidendes Abgrenzungskriterium ist die Frage, wer ist im Sinne des Art. 4 Abs. 5 DS-GVO (Tri) „für die Verarbeitung Verantwortlicher“? Anders als im deutschen Recht nach BDSG erfolgt die Abgrenzung anhand des Merkmals, ob eine Stelle allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann. Da sich dieses Merkmal bereits gleichlautend in Art. 2 lit. d) RL 95/46/EG findet, können für die Auslegung der DS-GVO (Tri) die ausführlichen Darlegungen der Art. 29-Datenschutzgruppe im WP 169 zu dieser Abgrenzungsfrage herangezogen werden[52].
Als wesentliches Abgrenzungsmerkmal, ob ein Dienstleister als „für die Verarbeitung Verantwortlicher“ oder als Auftragsverarbeiter agiert, stellt die Art. 29-Datenschutzgruppe auf die Frage ab, wer über Zwecke und Mittel der Verarbeitung bestimmt. Hierzu definiert sie Zweck und Mittel wie folgt[53]:
„Eine Definition von „Zweck“ lautet „erwartetes Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet“, und eine Definition von „Mittel“ lautet „Art und Weise, wie ein Ergebnis oder Ziel erreicht wird“.“
Hiervon ausgehend zieht die Art. 29-Datenschutzgruppe letztendlich folgende Schlüsse[54]:
– „… Die Entscheidung über den „Zweck“ der Verarbeitung ist dem „für die Verarbeitung Verantwortlichen“ vorbehalten. Wer auch immer diese Entscheidung trifft, ist daher (de facto) ein für die Verarbeitung Verantwortlicher. In Bezug auf technische oder organisatorische Fragen kann der für die Verarbeitung Verantwortliche die Entscheidung über die „Mittel“ der Verarbeitung delegieren. …“
– „… Entscheidungen über inhaltliche Fragen, die den Kern der Rechtmäßigkeit der Verarbeitung wesentlich betreffen, sind dem für die Verarbeitung Verantwortlichen vorbehalten. Eine Person oder eine Organisation, die beispielsweise darüber entscheidet, wie lange Daten aufbewahrt werden oder wer Zugang zu den verarbeiteten Daten hat, handelt hinsichtlich dieses Teils der Datennutzung als ein „für die Verarbeitung Verantwortlicher“ und muss daher alle Verpflichtungen eines für die Verarbeitung Verantwortlichen erfüllen. …“
– „… es [ist] durchaus möglich, dass ausschließlich der Auftragsverarbeiter über die technischen und organisatorischen Mittel entscheidet. …“
– „… Wenn ein Auftragnehmer einen Einfluss auf den Zweck hat und die Verarbeitung (auch) zu seinem eigenen Nutzen durchführt, … ist er ein für die Verarbeitung Verantwortlicher (oder möglicherweise ein gemeinsam für die Verarbeitung Verantwortlicher) für eine andere Verarbeitungstätigkeit und unterliegt daher allen Verpflichtungen des anwendbaren Datenschutzrechts. …“
Was bedeutet dies nun für das deutsche Modell der Funktionsübertragung?
Aufgrund der Tatsache, dass im Rahmen der Auftragsverarbeitung der für die Verarbeitung Verantwortliche grundsätzlich ausschließlich die Zwecke der Verarbeitung vorzugeben hat, dem Auftragsverarbeiter jedoch die Entscheidung über die Mittel delegiert werden kann, werden die bisherigen Fälle der Funktionsübertragung künftig regelmäßig unter die Auftragsverarbeitung zu subsumieren sein. Denn auch bisher hat regelmäßig der Funktionsgeber im Rahmen eines Leistungsvertrages die Zwecke und Zielsetzungen der Datenverarbeitung eindeutig vorgegeben[55]. Eine Nutzung für eigene, vom Ziel und Zweck der Beauftragung abweichende, Zwecke des Funktionsnehmers war auch bisher regelmäßig nicht Gegenstand der Funktionsübertragung. Zur Übermittlung für eigene Zwecke des Funktionsnehmers fehlt der Verantwortlichen Stelle auch in den überwiegenden Fällen die Rechtsgrundlage nach BDSG. Daher darf der Funktionsnehmer, dem die Daten übermittelt worden sind, diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt worden sind[56].
