GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)
DS-GVO | Inhalt der Regelung |
---|---|
Art. 27 Abs. 1, 3 | Auftragsverarbeiter außerhalb der EU müssen schriftlich einen Vertreter in der Union bestimmen, der in einem der Mitgliedstaaten niedergelassen sein muss, welcher insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Einhaltung der Vorgaben der DS-GVO als Anlaufstelle dient. |
Art. 28 Abs. 2 | Der Auftragsverarbeiter darf ohne schriftliche Genehmigung des Verantwortlichen keinen Unterauftragsverarbeiter beauftragen. Hinweis: Eine elektronische Form der Genehmigung sieht Art. 28 Abs.2 DS-GVO nicht vor. |
Art. 28 Abs. 3 lit a | Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten. Dies beinhaltet auch die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Hinweis: Dies bedeutet, dass auch im Rahmen der Wartung/Fernwartung eines IT-Systems diese Wartung/Fernwartung nur auf eine dokumentierte Weisung des Verantwortlichen hin erfolgen darf; der Auftragsverarbeiter hat hier keinen Ermessungsspielraum. |
Art. 28 Abs. 3 lit. b | Der Aufragnehmer muss gewährleisten, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. |
Art. 28 Abs. 3 lit. c i. V. m. Art. 32 | Der Auftragsverarbeiter muss erforderliche technische und organisatorische Maßnahmen gemäß Art. 32 DS-GVO umsetzen. |
Art. 28 Abs. 3 lit. e | Der Auftragsverarbeiter muss mit geeigneten technischen und organisatorischen Maßnahmen den Verantwortlichen in der Umsetzung der Rechte von betroffenen Personen unterstützen. |
Art. 28 Abs. 3 lit. f | Der Auftragsverarbeiter muss, soweit ihm dies nach der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen möglich ist, den Verantwortlichen bei der Einhaltung der Anforderungen von − Art. 32 (Sicherheit der Verarbeitung) − Art. 33 (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde) − Art. 34 (Meldung von Verletzungen des Schutzes personenbezogener Daten an den Betroffenen) − Art. 35 (Datenschutz-Folgenabschätzung) − Art. 36 (Vorherige Konsultation der Aufsichtsbehörde) unterstützen. |
Art. 28 Abs. 3 lit. g | Nach Abschluss der Verarbeitung muss der Auftragsverarbeiter die personenbezogenen Daten löschen oder zurückgeben, sofern für den Auftragsverarbeiter keine rechtliche Verpflichtung zur Aufbewahrung der personenbezogenen Daten besteht. |
Art. 28 Abs. 3 lit. h | Der Auftragsverarbeiter muss dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO niedergelegten Pflichten zur Verfügung stellen. |
Art. 28 Abs. 3 lit. h | Der Auftragsverarbeiter muss Überprüfungen ??? einschließlich Inspektionen ???, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglichen und unterstützen. |
Art. 28 Abs. 3 Satz 3 | Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich informieren, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. |
Art. 28 Abs. 4 | Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter, so muss er dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegen, die der Auftragsverarbeiter mit dem Verantwortlichen vereinbarte. Außerdem haftet der Auftragsverarbeiter für Pflichtverletzungen des Unterauftragsverarbeiters. |
Art. 29 | Der Auftragsverarbeiter darf personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten, außer dass er nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet ist. Hinweis: Ist dies der Fall, so muss der Auftragsverarbeiter vor Beginn der Verarbeitung den Verantwortlichen über diese rechtlichen Anforderungen zur Verarbeitung seiner Daten informieren (Art. 28 Abs. 3 lit. a), sofern dieses Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. |
Art. 30 Abs. 2 i.V.m. Art. 30 Abs. 3 | Der Auftragsverarbeiter führt (soweit keine Ausnahmetatbestände vorliegen) ein schriftliches (beinhaltet auch die Möglichkeit der Nutzung eines elektronischen Formates) Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung. |
