Die Auftragsverarbeitung nach der Datenschutz-Grundverordnung Dr. Philipp Richter, Referent beim Landesbeauftragten für Datenschutz und Informationsfreiheit, Rheinland-Pfalz

Grundlage: Die neue Datenschutz-Grundverordnung Gliederung Grundlage: Die neue Datenschutz-Grundverordnung Rückblick: Auftragsdatenverarbeitung nach§ 11 BDSG /§ 4 LDSG Ausblick: Auftragsverarbeitung nach Art. 28 DSGVO 2.1 Das Auftragsverhältnis 2.2 Verantwortlichkeit von Auftraggeber und Auftragnehmer 2.3 Übermittlung zwischen Auftraggeber und Auftragnehmer 2.4 Cloud Computing 2.5 Fernwartung 2.6 Vergabe an nicht öffentliche Stellen 2.7 Abgrenzung zur gemeinsamen Verarbeitung 4 Fazit

1.1 Die Datenschutz-Grundverordnung Datenschutz-Grundverordnung (DS-GVO) - Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Engl.: General Data Protection Regulation (GDPR) Gilt ab: 25. Mai 2018 Betrifft: Regelt umfassend den Datenschutz bei privaten und öffentlichen Stellen Ordnungswidrigkeiten nicht JI-RL: s. Ehmann/Selmayr, DSGVO, Art. 2 Rn. 12, Weinhold in: Roßnagel Europäische Datenschutz-Grundverordnung, § 3, Rn. 21.

1.2 Regelungsziel und Ansatz Ziel: Harmonisierung des Datenschutzrechts in der EU Gewähltes Instruments: Verordnung Im Gegensatz zur bisherigen Datenschutz-RL ohne Umsetzung direkt anwendbar Anwendungsvorrang gegenüber mitgliedstaatlichem Recht Kommissionsentwurf: Abstrakte Regelungen Konkretisierung durch weitere Rechtsakte der Kommission Rat und Parlament: Rechtsakte durch Kommission gestrichen Stattdessen Öffnungsklauseln für die Mitgliedstaaten Ergebnis: Komplexes Miteinander von DS-GVO und nationalem Recht Anwendungsvorrang Entgegenstehendes und auch gleichlautendes nationales Recht Wird verdrängt (gilt aber weiter). Wiederholungsverbot

1.3 Wichtige Normbereiche Art. 2: Sachliche Anwendbarkeit - Private und öff. Stellen (außer Justiz und Inneres) Art. 3: Räumliche Anwendbarkeit - Marktortprinzip Art. 5: Grundsätze der Verarbeitung Art. 6: Erlaubnistatbestände Art. 7 und 8: Einwilligung Art. 9: Besondere Kategorien von Daten (z.B. Gesundheitsdaten) Art. 12 bis 23: Betroffenenrechte Art. 25: Datenschutz durch Technik Art. 28: Auftragsverarbeitung Art. 30: Verzeichnis von Verarbeitungstätigkeiten Art 32: Sicherheit der Verarbeitung Art. 35 Datenschutzfolgenabschätzung Art. 37 bis 39: Datenschutzbeauftragter Art. 40 und 41: Verhaltensregeln Art. 42 und 43: Zertifizierung Art. 44 bis 50: Übermittlung in Drittländer Art. 51 bis 76: Aufsichtsbehörden und deren Zusammenarbeit in der EU Art. 77 bis 84: Rechtsbehelfe und Sanktionen Art. 85 bis 91: Besondere Verarbeitungssituationen

1.4 Anpassungen in Deutschland Bundesdatenschutzgesetz (neu): gilt ebenfalls ab 25.5.2018 Passt BDSG an DS-GVO an und setzt JI-RL um Landesdatenschutzgesetz Rheinland-Pfalz (neu): im Gesetzgebungsprozess, geplant für 25.5.2018 Sozialdatenschutz (insb. SGB X): bereits neue Fassung in Kraft Anpassungen in weiteren Gesetzen zu erwarten Z.B. TMG, TKG

