Praxisanfrage: Was muss ein externer Software-Entwickler ... / 3 Rechtslage nach DSGVO und ihre Umsetzung

Art. 28 Abs. 3 DSGVO geht mit den Vorschriften über Verträge mit Auftragsverarbeitern noch etwas weiter. Im Vertrag ist in Bezug auf Datenschutz folgendes zu regeln:

• Gegenstand und Dauer, Art und Zweck der Verarbeitung,
• die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen,
• Pflichten und Rechte der Verantwortlichen,
• Verarbeitung der personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen,
• Geheimhaltungspflicht für den Auftragsverarbeiter und seine Mitarbeitenden und allenfalls weitere Auftragsverarbeiter,
• Verpflichtung, die Rechte der betroffenen Personen zu erfüllen und über die Möglichkeiten nach dem Stand der Technik zu verfügen,
• Gegenseitige Unterstützung bei der Erfüllung der Pflichten,
• Löschung oder Rückgabe aller personenbezogenen Daten nach Wahl des Verantwortlichen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht,
• Verpflichtung des Beauftragten, mit weiteren Auftragsdatenverarbeitern einen Vertrag mit denselben Kriterien abzuschließen.

Hinzu kommen wie im alten Recht Vorschriften über Zusammenarbeit und Kontrolle.

Der Verantwortliche ergreift geeignete technische und organisatorische Maßnahmen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der Verordnung erfolgt. Eine regelmäßige Aktualisierung und Überprüfung ist notwendig (Art. 24 DSGVO und Art. 32 DSGVO).

Die Verantwortlichen und die Auftragsverarbeiter stellen sicher, dass ihnen unterstellte natürliche Personen personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten (Art. 29 DSGVO). Personenbezogene Daten sollten grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden und sind für alle unbefugten Personen zu verschlüsseln.

Es stellt sich nun die Frage, ob Erwin B. mit seinem Auftraggeber einen neuen Vertrag abschließen muss.

• Wenn der Auftrag in absehbarer Zeit erledigt ist, kann man es beim alten Vertrag bewenden lassen. Zu empfehlen ist aber unbedingt, die Daten, die für die Auftragserfüllung nicht mehr benötigt werden, zu löschen, spätestens nach Beendigung des Auftrages. Für einen neuen Auftrag ist ein Vertrag nach Art. 28 DSGVO abzuschließen.
• Wenn der Beauftragte für die Bearbeitung des Auftrags noch längere Zeit benötigt oder wenn es sich um einen Dauerauftrag handelt, ist es sinnvoll, den Vertrag gemäß Art. 28 DSGVO zu ergänzen.

Das Bayerische Landesamt für Datenschutzaufsicht verweist darauf, dass Auftragsverarbeiter künftig auch ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung führen müssen. Dieses ist der Aufsichtsbehörde auf Anfrage, z. B. bei Kontrollen, zur Verfügung zu stellen. Diese Verpflichtung gilt nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen und nur gelegentlich Daten verarbeiten, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt (Art. 30 Abs. 5 DSGVO).

Praxis-Tipp

Vorgehen bei Beschwerden wegen Verarbeitung nach altem Recht

Sollte sich jemand wegen der Datenverarbeitung nach altem Recht beschweren, kann man auf den Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 13./14. September 2016) hinweisen, jedenfalls wenn die betreffenden Personen in die Datenverarbeitung eingewilligt haben. Nach diesem Beschluss erfüllen bisher rechtswirksame Einwilligungen nach altem Recht grundsätzlich die Bedingungen des DSGVO.