Art. 30 Abs. 4 | Der Auftragsverarbeiter stellt das Verzeichnis auf Anfrage der Aufsichtsbehörde zur Verfügung. |
Art. 31 | Der Auftragsverarbeiter arbeitet auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. |
Art. 32 Abs. 4 | Der Auftragsverarbeiter stellt sicher, dass ihm unterstellte natürliche Personen die personenbezogenen Daten nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind rechtlich zur Verarbeitung verpflichtet. |
Art. 33 Abs. 2 | Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich über eine Verletzung des Schutzes personenbezogener Daten informieren. |
Art. 37 Abs. 1, Abs. 4 S. 1, 2. HS |
Der Auftragsverarbeiter muss einen Datenschutzbeauftragten bestellen, wenn dies durch die DS-GVO oder nach einem anderen Recht der Union oder der Mitgliedstaaten vorgeschrieben ist. |
Art. 38 Abs. 1 | Der Auftragsverarbeiter muss gewährleisten, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden ist. |
Art. 38 Abs. 2 | Der Auftragsverarbeiter stellt dem Datenschutzbeauftragten alle erforderlichen Ressourcen sowie den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen als auch die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung. |
Art. 38 Abs. 3 | Der Auftragsverarbeiter stellt sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben weisungsfrei arbeiten kann. Der Datenschutzbeauftragte darf wegen seiner Aufgabenerfüllung nicht abberufen oder benachteiligt werden. |
Art. 38 Abs. 6 | Nimmt der Datenschutzbeauftragte noch andere Aufgaben und Pflichten wahr, stellt der Auftragsverarbeiter sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. |
Artt. 44-50 | Eine Verarbeitung in Drittländern ist nur unter Einhaltung der in den Artt. 44-50 DS-GVO beschriebenen Anforderungen statthaft. |
Art. 60 Abs. 10 | Nach der Unterrichtung durch eine federführende Aufsichtsbehörde muss der Auftragsverarbeiter die erforderlichen Maßnahmen treffen, um die Entscheidung der Aufsichtsbehörde umzusetzen. Diese getroffenen Maßnahmen muss der Auftragsverarbeiter der federführenden Aufsichtsbehörde mitteilen. |
Art. 82 Abs. 2 | Der Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen gehandelt hat oder gegen diese Anweisungen gehandelt hat. |
Art. 82 Abs. 4 | Jeder Verantwortliche oder jeder Auftragsverarbeiter haftet für den gesamten Schaden, damit ein wirksamer Schadenersatz für die betroffene Person sichergestellt ist. |
BDSG | DS-GVO | Inhalt der Regelung |
---|---|---|
§ 11 Abs. 2 Ziff. 1 | Art. 28 Abs. 3 S. 1 | Festzulegen sind: Gegenstand und Dauer der Verarbeitung |
§ 11 Abs. 2 Ziff. 2 | Art. 28 Abs. 3 S. 1 | Festzulegen sind: Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen |
§ 11 Abs. 2 Ziff. 10 | Art. 28 Abs. 3 lit. g | Der Auftragsverarbeiter löscht oder gibt alle personenbezogenen Daten an den Verantwortlichen entsprechend dessen Entscheidung zurück. |
§ 11 Abs. 3 S. 2 | Art. 28 Abs. 3 S. 3 | Es besteht eine Hinweispflicht, wenn der Auftragsverarbeiter eine Weisung des Verantwortlichen für datenschutzrechtlich rechtswidrig hält. |
DS-GVO | Inhalt der Regelung |
---|---|
Art. 4 Ziff. 8 | Während im BDSG der Begriff des "Auftragsverarbeiters" nicht explizit enthalten und definiert ist, definiert die DS-GVO, was unter diesem Begriff zu verstehen ist. Dabei bleibt die DS-GVO bei der Begriffsbestimmung, wie sie aus der RL 95/46/EG bekannt ist, sodass bisherige Ausführungen der Aufsichtsbehörden(1) zur Interpretation herangezogen werden können. |