1.5 Neue Begriffe alt neu verantwortliche Stelle Verantwortlicher Betroffener Auftragsdatenverarbeitung Auftragnehmer Sperrung Datei besondere Arten personenbezogener Daten neu Verantwortlicher Betroffene Person Auftragsverarbeitung Auftragsverarbeiter Einschränkung der Verarbeitung Dateisystem besondere Kategorien personenbezogener Daten Datenschutz-Folgeabschätzung (Art. 35) entspricht Vorab-Kontrolle

2. Rückblick: Die Auftragsdatenverarbeitung in§ 11 BDSG /§ 4 LDSG Vertrag zwischen Auftraggeber und Auftragnehmer Weisungsgebundenheit des Auftragnehmers Verantwortlicher ist nur der Auftraggeber Kontrollrechte und/-pflichten des Auftraggebers Auftragnehmer in EU keine „Dritten“, vereinfachte Übermittlung Fernwartung Abs. 5 Cloud Computing als Auftragsverarbeitung?

3. Ausblick: Die Auftragsverarbeitung nach Art. 28 DS-GVO Art. 28 DS-GVO zentrale Norm, keine Regelungen in BDSG-neu und LDSG-neu Grundkonzeption bleibt erhalten: Verantwortlicher bleibt verantwortlich Auftragnehmer weisungsgebunden, handelt er zu eigenen Zwecken, wird er selbst verantwortlich (Art. 28 Abs. 10) Neuerungen aber insb.: Eigene (beschränkte) Haftung für Auftragnehmer (Art. 82 Abs. 1 und 2 DS-GVO) Eigenes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 2 DS-GVO) Data Breach Notification an Verantwortlichen (Art. 33 Abs. 2 DS-GVO)

3.1 Das Auftragsverhältnis I Verantwortlicher hat gem. Art. 28 Abs. 1 Auftragsverarbeiter sorgfältig auszuwählen Auftragsverarbeiter ist weisungsgebunden Nicht Auftragsverarbeiter ist, wer über Zweck und Mittel der Verarbeitung entscheidet (Art. 28 Abs. 10 DS-GVO) Zweck ist unumstritten Bzgl. Mittel strittig, kann Auftragsverarbeiter technische Details selbst festlegen

3.1 Das Auftragsverhältnis II Vertrag oder anderes Rechtsinstrument z.B. Standardvertragsklauseln (EwGrd. 81), aber eher als Rahmen Elektronische Form in Zukunft ausreichend (wie Textform nach BGB) Inhalte nicht grundsätzlich überarbeitet aber im Detail doch einige Änderungen (z.B. Unteraufträge, Meldung von Datenpannen) Daher Anpassung bestehender Verträge zu empfehlen Formulierungshilfe des LDA Bayern Beispiele für Anpassungsbedarf: Sprachliche Anpassungen, Verweise auf Gesetzesnormen anpassen, inhaltliche Auf Maßnahmen nach Art. 32 verweisen Pflichten des Auftragnehmers im Hinblick auf Unteraufträge Regelmäßige Kontrollen aufnehmen Dokumentationspflicht für Weisungen

3.2 Verantwortlichkeit von Auftraggeber und Auftragnehmer Kontrollpflicht des Auftragnehmers Nicht ausdrücklich in Art. 28 GS-GVO enthalten Zum Nachweis gem. Art. 28 Abs. 1 können auch Zertifizierungen und genehmigte Verhaltensregeln als Faktor herangezogen werden Aber aufgrund von Art. 28 Abs. 1 und Art. 32 Abs. 1 lit. d regelmäßige Kontrolle zu verlangen Neue Pflicht Auftragsverarbeiter: Art. 30 Abs. 2 Haftung Auftragsverarbeiter Schadensersatz gem. Art. 82 Ab. 2 S. 1: für Verstöße gegen spezielle Pflichten als Auftragsverarbeiter: Art. 32, 30 Abs. 2 Insofern auch selbst Adressat von Sanktionsnormen Verantwortlichkeit ggü. früher erhöht

3.3 Übermittlung zwischen Auftraggeber und Auftragnehmer I Bisher sog. „Privilegierung“ der Auftragsverarbeitung Auftragsverarbeiter kein „Dritter“ daher nach BDSG-alt und LDSG–alt keine Erlaubnisvorschrift für Übermittlung zwischen den beiden notwendig (Übermittlung nur Weitergabe an „Dritte“) Nach DS-GVO noch nicht abschließend geklärt Eine Meinung liest Privilegierung auch in DS-GVO hinein dies allerdings von Wortlaut und Systematik her nicht völlig überzeugend, denn Übermittlung gerade nicht auf „Dritte“ beschränkt