Eine Subsumtion unter die Auftragsdatenverarbeitung scheitert bislang nach deutschem Recht lediglich daran, dass hier eine Beschränkung auf die rein technische Unterstützung gefordert ist[57]. Die jetzige Möglichkeit der DSGVO, im Rahmen der Auftragsverarbeitung die Bestimmung der Mittel, also „Art und Weise, wie ein Ergebnis oder Ziel erreicht wird“, auf den Auftragsverarbeiter zu übertragen, gleicht diese Lücke des deutschen Rechts aus.
Soweit mit einer Auftragsverarbeitung nach DS-GVO, die bislang nach BDSG unter die Funktionsübertragung zu subsumieren ist, auch – von beiden Parteien gewollt – eigene Interessen des Auftragsverarbeiters abgedeckt werden sollen, sind hierfür zunächst einmal die Fragen der rechtlichen Zulässigkeit, insbesondere gemäß Art. 5, 6 DS-GVO (Tri) zu beachten. Wird hier eine Zulässigkeitsnorm für die Nutzung für Zwecke des Auftragsverarbeiters gefunden, wird es sich regelmäßig um einen Fall der gemeinsamen Verantwortung gemäß Art. 24 DS-GVO (Tri) handeln. Dies ergibt sich schon daraus, dass im Falle der bisherigen Funktionsübertragung die Verarbeitungszwecke und Ziele für den Funktionsgeber nicht entfallen.
Die Art. 29-Datenschutzgruppe führt hierzu zum Kennzeichen der gemeinsamen Kontrolle, die wesentlich die gemeinsame Verantwortung kennzeichnet, folgendes aus[58]:
„…Eine gemeinsame Kontrolle ist somit gegeben, wenn verschiedene Parteien im Zusammenhang mit spezifischen Verarbeitungen entweder über den Zweck oder über wesentliche Elemente der Mittel entscheiden, die einen für die Verarbeitung Verantwortlichen kennzeichnen … ..
Im Rahmen der gemeinsamen Kontrolle kann die Beteiligung der Parteien an den gemeinsamen Entscheidungen jedoch verschiedene Formen aufweisen und muss nicht gleichmäßig verteilt sein. Wenn mehrere Akteure an Entscheidungen beteiligt sind, kann ihre Beziehung sehr eng (z. B. vollständig übereinstimmende Zwecke und Mittel der Verarbeitung) oder eher locker sein (es stimmen z.B. nur die Zwecke oder nur die Mittel oder nur Teile davon überein).“
In der Konsequenz werden die deutschen Unternehmen ihre Dienstleistungsverträge neu bewerten müssen. Die bisher als Funktionsübertragung ausgestalteten Vereinbarungen werden auf eine Auftragsverarbeitung gemäß Art. 26 DS-GVO (Tri) oder im Hinblick auf eine gemeinsame Verantwortung nach Art. 24 DS-GVO (Tri) umzustellen sein.
VII. Aufsichtsbehörden
Die Rolle der Aufsichtsbehörden im Bereich der Auftragsverarbeitung geht in zwei unterschiedliche Richtungen: Auf der einen Seite bleibt die Aufsichtsbehörde Kontrollbehörde mit der Kompetenz zur Verhängung von Bußgeldern. Dabei ändert sich ihr Fokus allerdings gegenüber der Rechtslage nach dem BDSG gewaltig. Während bislang die Bußgeldandrohung allein gegenüber dem Auftraggeber galt, und zwar „nur“ für Verstöße bei der Vertragsgestaltung sowie bei der Kontrolle vor der Verarbeitung, § 43 Abs. 1 Ziff. 2b. BDSG, richtet sich die Bußgeldandrohung nunmehr sowohl gegen den Auftraggeber als auch gegen den Auftragsverarbeiter. Geahndet werden kann nunmehr jedweder Verstoß gegen Regelungen zur Auftragsverarbeitung sowie weitere Regelungen, bei denen der Auftragsverarbeiter in die Pflicht genommen wird. Hierbei handelt es sich insbesondere um die in Art. 79 Abs. 3 lit (a) DS-GVO (Tri) genannten Regelungen[59]. Hierbei bemisst sich der zur Verfügung stehende Bußgeldrahmen auf bis zu 10 Mio € oder bis zu 2 % des gesamten weltweiten Jahresumsatzes des abgelaufenen Finanzjahres, je nachdem, was höher ist.