Art. 4 Ziff. 10 | Im Unterschied zu der entsprechenden Regelung im BDSG ist ein Auftragsverarbeiter mit einem Sitz im Drittland nicht automatisch "Dritter". Ob die Definition des "Dritten" auf eine datenverarbeitende Stelle zutrifft, hängt ausschließlich von der Befugnis ab, ob die Daten unter der Verantwortung eines Verantwortlichen als Auftragsverarbeiter verarbeitet werden dürfen, nicht vom Erbringungsort. |
Art. 28 Abs. 3 lit. b | Der Auftragsverarbeiter muss gewährleisten, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. |
Art. 28 Abs. 3 lit. c | Der Auftragsverarbeiter muss erforderliche technische und organisatorische Maßnahmen gemäß Art. 32 DS-GVO umsetzen. |
Art. 28 Abs. 3 lit. d | Der Auftragnehmer darf keine weiteren Auftragsverarbeiter ohne vorherige schriftliche Genehmigung des Auftraggebers in Anspruch nehmen. Im Fall einer allgemeinen Genehmigung ist über die beabsichtigte Änderung der Hinzuziehung zu informieren, um dem Auftraggeber die Möglichkeit des Einspruchs einzuräumen. |
Art. 28 Abs. 3 lit. e/td> | Der Auftragsverarbeiter muss mit geeigneten technischen und organisatorischen Maßnahmen den Verantwortlichen bei der Umsetzung der Rechte von betroffenen Personen unterstützen. |
Art. 28 Abs. 3 lit. f | Der Auftragsverarbeiter muss, soweit ihm dies nach der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen möglich ist, den Verantwortlichen bei der Einhaltung der Anforderungen von − Art. 32 (Sicherheit der Verarbeitung) − Art. 33 (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde) − Art. 34 (Meldung von Verletzungen des Schutzes personenbezogener Daten an den Betroffenen) − Art. 35 (Datenschutz-Folgenabschätzung) − Art. 36 (Vorherige Konsultation der Aufsichtsbehörde) unterstützen |
Art. 28. Abs. 3 S.1, S. 2 Art. 28 Abs. 9 |
Die DS-GVO verlangt ausdrücklich einen schriftlichen Vertrag (BDSG nur einen "schriftlich zu erteilenden Auftrag"), wobei diese Anforderung auch ein elektronisches Format zulässt. ErwGr. 32 gibt Hinweise, was der europäische Verordnungsgeber unter einer "elektronischen Form" in Bezug auf die Einwilligung versteht. Diese können analog zur Interpretation im Rahmen der Vertragsgestaltung bei der Auftragsverarbeitung hinzugezogen werden. Art. 5 Abs. 2 DS-GVO erhebt eine "Rechenschaftspflicht" bezüglich der Anforderungen von Art. 5 Abs. 1 DS-GVO. Hinweis: Neben der Nachweis- und Rechenschaftspflicht gegenüber dem Betroffenen muss diese Dokumentation letztlich auch einer aufsichtsrechtlichen/gerichtlichen Überprüfung standhalten. Daher bietet es sich an, einen Vertrag entsprechend der deutschen Vorgaben gemäß §§ 126, 126a BGB abzuschließen. |
Art. 30 Abs. 4 | Der Auftragsverarbeiter stellt das von ihm erstellte "Verzeichnis von Verarbeitungstätigkeiten" auf Anfrage der Aufsichtsbehörde zur Verfügung. D. h. der Auftragsverarbeiter muss direkt mit der Aufsichtsbehörde zusammenarbeiten, unabhängig vom Verantwortlichen. Hinweis: Daher sollte vertraglich vereinbart werden, dass der Auftragsverarbeiter den Verantwortlichen von diesen Anfragen der Aufsichtsbehörde informiert. |
Art. 32 Abs. 1 | Der Verantwortliche und der Auftragsverarbeiter treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau bei der Verarbeitung zu gewährleisten. Dies muss unter Berücksichtigung − des Stands der Technik, − der Implementierungskosten und − der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie − der unterschiedlichen Eintrittswahrscheinlichkeit und − der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen erfolgen. Die getroffenen Maßnahmen müssen der Aufzählung in Art. 32 Abs. 1 lit. a-d genügen. |
Art. 33 Abs. 2 | Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich über eine Verletzung des Schutzes personenbezogener Daten informieren. |
Art. 83 Abs. 4 lit. a | Im Unterschied zum BDSG ist nicht ein bestimmtes Verhalten oder Unterlassen bußgeldbewehrt, sondern jeder Verstoß gegen die aufgeführten Artikel der DS-GVO bzw. den daraus resultierenden Pflichten für Verantwortliche und Auftraggeber. Zudem enthält der Wortlaut eine "muss"-Vorgabe, so dass die Aufsichtsbehörde jeden Verstoß ahnden muss. |
