Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, wann eine Auftragsdatenverarbeitungsvereinbarung benötigt wird und was sie beinhalten muss.
Unter welchen Umständen wird eine Auftragsdatenverarbeitungsvereinbarung benötigt?
Die Datenschutzgrundverordnung basiert in weiten Teilen auf dem in Deutschland anerkannten Konzept der Auftragsdatenverarbeitung und ist an vielen Stellen § 11 BDSG nachgebildet. Die Verwendung eines Auftragsdatenverarbeiters bedarf daher auch in Zukunft generell eines schriftlichen oder in elektronischer Form geschlossenen Vertrages. Eine Ausnahme soll nur gelten, wenn ein anderes Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten besteht, welches den Auftragsdatenverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Inwieweit und in welchem Umfang solche Rechtsinstrumente zur Verfügung stehen werden, ist derzeit ebenfalls noch nicht abzusehen. Für Dienstleister in diesem Zusammenhang besonders relevant ist, dass im Falle eines Verstoßes gegen die Verpflichtungen eines Auftragsdatenverarbeiters (d.h. ein Handeln entgegen der (vertraglichen) Weisungen des Verantwortlichen) der Auftragsdatenverarbeiter selbst zum Verantwortlichen wird. Auch haben Betroffene nunmehr nicht nur einen direkten Schadensersatzanspruch gegen den Verantwortlichen, sondern auch gegen den Auftragsdatenverarbeiter – die Haftung wurde insoweit also ausgeweitet.
Was muss eine Auftragsdatenverarbeitungsvereinbarung beinhalten?
Inhaltlich entsprechen die Vorgaben der Datenschutzgrundverordnung mehr oder weniger den Vorgaben von § 11 Abs. 2 BDSG, so dass deutsche verantwortliche Stellen mit entsprechenden Auftragsdatenverarbeitungsverträgen die neuen Regelungen bereits grundsätzlich erfüllen (kleinere Anpassungen werden wohl trotzdem notwendig sein). Es ist zu erwarten, dass die Kommission (unmittelbar) oder Aufsichtsbehörden im Kohärenzverfahren Standardvertragsklauseln zur Einhaltung der neuen Regelungen zur Verfügung stellen werden (die entsprechende Ermächtigung ist jedenfalls geregelt). Insoweit wäre ein Gleichlauf mit den bisher bestehenden Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländer(n) (2010/87/EU) wünschenswert. Sowohl der Verantwortliche als auch der Auftragsdatenverarbeiter sind nach wie vor verpflichtet, geeignete technische und organisatorische Maßnahmen für die Sicherheit der Datenverarbeitung zu treffen.
Ähnlich dem deutschem Vorbild muss sich der Verantwortliche auch nach der Verordnung vor Beginn der Datenverarbeitung davon überzeugen, dass der Auftragsdatenverarbeiter hinreichende Garantien dafür bietet, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, insbesondere auch im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen des Auftragsdatenverarbeiters. Insoweit kann – und das ist neu – die Einhaltung der Verpflichtungen bezüglich der technisch- organisatorischen Maßnahmen durch den Auftragnehmer durch die Einhaltung von genehmigten Verhaltensregeln (sog. „Code of Conduct“) oder durch eine genehmigte Zertifizierung nachgewiesen werden.