Serie: Datenschutzgrundverordnung – was ist zu tun? (6-8)

Die Datenschutzgrundverordnung (DSGVO) wurde am 25.05.2016 verabschiedet. Nach einer Übergangsfrist von zwei Jahren trat sie am 25.05.2018 in Kraft. Als Verordnung ist sie in den Mitgliedstaaten unmittelbar anwendbar (vgl. Art. 288 Abs. 2 AEUV); es bedarf insoweit keines Umsetzungsakts wie bei Richtlinien. Zur Ausfüllung von Öffnungsklauseln und zur Anpassung des nationalen Datenschutzrechts an die Vorgaben der DSGVO wurde das deutsche Bundesdatenschutzgesetz (BDSG) – inzwischen bereits zweimal – geändert; die neue Fassung trat ebenfalls am 25.05.2018 in Kraft, die Änderungen durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz sind am 26.11.2019 in Kraft getreten.

Die DSGVO bringt einige Änderungen mit sich; insbesondere wurden die Sanktionen drastisch verschärft. Unternehmen sollten die Vorgaben der DSGVO daher ernst nehmen; Grund zur Panik besteht allerdings nicht. In unserer Artikelserie zeigen wir Ihnen, worauf zu achten ist:

Artikel 1: Rechtsgrundlagen, Anwendungsbereich und Grundprinzipien
Artikel 2: Datenschutzbeauftragter (DSB) 
Artikel 3: Verfahrensverzeichnis, Schutzmaßnahmen und Folgeabschätzung 
Artikel 4: Informationspflichten und Betroffenenrechte 
Artikel 5: Datenpannen: Melde- / Benachrichtigungspflichten 
Artikel 6: Auftragsverarbeitung (dieser Artikel)
Artikel 7: Zivilrechtliche Haftungsrisiken und Sanktionen
Artikel 8: Wesentliche Begriffe

Artikel 6: Auftragsverarbeitung

Wenn eine Verarbeitung im Auftrag eines Verantwortlichen erfolgt, arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (vgl. Art. 28 DSGVO).

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.

Der Vertrag muss schriftlich oder in einem elektronischen Format vorliegen. Den Auftragsverarbeiter treffen verschiedene neue Pflichten, u.a. die Pflicht zur Einrichtung eines Verfahrensverzeichnisses oder die Pflicht zur Durchführung technischer und organisatorischer Maßnahmen und zur Bestellung eines Datenschutzbeauftragten (vgl. Art. 32, 37 DSGVO).

Hinweis: Der Auftragsverarbeiter ist weisungsgebunden und zur Verschwiegenheit verpflichtet. Subunternehmer darf der Auftragsverarbeiter nur dann einsetzen, wenn der Verantwortliche dem zugestimmt hat (vgl. Art. 28 Abs. 2 DSGVO).