Auf der anderen Seite kann sie allerdings auch Standards setzen. Nach Art. 26 Abs. 2c DS-GVO (Tri) hat sie, wie auch die Kommission, Art. 26 Abs. 2b DS-GVO (Tri), die Möglichkeit, Standardverträge zur Beauftragung von Auftragsverarbeitern und von Unterauftragsverarbeitern „festzulegen“. Dabei handelt es sich nicht nur um Standardverträge für die Auftragsverarbeitung in Drittländern, wie sie bereits in Vergangenheit von der Kommission vorgelegt wurden, sondern um Verträge für ganz „normale“ Auftragsverhältnisse innerhalb der EU. Da solche Standardverträge im Rahmen des Kohärenzverfahrens, Art. 57 DS-GV, abgestimmt werden müssen, erlangen sie auch europaweite Gültigkeit und Bindungswirkung.
Im Hinblick auf die Überwachung der Einhaltung der DSGVO (Tri) hat die Aufsichtsbehörde verschiedene Aufgaben, die direkt gegenüber einem Auftragsverarbeiter wahrzunehmen sind, Art. 52 DS-GVO (Tri). Hierzu zählt unter anderem eine Beratungspflicht hinsichtlich der Pflichten aus der DSGVO (Tri).
Auf der anderen Seite sind sowohl Auftraggeber wie auch Auftragsverarbeiter verpflichtet, der Aufsichtsbehörde auf Verlangen zuzuarbeiten, Art. 29 Abs. 1, Art. 53 Abs. 1 DSGVO (Tri).
Die Sanktionsmöglichkeiten der Aufsichtsbehörde bis hin zum Bußgeld sind gestaffelt, Art. 53 Abs. 1, 1b DS-GVO (Tri):
- Hinweis auf einen vermeintlichen Verstoß gegen die DSGVO (Tri),
- Warnung, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die DS-GVO (Tri) verstoßen,
- Tadel, wenn mit Verarbeitungsvorgängen gegen die DSGVO (Tri) verstoßen wird,
- Anweisung, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
- Anweisung, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums mit der DS-GVO (Tri) in Einklang zu bringen.
Die Nichtbefolgung der Eingriffsrechte oder Anordnungen der Aufsichtsbehörde sind gemäß Art. 79 Abs. 3a (neu) lit. (c), 3aa (neu) DS-GVO (Tri) bußgeldbewehrt zu 20 Millionen € oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des abgelaufenen Finanzjahres, je nachdem, was höher ist.
VIII. Umsetzung von Standards
Vereinigungen können Standards zum Datenschutz entwickeln und, soweit sich Unternehmen zu ihrer Einhaltung verpflichten, deren Einhaltung kontrollieren, Art. 38, 38a DS-GVO (Tri). Hierbei handelt es sich um Regelungen wie zum Beispiel den auf der Grundlage von § 38a BDSG entwickelten und abgestimmten Code of Conduct der Versicherungswirtschaft[60]. Zu einem solchen Standard im Bereich der Auftragsdatenverarbeitung könnte zum Beispiel der von GDD und BvD vorgelegte Standard zur Auftragsdatenverarbeitung entwickelt werden.
Soweit solche Standards für den Bereich der Auftragsverarbeitung bestehen, können sie von Auftragsverarbeitern, die sich zu ihrer Einhaltung verpflichtet haben, als Nachweise geforderter Garantien im Sinne des Art. 26 DS-GVO (Tri) herangezogen werden. Zudem kann die Einhaltung solcher Standards im Falle eines Bußgeldverfahrens sanktionsmildernd berücksichtigt werden, Art. 79 Abs. 2a lit. (j) DSGVO (Tri).