(1) z. B. Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen "für die Verarbeitung Verantwortlicher" und "Auftragsverarbeiter", WP 169 vom 16.2.2010, S. 32. Online, zitiert am 2016-09-25
DS-GVO | Inhalt der Regelung | |
---|---|---|
Art. 27 Abs. 1 | Verantwortliche oder Auftragsverarbeiter müssen schriftlich einen Vertreter in der Union benennen, wenn ein Drittstaatenbezug gemäß Art. 3 Abs. 2 vorliegt. Der Vertreter kann sowohl eine natürliche als auch eine juristische Person sein (Art. 4 Nr. 17). | |
Art. 27 Abs. 2 | Art. 27 Abs. 2 schränkt die aus Art. 27 Abs. 1 resultierende Pflicht zur Benennung eines Vertreters in der Union ein. Die Pflicht gilt prinzipiell nicht für Behörden oder öffentliche Stellen (Art. 27 Abs. 2 lit. b). Diese Ausnahmeregelung muss immer individuell geprüft werden, da Art. 27 Abs. 2 lit a fordert, "unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung" das "Risiko für die Rechte und Freiheiten natürlicher Personen" einzuschätzen. Hinweis: Nur wenn diese Risikoabwägung ergibt, dass keine besonderen Risiken mit der Verarbeitung verbunden sind, kommen die angegebenen Ausnahmetatbestände zur Wirkung(2) . |
|
Art. 27 Abs. 3 | Der in Art. 27 Abs. 1 geforderte Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren Daten verarbeitet werden, leben. Hinweis: Die Formulierung "in einem der Mitgliedsstaaten" lässt darauf schließen, dass die Benennung nur eines Vertreters ausreichend ist(3) . |
|
Art. 27 Abs. 4 | Der Vertreter muss durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt werden, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung als Anlaufstelle zu dienen. | |
Art. 27 Abs. 5 | Die Verantwortung und Haftung des Verantwortlichen oder des Auftragsverarbeiters ist unabhängig von der Bestellung eines Vertreters, d.h. ein Betroffener hat immer die Möglichkeit, rechtliche Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst einzuleiten. | |
Art. 28 Abs. 2 Art. 28 Abs. 3 S. 2 lit. d |
Der Auftragsverarbeiter darf ohne schriftliche Genehmigung des Verantwortlichen keinen Unterauftragsverarbeiter beauftragen. Hinweis: die DS-GVO fordert explizit die Schriftform (Unterschrift). Die Möglichkeit der elektronisch erteilten Genehmigung sieht Art. 28 Abs.2 DS-GVO nicht explizit vor(4) . |
|
Art. 28 Abs. 3 lit. a | Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten. Dies beinhaltet auch die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Hinweis: D. h. auch im Rahmen der Wartung/Fernwartung eines IT-Systems darf diese Wartung/Fernwartung nur auf dokumentierte Weisung des Verantwortlichen erfolgen; der Auftragsverarbeiter hat hier keinen Ermessungsspielraum. |
|
Art. 28 Abs. 4 | Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter, so muss er diesem dieselben Datenschutzpflichten auferlegen, die der Auftragsverarbeiter mit dem Verantwortlichen vereinbarte. Außerdem haftet der Auftragsverarbeiter für Pflichtverletzungen des Unterauftragsverarbeiters. Hinweis: Ähnlich lautende Formulierungen waren bisher in vielen Musterverträgen nach § 11 BDSG enthalten, gesetzlich aber nicht verpflichtend gefordert. |
|
Art. 28 Abs. 5 | Die Einhaltung genehmigter Verhaltensregeln (Art. 40) oder eines genehmigten Zertifizierungsverfahrens (Art. 42) durch einen Auftragsverarbeiter kann ggfs. als Bestandteil des Nachweises geeigneter technischer und organisatorischer Maßnahmen für hinreichende Garantien im Sinne der Art. 28 Abs. 1 und 4 angesehen werden. | |
Art. 28 Abs. 6 | Ein individueller Vertrag zwischen Verantwortlichem und Auftragsverarbeiter kann ganz oder teilweise auf den in Art. 28 Abs. 7, 8 genannten Standardvertragsklauseln beruhen. | |
