Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

F.A.Q. zur Auftragsverarbeitung

Übersicht,     Unterschiede BDSG/DS-GVO,     Wirksamkeit Altverträge,     Jede Verarbeitung = ADV?,     Verarbeitungsarten,     Unterschiede Verarbeitungsarten,     Unterauftragnehmer,     Verantwortlichkeiten,     Pflichten Auftragsverarbeiter,     Besondere Fragestellungen,,     Fragen aus der Praxis:

9) Besondere Fragestellungen

9.1) Bleibt die Privilegierung erhalten?

Die Auftragsverarbeitung wird in Deutschland derzeit praktisch durchgehend als " privilegierter" Tatbestand betrachtet, bei der die Weitergabe von Daten vom Verantwortlichen an den Auftragsverarbeiter keiner weiteren gesetzlichen Rechtfertigung bedarf. Dieses wird u.a. daraus abgeleitet, dass § 3 Abs. 4 Ziff. 3 BDSG klarstellt, dass eine " Weitergabe" an den Auftragsdatenverarbeitungsnehmer keine Übermittlung im Sinne von § 3 Abs. 4 Ziff. 3 BDSG darstellt, da der Auftragnehmer (Auftragsverarbeiter) entsprechend § 3 Abs. 8 S. 3 BDSG kein Dritter im Sinne des Gesetzes ist.
Die Begriffsbestimmungen hinsichtlich der Begrifflichkeiten " Verantwortlicher" , " Auftragsverarbeiter" , " Empfänger" und " Dritter" in der Richtlinie 95/46/EG, die maßgeblich die Begriffsbestimmungen des BDSG geprägt haben, sind in der DS-GVO nahezu identisch vorhanden. Daraus lässt sich schlussfolgern, dass sich durch den Wechsel vom BDSG, welches ja die Richtlinie 95/46/EG umsetzte, zu den Regelungen der DS-GVO keine Änderung hinsichtlich der Interpretation dieser Begrifflichkeiten und der damit verbundenen Privilegierung einer Auftragsverarbeitung ergibt. Konsequenterweise müssen daher die von der Art. 29-Datenschutzgruppe zur Richtlinie 95/46/EG getroffenen Aussagen auch mit Geltung der DS-GVO weiterhin Anwendung finden. So stellt die Art. 29-Gruppe in dem vorstehend zitierten Dokument heraus, dass schon zivilrechtlich der Auftragsverarbeiter kein Dritter, sondern vielmehr Erfüllungs- (§ 278 BGB) bzw. Verrichtungsgehilfe (§ 831 BGB) ist. Daher ist er auch keine Partei des Betroffenen sondern muss (haftungsrechtlich) dem Verantwortlichen zugerechnet werden, der ihn auch beauftragt hat.
Eine Verarbeitung von Daten eines Betroffenen durch einen Auftragsverarbeiter ist somit - zwar nicht arbeitsrechtlich, wohl aber datenschutzrechtlich - auch nach der DS-GVO dergestalt zu werten, als wenn die Verarbeitung statt durch den Auftragsverarbeiter durch einen Mitarbeiter des Verantwortlichen vorgenommen wird. Somit gilt auch mit Wirkung der Regelungen der DS-GVO, dass eine Auftragsverarbeitung als " privilegierte Verarbeitung" keinen eigenen Erlaubnistatbestand benötigt.

9.2) § 11 Abs. 5 BDSG fällt weg: Wie ist aus Sicht der DS-GVO mit der " Wartung" umzugehen?