Durch diese Verknüpfung der Standards mit Erleichterungen im Bereich der Auftragsvergabe, der Nachweise und der Haftung werden klare neue Anreize für Selbstregulierungsmaßnahmen geschaffen, die im Hinblick auf den § 38a BDSG bislang nur spärlich ausgenutzt wurden.
IX. Zertifizierung
Ausdrücklich geregelt ist in Art. 39, 39a DS-GVO (Tri) die Zertifizierung. Gerade im Rahmen der Auftragsverarbeitung gewinnt sie in unterschiedlicher Hinsicht Bedeutung. Zum einen kann sie im Verhältnis zum Auftraggeber als Nachweis für die Einhaltung datenschutzrechtlicher Vorgaben herangezogen werden. Zum anderen dient sie den eigenen Nachweispflichten des Auftragsverarbeiters zur Einhaltung der ihm obliegenden Datenschutzverpflichtungen. Und zum dritten kann eine bestehende Zertifizierung im Bußgeldverfahren zugunsten eines Auftragsverarbeiters wirken[61].
Mit dieser Regelung wird die seit ca. 20 Jahren in Deutschland unausgefüllte Regelung zur gesetzlich vorgesehenen Zertifizierung endlich zum Leben erweckt[62]. Das Modell der Zertifizierung sieht vor, dass sich private Zertifizierungsstellen gemäß der Vorgabe des nationalen Gesetzgebers bei einer Aufsichtsbehörde oder der nationalen Akkreditierungsstelle akkreditieren lassen. Die Grundlagen der Akkreditierung und Zertifizierung entsprechen dann im Wesentlichen den Kriterien, die der Düsseldorfer Kreis im Februar 2014 entwickelt und veröffentlicht hat[63].
Insofern können bereits vorhandene entsprechende Zertifizierungsverfahren, wie zum Beispiel das von GDD und BvD entwickelte und vom LDI NRW unterstützte Zertifizierungsverfahren auf der Grundlage des GDD/BvD Standards „Anforderungen an Auftragnehmer nach § 11 BDSG“ – DATENSCHUTZSTANDARD DS-BVD-GDD-01, wie auch die Verfahren nach dem Mecklenburg-Vorpommerschen Siegelverfahren nach entsprechenden Anpassungen in diese europäische Datenschutzzertifizierung überführt werden.
X. Fazit
Wie in anderen Bereichen auch wird die DS-GVO (Tri) im Bereich des Outsourcings die Unternehmen vor neue Herausforderungen stellen. Insbesondere vor dem geänder-ten Haftungs- und Bußgeldrahmen stehen Auftraggeber wie Dienstleister vor einer großen Herausforderung, die Outsourcing Projekte bis zum Wirksamwerden der DS-GVO (Tri) im Jahr 2018 an die neue Rechtslage anzupassen:
- Das Modell der Auftragsverarbeitung gilt auch für die Verarbeitung in Drittstaaten.
- Die bisherige Funktionsübertragung wird künftig in der Auftragsverarbeitung oder der gemeinsamen Verantwortung aufgehen.
- Auftraggeber werden künftig Outsourcingprojekte grundsätzlich immer als Auftragsverarbeitung gestalten müssen. Dies betrifft nicht nur rein technisch betriebenes Outsourcing, sondern auch fachliche Auslagerungen, wie sie zum Beispiel in Shared Service Centern erfolgen.
- Die Bußgeldandrohung für Verstöße der Regelungen zur Auftragsverarbeitung wird tatbestandlich ausgeweitet und in der Sanktionshöhe auf bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes des abgelaufenen Finanzjahres, je nachdem, was höher ist, erhöht.