Art. 28 Abs. 7 | Die Kommission kann Standardvertragsklauseln zur Regelung der in Art. 28 Abs. 3, 4 genannten Anforderungen festlegen. | |
Art. 28 Abs. 8 | Eine Aufsichtsbehörde kann Standardvertragsklauseln zur Regelung der in Art. 28 Abs. 3, 4 genannten Anforderungen festlegen. | |
Art. 28 Abs. 10 | Der Auftragsverarbeiter gilt selbst als Verantwortlicher, wenn er entgegen den Vorgaben von Art. 28 DS-GVO die Zwecke und Mittel der Verarbeitung selber bestimmt. | |
Art. 29 | Der Auftragsverarbeiter darf personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten, außer dass er nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet ist. Ist dies der Fall, so muss der Auftragsverarbeiter vor Beginn der Verarbeitung den Verantwortlichen über diese rechtlichen Anforderungen zur Verarbeitung seiner Daten informieren (Art. 28 Abs. 3 lit. a), sofern dieses Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. | |
Art. 30 Abs. 2 | Der Auftragsverarbeiter führt ein schriftliches (beinhaltet auch die Möglichkeit der Nutzung eines elektronischen Formates) Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung. | |
Art. 31 | Der Verantwortliche und der Auftragsverarbeiter sowie deren etwaige Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Hinweis: Da hier eine vom Verantwortlichen unabhängige Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde existiert, sollte vertraglich eine Informationspflicht gegenüber dem Verantwortlichen vereinbart werden. |
|
Art. 44 | Hier wird der Anwendungsbereich von Kap. V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) dargestellt. Hinweis: Alle Übermittlungen von Daten, die in einem Drittland (oder einer internationalen Organisation) verarbeitet werden bzw. dort verarbeitet werden sollen, bedürfen einer besonderen Rechtfertigung. Natürlich müssen auch die anderen Anforderungen der DS-GVO eingehalten werden. ErwGr. 101 führt hierzu aus, dass insbesondere das Schutzniveau bei der Übermittlung personenbezogener Daten in ein Drittland erhalten bleibt. |
|
Art. 82 Abs. 1 | Jede Person (ggfs. muss die Person nicht selbst ein Betroffener sein), der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Hinweis: Innerhalb der DS-GVO existiert keine Beschränkung eines Ersatzanspruches für immaterielle Schäden, wie das bisherige deutsche Recht (§ 8 Abs. 3 BDSG) es vorsieht. Gleichfalls fehlt eine Begrenzung auf "schwere Persönlichkeitsverletzungen" (§ 8 Abs. 2 BDSG). Insoweit wurde der Haftungsanspruch eines Geschädigten gegenüber Verantwortlichen und Auftragsverarbeitern erweitert. |
|
Art. 82 Abs. 2 | Generell haftet jeder Verantwortliche für einen Schaden, der durch eine Verarbeitung verursacht wurde, die nicht den Anforderungen der DS-GVO genügt. Der Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er − seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder − unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen gehandelt hat oder − gegen diese Anweisungen gehandelt hat. |
|
Art. 82 Abs. 3 | Kann der Verantwortliche bzw. der Auftragsverarbeiter nachweisen, dass er für den Umstand, durch den der Schaden eintrat, in keinerlei Hinsicht verantwortlich ist, so wird er von der Haftung befreit. Hinweis: Rechtswidriger Zugriff auf Daten durch Dritte ("Hackerangriff") beinhaltet hierbei, dass der Verantwortliche bzw. der Auftragsverarbeiter nachweisen kann, dass entsprechende Schutzmaßnahmen gemäß Art. 32 (insbesondere dem Stand der Technik genügende Maßnahmen) etabliert warenArt. 82 Abs. 4 |
Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt, so haftet jeder von ihnen für den gesamtem Schaden (Verantwortlichkeit für den Schaden vorausgesetzt). Hinweis: Hier liegt eine gesamtschuldnerische Haftung (vgl. § 421 BGB) gegenüber dem Betroffenen vor, so dass der Betroffene seinen Schadenersatzanspruch jeder Partei gegenüber geltend machen kann. |
Art. 82 Abs. 5 | Hat ein Verarbeiter entsprechend Art. 82 Abs. 4 vollständigen Schadenersatz für einen erlittenen Schaden geleistet, so regelt Art. 82 Abs. 5 den Ausgleich im Innenverhältnis zwischen den verarbeitenden Parteien, so dass jede am Schaden beteiligte Partei sich auf Anforderung entsprechend ihrem Anteil am Schaden auch am Schadenersatz beteiligen muss. |
(2) Plath KU (2016) Art. 27 DS-GVO, Rn. 4 in Plath (Hrsg.) BDSG/DSGVO Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG. Otto Schmidt Verlag. ISBN 978-3-504-56074-4
(3) Plath KU (2016) Art. 27 DS-GVO, Rn. 5 in Plath (Hrsg.) BDSG/DSGVO Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG. Otto Schmidt Verlag. ISBN 978-3-504-56074-4
(4) ErwGr. 32 gibt Hinweise, was der europäische Gesetzgeber unter einer "elektronischen Form" in Bezug auf die Einwilligung versteht, und kann analog zur Interpretation zu den Anforderungen bei der Vertragsgestaltung hinzugezogen werden. Der europäische Verordnungsgeber verwendet die Formulierung "elektronisches Format" innerhalb der Erwägungsgründe der DS-GVO i.d.R. im Zusammenhang mit Internetseiten (bspw. ErwGr. 58: "Diese Information k??nnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website"). ErwGr. 32 beschreibt als Beispiel für das elektronische Format "Dies könnte etwa durch Anklicken eines Kästchens [...]". Gemäß ErwGr. 32, 58 genügt in der DS-GVO eine entsprechende Dokumentation hinsichtlich des elektronischen Formats. Damit entspricht die angesprochene europäische Anforderung nicht der deutschen Schriftform gemäß §§ 126, 126a BGB.
(5) Becker T (2016) Art. 82 DS-GVO, Rn. 5 in Plath (Hrsg.) BDSG/DSGVO Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG. Otto Schmidt Verlag. ISBN 978-3-504-56074-4
DS-GVO | Inhalt der Regelung |
---|---|
Art. 4 Ziff. 7 | Die Definition des Verantwortlichen hat sich geändert: natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. |
Art. 26 Abs. 3 | Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so agieren sie als "gemeinsam für die Verarbeitung Verantwortliche". Ein Betroffener kann seine aus der DS-GVO resultierenden Rechte gegenüber jedem Einzelnen der Verantwortlichen geltend machen. Hinweis: Auch gemeinsam für die Verarbeitung Verantwortliche können einen oder mehrere Auftragsverarbeiter einsetzen. |
Art. 28 Abs. 1 S. 1, 1. HS | Der Begriff der "Verarbeitung" aus der DS-GVO beschränkt im Gegensatz zum BDSG eine Auftragsverarbeitung nicht auf eine rein technische Unterstützung. |
Art. 28 Abs. 1 S. 1, 2. HS | Die Regelung ähnelt den Vorgaben des § 11 BDSG, jedoch ist neben dem Verantwortlichen der Auftragsverarbeiter gleichrangiger Normadressat. Hinweis: Die Verpflichtung zur Einhaltung der Regelungen der DS-GVO ist nun Aufgabe von beiden: Auftragsverarbeiter sowie Verantwortlicher. Beiden kann bei Nicht-Einhaltung der Regelungen ein Bußgeld drohen. Gegen beide kann ein Betroffener ggf. haftungsrechtliche Ansprüche geltend machen. |
Art. 37 Abs. 1, Art. 37 Abs. 4 |
Der Verantwortliche oder Auftragsverarbeiter muss einen Datenschutzbeauftragten bestellen, wenn dies durch die DS-GVO oder nach einem anderen Recht der Union oder der Mitgliedstaaten vorgeschrieben ist. |
Art. 83 Abs. 3 | Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß. |
DS-GVO | Inhalt der Regelung |
---|---|
Art. 38 Abs. 1 | Der Verantwortliche oder der Auftragsverarbeiter muss gewährleisten, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden ist. |
