Ob Reisekosten, Leasing oder Lohn: Auch Personalabteilungen wickeln viele Aufgaben per "Cloud Computing" ab. Die neue Datenschutzgrundverordnung (DSGVO) zwingt Unternehmen dazu, auch bestehende Verträge zur Auftragsdatenverarbeitung anzupassen.
Seit dem 25. Mai 2018 findet die neue EU-Datenschutzgrundverordnung (DSGVO) Anwendung. Arbeitgeber und Personalverantwortliche müssen seitdem bei der Verarbeitung von Beschäftigtendaten zwingend die neuen Bestimmungen der DSGVO sowie des § 26 des neuen Bundesdatenschutzgesetzes (BDSG) beachten.
Insbesondere die Auftrags(-daten-)verarbeitung durch externe Dienstleister stellt hierbei die Datenschutzverantwortlichen in Unternehmen vor Herausforderungen, denn die neuen Anforderungen der DSGVO sehen auch die Anpassung etwaiger Auftragsverarbeitungsverträge vor.
Daten auslagern bei Cloud-Anbietern außerhalb der EU?
Um Effektivität und Effizienz eines Unternehmens zu steigern – gerade in Zeiten der Digitalisierung – werden zahlreiche Datenverarbeitungsschritte von Personalabteilungen ausgelagert. Die Auftragsverarbeitung, also die Verarbeitung von personenbezogenen Beschäftigtendaten (etwa im Zusammenhang mit der Reisekostenorganisation, der Abwicklung von Leasingverträgen eines Firmenwagens oder dem gesamten Gehaltsprozess) durch Dienste sogenannter Cloud-Anbieter, erfreut sich dabei zunehmender Beliebtheit.
Auch wenn dies zwischen einzelnen Datenschutzbehörden zwar streitig sein mag: Nach unserer Rechtsauffassung ist eine Auslagerung personenbezogener Daten auf Basis eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO prinzipiell auch außerhalb der europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) zulässig, soweit bei der Verarbeitung von personenbezogenen Daten im Drittland geeignete Schutzmechanismen greifen (zum Beispiel EU-Standard-Vertragsklauseln, Privacy-Shield-Zertifizierung).
Das bedeutet, dass sogenanntes Cloud Computing durch externe Service-Provider grundsätzlich als Auftragsverarbeitung im Sinne von Art. 28 DSGVO möglich ist, ob innerhalb oder außerhalb des EWR.
Datenschutzrechtliche Herausforderung: Cloud-Computing in USA
Dennoch ist nicht zu unterschätzen, dass Cloud Computing – insbesondere in Drittländern wie den USA – eine echte Herausforderung bezüglich des Datenschutzrechts darstellt. Für den Anwender im Unternehmen stellt sich gleichwohl die Frage, ob und inwieweit bisherige Auftragsverarbeitungsverträge geändert oder neu ausgestaltet werden müssen. Viele Compliance-Teams sind diesbezüglich unsicher – gerade weil bei zahlreichen Cloud-Anbietern die Auftragsverarbeitung außerhalb des EWR erfolgt.
Auftragsverarbeitungsverträge an DSGVO anpassen
Die Anpassungserfordernisse hinsichtlich der Vertragsgestaltung mit Auftragsverarbeitern betreffen nach den neuen Datenschutzregeln sowohl inhaltliche als auch technische und organisatorische Maßnahmen. Personalabteilungen sollten daher prüfen, welche inhaltlichen Anforderungen ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO künftig zu erfüllen hat. Um notwendige Anpassungen umzusetzen, empfiehlt es sich die gesetzlichen Forderungen gemäß Art. 28 Abs. 3 DSGVO vollständig in das Vertragswerk überzuleiten und diese letztendlich ähnlich einer Checkliste abzuarbeiten.
Verarbeitung personenbezogener Daten: Gegenstand und Inhalt des Vertrags genau regeln
So ist es zum Beispiel nötig, im Hauptvertrag zunächst den Vertragsgegenstand und die Dauer der Beauftragung festzulegen sowie idealerweise Vergütungs- und Haftungsregelungen zum vereinbarten Leistungsspektrum des Auftragnehmers zu regeln. Ferner sollte der Auftragsinhalt näher bestimmt werden, also insbesondere im Hinblick auf die Art und den Zweck der Verarbeitung personenbezogener Daten. Haben die Parteien des Auftragsverarbeitungsvertrags den Wunsch, dass die Verarbeitung der personenbezogenen Daten ausschließlich in einem Mitgliedsstaat der EU oder des EWR stattfindet, ist hierauf ausdrücklich hinzuweisen.
Praxis-Tipp: Kann der Auftragsverarbeiter die personenbezogenen Daten lediglich in einem nicht sicheren Ausland (zum Beispiel der USA) verarbeiten, bedarf es einer entsprechenden vertraglichen Gestaltung. Diese muss darauf hinwirken, dass nach Art. 27 Abs. 1 DSGVO ein Vertreter des Dienstleisters in der EU zu benennen ist. Zudem sind die Arten der verarbeiteten personenbezogenen Daten sowie die Kategorien der betroffenen Personen (Lieferanten, Beschäftigte, Abonnenten, Kunden, et cetera) konkret zu bezeichnen.
Klare Regelungen zur Einhaltung gesetzlicher Pflichten treffen
Neben Gegenstand und Inhalt des Auftrags sollten Unternehmen klare Regelungen im Zusammenhang mit der Einhaltung der gesetzlichen Verpflichtungen gemäß Art. 28 bis 33 DSGVO durchsetzen. Diese betreffen die Qualitätssicherung und sonstigen Pflichten des Auftragnehmers. So sind etwa alle erforderlichen DSGVO-konformen technischen und organisatorischen Maßnahmen des Art. 28 Abs. 3 Satz 2 lit. c), 32 DSGVO konkret zu bezeichnen und in einer Anlage zu beschreiben.
Pflicht zur Bestellung eines Datenschutzbeauftragten
Die Verwendung von pauschalen Aussagen oder Wiederholungen hinsichtlich der inhaltlichen, technischen oder organisatorischen Anforderungen in diesem Zusammenhang werden künftig nicht mehr ausreichen.
Zu den Pflichten des Auftragsverarbeiters zählt beispielsweise auch die schriftliche Bestellung eines Datenschutzbeauftragten sowie die Aufnahme der Kontaktdaten desselben. Alternativ bedarf es einer kurzen Dokumentation, weshalb der Auftragnehmer nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist.
Hinweis: Weshalb HR sowohl eine Kontrollpflicht als auch eine vertragliche Pflicht zur Vertraulichkeit vereinbaren sollte, lesen Sie im kompletten Text des Autors im Personalmagazin, Heft 06/18. Hier finden Sie auch eine Checkliste zur Anpassung von Verträgen mit Dienstleistern. Hier geht´s zur Personalmazin-App.
Autor: Hendrik Muschal ist Office Managing Partner bei Ogletree Deakins, Fachanwälte für Arbeitsrecht, in Berlin.