- Auftragsverarbeiter stehen vor einem Paradigmenwechsel. Sie sind nunmehr für eine datenschutzkonforme Gestaltung der von ihnen gestalteten Dienstleistungsangebote direkt verantwortlich und haftbar. Durch diese neue Regelungsstruktur begeht z.B. ein Auftragsverarbeiter, der personenbezogenen Daten ohne vertragliche Grundlage im Sinne des Art. 26 DS-GVO (Tri) verarbeitet, zukünftig einen bußgeldbewehrten Verstoß gegen die DS-GVO (Tri). Die Bußgeldandrohung für Verstöße der Regelungen zur Auftragsverarbeitung trifft die Auftragsverarbeiter direkt und beträgt bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes des abgelaufenen Finanzjahres, je nachdem, was höher ist. Auftragsverarbeiter sollten deshalb im eigenen Interesse auch bestehende Auftragsverhältnisse bis zur Wirksamkeit der DS-GVO (Tri) 2018 an diese anpassen und sicherstellen, dass alle Auftraggeber – auch Altkunden – einen Vertrag hierzu abschließen. Hinsichtlich der Prozessgestaltung kann man sagen, dass der Standard zur Auftragsdatenverarbeitung für Auftragnehmer, den die GDD und BvD mit Unterstützung des LDI NRW vorgelegt haben, nunmehr einen Maßstab für die ab 2018 geltenden Anforderungen an einen Auftragsverarbeiter darstellen.
- Unterauftragnehmer werden künftig als „weitere Auftragsverarbeiter“ klassifiziert. Der Auftragsverarbeiter wird ihnen gegenüber faktisch in die Rolle eines Auftraggebers versetzt. Dies betrifft insbesondere die Verantwortlichkeiten für die weiteren Auftragsverarbeiter und ihre Kontrolle.
- Im Rahmen der Haftung für materielle wie immaterielle Schäden von Betroffenen besteht für den Auftraggeber sowie alle beteiligten Auftragsverarbeiter eine gemeinsame Haftung. D.h., auch ein Auftragsverarbeiter kann für Schäden, die ein Betroffener auf Grund eines Fehlverhaltens seines Auftraggebers erleidet, in Anspruch genommen werden.
Thomas Müthlein Mitglied des Vorstandes der GDD mit den Schwerpunkten Outsourcing, Datenschutzpraxis und Recht bei Telekommunikations- und Multimediaeinsatz, Geschäftsführer der DMC Datenschutz Management & Consulting GmbH & Co. KG, Frechen bei Köln
[1] Achtung: Zum Redaktionsschluss liegt die Endfassung der DS-GVO noch nicht vor. Daher beziehen sich die angegebenen Verweise auf Artikel der DS-GVO auf das Ergebnis des sog. Trilogs in der Fassung des Dokuments des Rates 5455/16 vom 28.01.2016. Die Nummerierung der Artikel in der Endfassung kann von der vorliegenden abweichen.
[2] Zu den jeweiligen Änderungen der vorangegangenen „Evolutionsstufen“ der Auftragsdatenverarbeitung siehe die Ausführungen des Autors zur BDSG-Novelle 1990 in RDV 1992, S. 63 ff, und RDV 1993, S. 165 ff, zur Novelle 2001 in RDV 2001, S. 223 ff, zur Novelle 2009 in IT-Sicherheit, 2010, Heft 4, S. 71 ff und IT-Sicherheit, 2010, Heft 5, S. 60 ff.
[3] Siehe zum Beispiel Petri, in: ZD 2015, S. 305 ff auf der Basis der Vorschläge der Kommission, des Parlamentes und des Rates, die sich inhaltlich im Bereich der Auftragsdatenverarbeitung nicht wesentlich von der Endfassung der DS-GVO unterschieden. So auch eine erste Bewertung der gemeinsamen Arbeitsgruppe von BvD, bvitg, GMDS und GDD, Auftragsdatenverarbeitung in der geplanten europäischen Datenschutz-Grundverordnung, vom 10.12.2014.
[4] DS-GVO in der Fassung des Trilogergebnisses, Dokument des Rates 5455/16 vom 28.01.2016, im folgenden „DS-GVO (Tri)“ bezeichnet.
[5] Siehe Müthlein/Heck, Outsourcing und Datenschutz, 3. Aufl., 2006, Seite 24 m.w.Nw. sowie S. 34 ff.
