Zusammenfassung

 
Überblick

Nach Inkrafttreten der DSGVO stellt sich für Geschäftsleute die Frage, wie man mit Daten umgeht, zu denen man im Rahmen eines Datenverarbeitungsauftrages nach altem Recht Zugang bekam. Auf jeden Fall muss man die Geheimhaltungsverpflichtungen nach wie vor erfüllen. Allenfalls ist ein neuer Vertrag sinnvoll.

 
Gesetze, Vorschriften und Rechtsprechung

1 Der Fall

Der Softwareberater Erwin B. (Name geändert) hatte von einem Unternehmen einen Programmierungsauftrag erhalten. Im Rahmen dieses Auftrages hatte er Zugriff auf Daten von Kunden und Angestellten, die er aber als solche nicht bearbeiten musste. Nun interessiert es ihn, wie er damit umgehen muss und ob die alten Verträge noch gelten.

Eine Auftragsverarbeitung gemäß Art. 28 DSGVO liegt vor, wenn ein Verantwortlicher Dritte mit der Verarbeitung von Personendaten beauftragt. Nach Meinung der Fachleute gilt das auch, wenn der Beauftragte die Daten selber nicht bearbeitet, aber wenn er sie speichert. Im Fall von Erwin B. gilt also das Recht für Auftragsverarbeitung.

2 Die bisherige Rechtslage und ihre Umsetzung

Auch nach dem alten § 11 Abs. 2 BSDG [bis 25.05.2018] war für eine Auftragsdatenverarbeitung ein schriftlicher Vertrag vorgeschrieben, in dem bestimmte Punkte in Bezug auf den Datenschutz zu regeln waren, nämlich

  • der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • technische und organisatorische Maßnahmen sowie
  • die Berichtigung, Löschung und Sperrung von Daten, die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

3 Rechtslage nach DSGVO und ihre Umsetzung

Art. 28 Abs. 3 DSGVO geht mit den Vorschriften über Verträge mit Auftragsverarbeitern noch etwas weiter. Im Vertrag ist in Bezug auf Datenschutz folgendes zu regeln:

  • Gegenstand und Dauer, Art und Zweck der Verarbeitung,
  • die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen,
  • Pflichten und Rechte der Verantwortlichen,
  • Verarbeitung der personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen,
  • Geheimhaltungspflicht für den Auftragsverarbeiter und seine Mitarbeitenden und allenfalls weitere Auftragsverarbeiter,
  • Verpflichtung, die Rechte der betroffenen Personen zu erfüllen und über die Möglichkeiten nach dem Stand der Technik zu verfügen,
  • Gegenseitige Unterstützung bei der Erfüllung der Pflichten,
  • Löschung oder Rückgabe aller personenbezogenen Daten nach Wahl des Verantwortlichen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht,
  • Verpflichtung des Beauftragten, mit weiteren Auftragsdatenverarbeitern einen Vertrag mit denselben Kriterien abzuschließen.

Hinzu kommen wie im alten Recht Vorschriften über Zusammenarbeit und Kontrolle.

Der Verantwortliche ergreift geeignete technische und organisatorische Maßnahmen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der Verordnung erfolgt. Eine regelmäßige Aktualisierung und Überprüfung ist notwendig (Art. 24 DSGVO und Art. 32 DSGVO).

Die Verantwortlichen und die Auftragsverarbeiter stellen sicher, dass ihnen unterstellte natürliche Personen personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten (Art. 29 DSGVO). Personenbezogene Daten sollten grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden und sind für alle unbefugten Personen zu verschlüsseln.

Es stellt sich nun die Frage, ob Erwin B. mit seinem Auftraggeber einen neuen Vertrag abschließen muss.

  • Wenn der Auftrag in absehbarer Zeit erledigt ist, kann man es beim alten Vertrag bewenden lassen. Zu empfehlen ist aber unbedingt, die Daten, die für die Auftragserfüllung nicht mehr benötigt werden, zu löschen, spätestens nach Beendigung des Auftrages. Für einen neuen Auftrag ist ein Vertrag nach Art. 28 DSGVO abzuschließen.
  • Wenn der Beauftragte für die Bearbeitung des Auftrags noch längere Zeit benötigt oder wenn es sich um einen Dauerauftrag handelt, ist es sinnvoll, den Vertrag gemäß Art. 28 DSGVO zu ergänzen.

Das Bayerische Landesamt für Datenschutzaufsicht verweist darauf, dass Auftragsverarbeiter künftig auch ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung führen müssen. Dieses ist der Aufsichtsbehörde auf Anfrage, z. B. bei Kontrollen, zur Verfügung zu stellen. Diese Verpflichtung gilt nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen und nur gelegentlich Daten verarbeiten, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt (Art. 30 Abs. 5 DSGVO).

 
Praxis-Tipp

Vorgehen bei Beschwerden wegen Verarbeitung nach altem Recht

Sollte sich jemand wegen der Datenverarbeit...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?


Meistgelesene beiträge