Art. 38 Abs. 2 | Der Verantwortliche oder der Auftragsverarbeiter stellt dem Datenschutzbeauftragten alle für die Erfüllung seiner Aufgaben erforderlichen Ressourcen sowie den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen als auch die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung. |
Art. 60 Abs. 10 | Nach der Unterrichtung durch eine federführende Aufsichtsbehörde müssen der Verantwortliche und der Auftragsverarbeiter die erforderlichen Maßnahmen ergreifen, um der Entscheidung der Aufsichtsbehörde zu genügen. Diese getroffenen Maßnahmen müssen der Verantwortliche und der Auftragsverarbeiter der federführenden Aufsichtsbehörde mitteilen. |
BDSG | Inhalt der Regelung |
---|---|
§ 11 Abs. 2 S. 3 | "Er [Der Auftrag] kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden" Hinweis: Die DS-GVO unterscheidet nicht zwischen öffentlichen und nicht-öffentlichen Stellen. Dementsprechend enthält die DS-GVO auch keine Regelung, wer in einer öffentlichen Stelle eine Auftragsverarbeitung genehmigen darf. |
§ 11 Abs. 2 S. 4, 5 | "Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren." Die DS-GVO fordert eine entsprechend sorgfältige Auswahl des Auftragsverarbeiters. Sie beinhaltet aber keine explizite Notwendigkeit des "Überzeugenmüssens" von den ordnungsgemäßen technischen und organisatorischen Maßnahmen vor und während der Verarbeitung. Indirekt kann jedoch aus den Regelungen der DS-GVO eine entsprechende Prüfverpflichtung aus Art. 32 Abs. 1 lit. d abgeleitet werden. |
§ 11 Abs. 4 | "Für den Auftragnehmer gelten neben den §§ [...]" Die DS-GVO enthält explizite Regelungen für den Auftragsverarbeiter, daneben implizit geltende Regelungen, die für jeden Verarbeiter von Daten gelten. Die in § 11 Abs. 4 BDSG enthaltenen Regelungen bzgl. Datengeheimnis, TOMs, Bußgeldern und Benennung eines Datenschutzbeauftragten finden sich in der DS-GVO verteilt auf verschiedene Artikel, ohne jedoch für öffentliche und nicht-öffentliche Stellen unterschiedliche Regelungen aufzuführen; für beide soll grundsätzlich gleiches Recht gelten. |
§ 11 Abs. 5 | "Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann." Entfällt |
Vereinzelt wird argumentiert, dass diese Privilegierung mit Wirksamwerden der DS-GVO entfällt(6). Diese Auffassung überzeugt nicht und entspricht auch nicht der herrschenden Meinung(7). Die Komplexität dieser Fragestellung zeigt Hofmann auf, der in seiner Darstellung des Gegenstands zunächst die Argumente für ein Ende der Privilegierung darstellt(8), letztlich aber herleitet, warum für eine Auftragsverarbeitung keine eigene Ermächtigung erforderlich ist(9).
Die Begriffsbestimmungen hinsichtlich der Begrifflichkeiten "Verantwortlicher", "Auftragsverarbeiter", "Empfänger" und "Dritter" sind in der Richtlinie 95/46/EG und der DS-GVO nahezu identisch, daher ist es nach Meinung der Autoren nachvollziehbar, dass der Wechsel vom BDSG, welches ja die Richtlinie 95/46/EG umsetzte, zur DS-GVO keine Änderung bzgl. der Interpretation dieser Begrifflichkeiten und der damit verbundenen Privilegierung einer Auftragsverarbeitung beinhaltet. Entsprechend gelten die zur Richtlinie 95/46/EG getroffenen Aussagen der Artikel-29-Datenschutzgruppe auch unter der DS-GVO(10) : Zivilrechtlich ist ein Auftragsverarbeiter kein Dritter und ist - da er nicht zur Partei der Betroffenen zählen kann - somit dem Verantwortlichen zuzurechnen, der ihn auch beauftragt hat. Eine Verarbeitung von Daten eines Betroffenen durch einen Auftragsverarbeiter ist somit - zwar nicht arbeitsrechtlich, wohl aber datenschutzrechtlich - dergestalt zu werten, wie wenn die Verarbeitung statt durch den Auftragsverarbeiter durch einen Mitarbeiter des Verantwortlichen durchgeführt wird. Somit benötigt auch unter den Regelungen der DS-GVO eine Auftragsverarbeitung keinen eigenen Erlaubnistatbestand.