[6] Die „Artikel 29-Datenschutzgruppe“ besteht aus Vertretern der Datenschutzaufsichtsbehörden der EU-Mitgliedsstaaten, dem Europäischen Datenschutzbeauftragten und einem nicht stimmberechtigten Vertreter der Europäischen Kommission. Sie berät die Europäische Kommission und hat zur einheitlichen Anwendung der Vorschriften der Datenschutzrichtlinie RL 95/46/EG beizutragen. Sie ist unabhängig und trifft ihre Entscheidungen nach dem Mehrheitsprinzip.
[7] Artikel 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169 vom 16.2.2010, S. 1.
[8] WP 169, S. 39
[9] WP 169, S. 40.
[10] WP 169, S. 34
[11] WP 169, S. 17.
[12] Zu weiteren Auswirkungen s.u. 6. Funktionsübertragung.
[13] GDD / BvD, Standard „Anforderungen an Auftragnehmer nach § 11 BDSG“ – DATENSCHUTZSTANDARD DS-BVD-GDD-01 – Version 1.01 vom 01.09.2015.
[14] Artikel 33 DS-GVO (Tri) – Datenschutz-Folgenabschätzung: „1. Wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, führt der für die Verarbeitung Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Eine einzelne Beurteilung kann eine Reihe von ähnlichen Verarbeitungsvorgängen betreffen, die ähnlich hohe Risiken beinhalten“.
[15] S. § 4d Abs. 5, 6 BDSG.
[16] Siehe insbesondere GDD, Datenschutz beim Outsourcing, 3. Aufl. 2014, S. 101 ff; LDI NRW Mustervereinbarung zur Auftragsdatenverarbeitung nach § 11 BDSG unter https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Auftragsdatenverarbeitung/Inhalt/Mustervereinbarung_zur_Auftragsdatenverarbeitung_nach____11_BDSG/Mustervereinbarung_zur_Auftragsdatenverarbeitung_nach____11_BDSG.php; Bayerisches Landesamt für Datenschutzaufsicht – LDA Bayern –, Auftragsdatenverarbeitung nach § 11 BDSG – Gesetzestext mit Erläuterungen unter https://www.lda.bayern.de/media/info_adv.pdf.
[17] Siehe insbesondere GDD, LDI NRW und LDA Bayern a.a.O.; Bitkom, Mustervertragsanlage zur Auftragsdatenverarbeitung, Version 4.0 2013 unter https://www.bitkom.org/Bitkom/Publikationen/Aktualisierte-Mustervertragsanlage-zur-Auftragsdatenverarbeitung.html
[18] S. z.B. Österreichische Datenschutzbehörde, Muster für Dienstleisterverträge unter http://www.dsb.gv.at/site/6208/default.aspx.
[19] S. auch heute schon die „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern“, Beschluss der Kommission vom 05.02.2010 im Amtsblatt der EU v. 12.02.2010, L 39/5.
[20] S. Art. 77 DS-GVO (Tri).
[21] S. Art. 79 DS-GVO (Tri).
[22] S. Art. 75 DS-GVO (Tri) – Recht auf wirksamen gerichtlichen Rechtsbehelf gegen für die Verarbeitung Verantwortliche oder Auftragsverarbeiter.
[23] A.a.O
[24] Zur den Anforderungen an die Inhalte von Verträgen sowie die Nutzung von Standardverträgen siehe oben I.2.2 Vertragsabschlussphase.
[25] Zu den Einzelheiten des Vertrages siehe oben I.2.2 Vertragsabschlussphase.
[26] In diesem Fall ist eine „dokumentierte Weisung“ erforderlich; d.h. hier ist ausdrücklich keine Schriftlichkeit gefordert. Damit ist hier auch die Textform i.S. d. § 126 b BDSG ausreichend.
[27] A.a.O.
[28] Siehe hierzu die Öffnungsklausel für den nationalen Gesetzgeber in Art. 35 Abs. 4 DS-GVO (Tri).
[29] S. u. 3. Unterauftragnehmer.
[30] Vergleiche hierzu GDD/BvD Standard, a.a.O., insbesondere Kapitel 4.6 IT-Sicherheitskonzept und 4.8 IT-Sicherheitsmanagementsystem.