3.3 Übermittlung zwischen Auftraggeber und Auftragnehmer II LfDI RLP tendiert dazu, die Übermittlung als „Weiterverarbeitung“ des Verantwortlichen zu betrachten Dies kann es erforderlich machen, einen Erlaubnistatbestand zu erfüllen, z.B. Art. 6 Abs. 1 lit. f DS-GVO (berechtigte Interessen) Dies würde i.E. nichts Fundamentales ändern Übermittlung im Rahmen einer Auftragsverarbeitung, die den Anforderungen von Art. 28 entspricht, wird i.d.R. zulässig sein DS-GVO bekennt sich klar zur Auftragsverarbeitung Atypische Fälle können so allerdings im Einzelfall geprüft werden

Hieran ändert sich nichts durch DS-GVO 3.4 Cloud Computing Je nach Dienstangebot zweifelhaft, ob Verarbeitung im Auftrag angenommen werden kann Fehlender Auftragsvertrag Fehlende Weisungsgebundenheit Fehlende Kontrollmöglichkeiten Hieran ändert sich nichts durch DS-GVO Übermittlung an Cloud-Anbieter ist zunächst wieder Weiterverarbeitung Wirksames Auftragsverhältnis nach Art. 28 DS-GVO wirkt sich vorteilhaft auf Zulässigkeit der Übermittlung aus Aber auch andere Instrumente möglich, je nach Dienstangebot

3.5 Fernwartung Bisher § 11 Abs. 5 BDSG / § 4 Abs. 5 LDSG Keine ausdrückliche Regelung in DS-GVO Offenlegung an Wartungsdienstleister ist Weiterverarbeitung Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO Auf Zulässigkeit wirkt sich Auftragsverhältnis nach Art. 28 positiv aus Aber auch andere Instrumente möglich

3.6 Vergabe an nicht öffentliche Stellen § 4 Abs. 4 S. 2 LDSG-alt: „An nicht öffentliche Stellen soll ein Auftrag nur vergeben werden, wenn überwiegende schutzwürdige Interessen, insbesondere Berufs- oder besondere Amtsgeheimnisse, nicht entgegenstehen.“ Vergleichbare Regelung ist in der DS-GVO nicht vorhanden Allerdings kann dies als Aspekt in Prüfung der Zulässigkeit der Übermittlung an Auftragsverarbeiter einfließen (z.B. Interessenabwägung)

Gemeinsam Verantwortliche Auftrags-verarbeiter 3.7 Abgrenzung zur gemeinsamen Verantwortlichkeit Gemeinsam Verantwortliche Art. 26 DS-GVO Alle legen Zwecke und Mittel fest Gewollte und bewusste Zusammenarbeit Verantwortlicher Art. 4 Nr. 7 DS-GVO Auftrags-verarbeiter Art. 28 DS-GVO Auftragsverarbeiter legt keine Zwecke (und Mittel) fest

4 Fazit I Keine grundsätzliche Neuausrichtung, im Detail aber Unterschiede Anpassung bestehender Aufträge an Art. 28 DS-GVO in manchen Punkten zu empfehlen In Zukunft für Aufträge auch elektronisches Format möglich Eigenes Verfahrensverzeichnis für Auftragsverarbeiter

Verantwortlichkeit: grds. gleichartig wie bisher 4 Fazit II Verantwortlichkeit: grds. gleichartig wie bisher Auftragsverarbeiter weisungsgebunden und nicht verantwortlich Allerdings neu: eigene Haftung für Verletzung eigener Pflichten DS-GVO nimmt an vielen Stellen Auftragsverarbeiter selbst in die Pflicht „Privilegierung“ der Auftragsverarbeitung: voraussichtlich nicht mehr in der Form wie bisher Übermittlung zwischen Auftraggeber und Auftragsverarbeiter aber auch als Weiterverarbeitung im Regelfall zulässig DS-GVO bekennt sich klar zur Auftragsverarbeitung