(6) Laue P, Nink J, Kremer S. (2016) Das neue Datenschutzrecht in der betrieblichen Praxis. ?? 5 Rn. 4. Nomos Verlagsgesellschaft. 1. Auflage. ISBN 978-3-8487-2377-5
(7)Schmitz B, Dall???Armi J. (2013) Auftragsdatenverarbeitung in der DS-GVO ??? das Ende der Privilegierung? ZD: 427-432
Plath KU (2016) Art. 28 DS-GVO, Rn. 3 in Plath (Hrsg.) BDSG/DSGVO Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG. Otto Schmidt Verlag. ISBN 978-3-504-56074-4
Albrecht JP, Jotzo F. (2016) Das neue Datenschutzrecht der EU. Teil 5 "Verantwortlichkeiten und Pflichten", Rn. 22. Nomos Verlag. ISBN 978-3-8487-2804-6
Martini M. (2016) Art. 28 DS-GVO, Rn. 18 in Paal/Paul (Hrsg.) Datenschutz-Grundverordnung. C.H.Beck Verlag. ISBN 978-3-406-69570-4
Bayerisches Landesamt für Datenschutzaufsicht (2016) Auftragsverarbeitung nach der DS-GVO. Online, zitiert am 2016-11-04
(8) Hofmann J. (2016) §3 Allgemeine Regeln der Datenschutz-Grundverordnung, Rn. 251 in Roßnagel (Hrsg.) Europäische Datenschutz-Grundverordnung. Nomos Verlagsgesellschaft. ISBN 978-3-8487-3074-2
(9) Hofmann J. (2016) §3 Allgemeine Regeln der Datenschutz-Grundverordnung, Rn. 258 in Roßnagel (Hrsg.) Europäische Datenschutz-Grundverordnung. Nomos Verlagsgesellschaft. ISBN 978-3-8487-3074-2
(10)Artikel-29-Datenschutzgruppe. (2010) Stellungnahme 1/2010 zu den Begriffen "für die Verarbeitung Verantwortlicher" und "Auftragsverarbeiter" S. 37f. Online, zitiert am 2016-10-15
Dies gilt nicht nur für die Wartung von Software, sondern auch von Geräten, die personenbezogene Daten speichern. Grundsätzlich muss der Verantwortliche vor der Weitergabe von Geräten, wie medizintechnischen Geräten oder Computern, die darauf gespeicherten Daten löschen. Ggfs. ist aber gerade dies durch einen Defekt des Gerätes nicht möglich, sodass zur Reparatur dieses Gerätes dieses inklusive der darin gespeicherten personenbezogenen Daten an das Wartungsunternehmen übergeben werden muss.
(11) siehe z. B. B??ermann U. (1994) Datenschutzrechtliche Einordnung von Wartung und Fernwartung. RDV 202ff oder M??ller, Wehrmann R. (1993) Fernwartung und Datenschutz. NJW-CoR 20ff
Aus den expliziten Regelungen für die "Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen" (Kapitel V) ergibt sich, dass die DS-GVO prinzipiell auch eine Übermittlung von Daten in ein Drittland vorsieht. Art. 27 DS-GVO richtet sich dementsprechend explizit an "Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern". Ein Auftragsverarbeiter kann somit entsprechend den Regelungen der Auftragsverarbeitung sowohl innerhalb der EU als auch in einem Drittland eingesetzt werden. Dies entspricht auch der Intention von Art. 3 Abs. 1 und 2 DS-GVO.
Grundsätzlich kann ein Auftragsverarbeiter in Drittländern nur unter den gleichen Voraussetzungen eingesetzt werden, wie Auftragsverarbeiter innerhalb der EU. Zu beachten sind hierbei insbesondere die zusätzlichen Anforderungen, die einerseits für Auftragsverarbeiter außerhalb der EU gelten (z.B. Art. 28 DS-GVO) als auch die Anforderungen hinsichtlich der Sicherstellung des Datenschutzniveaus beim Empfänger gemäß Kapitel V DS-GVO.