[31] Siehe Gola/Schomerus, BDSG, 12. Aufl., 2015, § 9 Rn. 29 u
[32] BVerfG, Beschluss vom 08.08.1978, 2 BvL 8/77, in: BVerfGE 49, S. 89 ff (135 f.)
[33] BVerfGE 49, S. 89 ff (135): „ …Das Gesetz kann, wie beispielsweise in § 3 Abs. 1 des Gesetzes über technische Arbeitsmittel (Maschinenschutzgesetz) (BGBl. 1968 I, S. 717), auf die „allgemein anerkannten Regeln der Technik“ verweisen. Bei dieser Art der Verknüpfung von Recht und Technik können die Behörden und Gerichte sich darauf beschränken, die herrschende Auffassung unter den technischen Praktikern zu ermitteln, um festzustellen, ob das jeweilige technische Arbeitsmittel in den Verkehr gebracht werden darf oder nicht. Der Nachteil dieser Lösung besteht jedoch darin, dass die Rechtsordnung mit dem Maßstab der allgemein anerkannten Regeln stets hinter einer weiterstrebenden technischen Entwicklung herhinkt. …“
[34] BVerfGE 49, S. 89 ff (135): „ … § 7 Abs. 2 Nr. 3 AtomG geht schließlich noch einen Schritt weiter, indem er auf den „Stand von Wissenschaft und Technik“ abstellt. Mit der Bezugnahme auch auf den Stand der Wissenschaft übt der Gesetzgeber einen noch stärkeren Zwang dahin aus, dass die rechtliche Regelung mit der wissenschaftlichen und technischen Entwicklung Schritt hält. Es muss diejenige Vorsorge gegen Schäden getroffen werden, die nach den neuesten wissenschaftlichen Erkenntnissen für erforderlich gehalten wird. Lässt sie sich technisch noch nicht verwirklichen, darf die Genehmigung nicht erteilt werden; die erforderliche Vorsorge wird mithin nicht durch das technisch gegenwärtig Machbare begrenzt (BVerwG, DVBl. 1972, S. 680; Lecheler, ZRP 1977, S. 243; vgl. insoweit auch VG Freiburg, NJW 1977, S. 1647). …“
[35] BVerfGE 49, S. 89 ff (135 f.): „ … Dies wird vermieden, wenn das Gesetz auf den „Stand der Technik“ abhebt (wie z.B in § 5 Nr. 2 BImSchG). Der rechtliche Maßstab für das Erlaubte oder Gebotene wird hierdurch an die Front der technischen Entwicklung verlagert, da die allgemeine Anerkennung und die praktische Bewährung allein für den Stand der Technik nicht ausschlaggebend sind. Bei der BVerfGE 49, 89 (135) BVerfGE 49, 89 (136) Formel vom Stand der Technik gestaltet sich die Feststellung und Beurteilung der maßgeblichen Tatsachen für Behörden und Gerichte allerdings schwieriger. Sie müssen in die Meinungsstreitigkeiten der Techniker eintreten, um zu ermitteln, was technisch notwendig, geeignet, angemessen und vermeidbar ist (vgl. Breuer, AöR Bd 101 [1976], S. 68). …“
[36] Siehe zur Definition des Begriffs „Stand der Technik“ im Datenschutz insgesamt auch Ernestus, in: Simitis, Bundesdatenschutzgesetz, 8. Aufl., 2014, § 9 Rn. 171 ff.
[37] A.a.O.
[38] Vergl. Art. 30 Abs. 1a lit. c) DS-GVO (Tri): „…die Fähigkeit, die Verfügbarkeit und den Zugang zu Daten rasch im Falle eines physischen oder technischen Vorfalls wiederherzustellen …“.
[39] S. hierzu Art. 26 Abs. 2a DS-GVO (Tri).
[40] Art. 26 Abs. 2a S. 1 DS-GVO (Tri).
[41] Art. 26 Abs. 2a S. 2, Art. 77 DS-GVO (Tri).