Im Gegensatz zu § 11 Abs. 5 BDSG sieht die DS-GVO " die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen" nicht automatisch als Auftragsverarbeitung an.
Gleichwohl bleiben die schon in den 1990er Jahren mehrfach vorgetragenen und von der juristischen Literatur immer wieder aufgegriffenen Argumente, aufgrund derer die Prüfung/Wartung einer Auftragsverarbeitung zugeordnet werden muss, auch unabhängig davon, ob dies vor Ort oder aus der Ferne (sog. " Fernwartung" ) geschieht, , bestehen.
Die Regelungen zur Auftragsverarbeitung gelten insbesondere immer dann, wenn etwa bei Korrekturen aufgrund von Fehlermeldungen oder im Rahmen von Servicearbeiten ein Zugriff auf personenbezogene Daten nicht sicher ausgeschlossen werden kann, auch wenn dies zufällig und absichtslos passiert.
Ohne einen bestehenden, wirksamen Vertrag (oder anderem Rechtsinstrument der EU) zur Auftragsverarbeitung, sind mithin natürliche oder juristische Personen, welche Kenntnis von den zu schützenden personenbezogenen Daten erhalten, Dritte im datenschutzrechtlichem Sinne. Entsprechend der Vorgaben der DS-GVO muss daher für die Weitergabe der Daten vom Verantwortlichen an diesen Dritten ein Erlaubnistatbestand vorliegen. Ferner muss der " Dritte" (im Sinne einer Funktionsübertragung) als Verantwortlicher für diese Daten die entsprechend einem Verantwortlichen obliegenden Pflichten erfüllen.
Bei " normalen" Daten dürfte in diesen Fällen regelmäßig der Erlaubnistatbestand (auch ohne einen Auftragsdatenverarbeitungsvertrags) der Übermittlung / Verarbeitung des Art. 6 Abs. 1 lit. f DS-GVO einschlägig sein, weil das Interesse des Verantwortliche an der Wartung des Systems ein berechtigtes Interesse im Sinne dieser Vorschrift darstellt. Eine Kenntnisnahme von personenbezogenen Daten durch die die Wartung durchführende Person (wenn entsprechende Schutzmaßnahmen getroffen wurden) dürfte nur in Ausnahmefällen erfolgen. Bei einem solchen Zugriff sollten ferner i.d.R., u.a. auch weil entsprechende technische und organisatorische Maßnahmen getroffen wurden, auch nur eine geringe Teilmenge der Daten betroffen sein. In der Gesamtschau dürfte deshalb in solchen Fällen das Interesse des Verantwortlichen das Interesse des Betroffenen am Schutz der ihn betreffenden Daten überwiegen bzw. das Betroffeneninteresse dürfte dem Interesse des Verantwortlichen nicht maßgeblich entgegenstehen.
Wie vorstehend angemerkt, gehören aber gerade Gesundheits- oder Sozialdaten zu den besonderen Kategorien personenbezogener Daten, deren Verarbeitung ausschließlich nur mittels der in Art. 9 DS-GVO aufgeführten Erlaubnistatbestände legitimiert werden kann. Art. 9 DS-GVO kennt keinen mit Art. 6 Abs. 1 lit. f DS-GVO vergleichbaren Erlaubnistatbestand, sodass in der Konstellation, in der kein wirksamer Auftragsdatenverarbeitungsvertrag abgeschlossen wurde, letzten Endes nur die Möglichkeit bleibt, die wirksame, ausdrückliche Einwilligung der betroffenen Person(en) einzuholen, was aufgrund der mannigfaltigen " Hürden" , die es bei einer Einwilligung zu beachten gilt , letztlich in der Praxis nicht umsetzbar ist.
Um den vorstehend beschriebenen Problemen aus dem Wege zu gehen, verbleibt für den Fall, dass ein Zugriff auf zu schützende personenbezogene Daten durch einen Dienstleister nicht auszuschließen ist, realistischer Weise nur die Möglichkeit, bei derartigen Arbeiten einen den Anforderungen der DS-GVO genügenden Vertrag zur Auftragsdatenverarbeitung abzuschließen.

9.3) Ist jetzt eine Auftragsverarbeitung in der ganzen Welt erlaubt?

Aus den Regelungen der DS-GVO (Kapitel V - " Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen" ) ergibt sich, dass prinzipiell auch eine Auftragsverarbeitung / Übermittlung von Daten in einem Drittland (bei Vorliegen entsprechender Garantien) möglich ist.
Dieses wird bspw. auch durch den Wortlaut von Art. 27 DS-GVO deutlich. So richtet sich dieser Art. explizit an Verantwortliche und Auftragsverarbeiter außerhalb der EU, was wiederum impliziert, dass die DS-GVO eine Auftragsverarbeitung außerhalb der EU durchaus als zulässig ansieht. Ein Auftragsverarbeiter kann somit entsprechend der DS-GVO-Regelungen sowohl innerhalb der EU als auch in einem Drittland eingesetzt werden. Diese Sichtweise wird u.a. auch durch den Wortlaut des Art. 3 Abs. 1 und 2 DS-GVO untermauert, der die Anwendbarkeit der DS-GVO Regelungen auch auf die Auftragsverarbeitung in einem Drittland erstreckt.
Daher muss die Frage, ob nun auch die Auftragsverarbeitung in einem Drittland möglich ist, grundsätzlich mit einem " Ja" beantwortet werden.
Allerdings muss bei der Beauftragung eines Auftragsverarbeiters in einem Drittland beachtet werden, dass dieser nur beauftragt werden darf, wenn in diesem Drittland die Verarbeitung unter den gleichen Voraussetzungen – insbesondere hinsichtlich der Sicherheit der Daten - erfolgt, als wenn die Verarbeitung durch einen Auftragsverarbeiter innerhalb der EU erfolgen würde.
Dieses hat mithin zur Konsequenz, dass Auftragsverarbeiter in Ländern, in denen kein der EU vergleichbares Schutzniveau für die Betroffenendaten existiert grundsätzlich dann nicht beauftragt werden dürfen, wenn nicht sichergestellt ist, dass die Verarbeitung der Daten " sicher" und konform mit den Regelungen der DS-GVO erfolgen kann.