[42] LDA Bayern, 6. Tätigkeitsbericht 2013/14, S. 40 f.
[43] Zu den Anforderungen an die Verträge und das Formerfordernis siehe I.2.2 Vertragsabschlussphase.
[44] Zu den Anforderungen an die Inhalte Verträge siehe oben I.2.2 Vertragsabschlussphase.
[45] Zur vorausgegangenen Diskussion s. z.B. Büermann, Datenschutzrechtliche Einordnung von Wartung und Fernwartung, RDV 1994, S. 202 ff.
[46] S. hierzu ausführlich Müthlein/Heck, a.a.O., S. 69 ff.
[47] S. Gola/Schomerus, BDSG, 12. Aufl. 2015, § 11 Rn. 16: so z.B. auch das Papier „Abgestimmte Positionen der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13. Februar 2007“ vom 28. März 2007, https://www.lda.bayern.de/media/ag_international.pdf: „… 3. Bei allen Standardverträgen sind auch die Anforderungen nach nationalem Recht (1. Stufe) zu erfüllen, ggf. durch eine Zusatzvereinbarung (z.B. des Einwilligungserfordernisses statt Widerspruchsrecht). Wertungswidersprüche zum deutschen Recht (1. Stufe) sind zu vermeiden …“.
[48] S. z.B. Fasbender, Schwachstellen der Informationsverarbeitung durch Dritte, RDV 1994, S. 12 ff. mit Hinweisen auf die hiermit im Zusammenhang stehenden Probleme der Funktionsübertragung sowie Schmidtke, Auftragsdatenverarbeitung und -nutzung, DatenschutzBerater 2/93, S. 9 ff.
[49] S. zur Abgrenzung ausführlich Müthlein/Heck, a.a.O., S. 34 ff. S. a. ausführlich Cebulla, Auftragsdatenverarbeitung oder Funktionsübertragung, in: Ping 2015, S. 259 ff.
[50] GDV, Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft, Stand 7.9.2012, z.B. unter http://www.gdv.de/wp-content/uploads/2013/03/GDV_Codeof-Conduct_Datenschutz_2012.pdf.
[51] LDA Bayern, 6. Tätigkeitsbericht 2013/14, S. 41 f.
[52] A.a.O.
[53] WP 169, S. 15.
[54] WP 169 S. 17/18.
[55] So wird im Rahmen der Vertragsmuster zur Funktionsübertragung regelmäßig der Zweckbestimmung und Zweckbindung ein prominenter Platz eingeräumt, vergl. GDD, Datenschutz beim Outsourcing, 3. Aufl., 2014, S. 151ff, Müthlein/ Heck, a.a.O., S. 130 ff.
[56] GDD, a.a.O., S. 57
[57] S. Müthlein/Heck, a.a.O., S. 24; so lässt z.B. Petri, in: Simitis, Bundesdatenschutzgesetz, 8. Aufl. 2014, § 11 Rn. 22, eine Dienstleistung dann aus dem Regelungsrahmen der Auftragsdatenverarbeitung fallen, wenn der Dienstleister „… über die technische Durchführung der Verarbeitung hinaus materielle vertragliche Leistungen mit Hilfe der Datenverarbeitung …“ erbringt. A.a. Cebulla, a.a.O., Ping 2015, S. 259, 261 und 262 ff., der das Modell der Funktionsübertragung als nicht sachgerecht erachtet und diese Fälle auch schon nach seiner „Vertragstheorie“ unter die Auftragsdatenverarbeitung zieht.
[58] WP 169, S. 23.
[59] Im Einzelnen s.o. II.1 Haftung.
[60] A.a.O.
[61] Im Einzelnen s. hierzu Schwartmann/Weiß, RDV 2016, in diesem Heft, Ko-Regulierung vor einer neuen Blüte.
[62] S. § 17 Mediendienste-Staatsvertrag von 1997 (inzwischen aufgehoben) und später § 9a BDSG.
[63] Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) vom 25./26.02.2014, Modelle zur Vergabe von Prüfzertifikaten, die im Wege der Selbstregulierung entwickelt und durchgeführt werden.