Die Auftragsverarbeitung wird zukünftig über Art. 28 DS-GVO geregelt. Während die Norm teilweise bekannte Vorgaben an die Dienstleisterauswahl und die vertragliche Gestaltung stellt, enthält die DS-GVO an verschiedenen Stellen eigene Rechtspflichten für Auftragsverarbeiter. Der GDD e.V. hat daher Praxishinweise mit Hilfestellungen für Auftragsverarbeiter herausgegeben, die aufzeigen wie die gesetzlichen Vorgaben umgesetzt werden können.

WAS IST EIN AUFTRAGSVERARBEITER?

Ein „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Abs. 8 DS-GVO). Gem. Art. 4 Abs. 10 DS-GVO ist die Auftragsverarbeitung weiterhin dergestalt privilegiert, dass der Auftragsverarbeiter kein Dritter ist. Eine Beschränkung der Privilegierung auf den EWR-Raum erfolgt nicht. Auftragsverarbeiter im Drittland sind damit ebenfalls keine „Dritten“ für den Verantwortlichen.

BIN ICH AUFTRAGSVERARBEITER?

Auftragsverarbeiter verarbeiten personenbezogene Daten im Auftrag des Verantwortlichen und auf Basis seiner Weisungen. Da die Leistungen eines Dienstleisters sehr vielschichtig sind, muss im Rahmen einer Einzelfallprüfung untersucht werden, ob eine Verarbeitung personenbezogener Daten im Auftrag vorliegt. Es bestehen jedoch Kriterien, die bei der Prüfung zur Einordnung als Verantwortlicher oder Auftragsverarbeiter Unterstützung leisten können. So kann eine Stelle, die über die Zwecke der Verarbeitung personenbezogener Daten entscheidet, kein Auftragsverarbeiter sein. Bei der Beurteilung dieses Kriteriums ist zu untersuchen,

• welchen Umfang der Handlungsspielraum des Dienstleisters bei der Auftragsvearbeitung hat,
• wie der Dienstleister durch den Auftraggeber überwacht wird
• die Expertise des Dienstleistes bei der Auf-tragsvearbeitung
• die Transparenz des Dienstleisters gegenüber dem Betroffenen.

Gleiches gilt für eine Stelle, die über die wesentlichen Mittel einer Verarbeitung entscheidet. Eine Entscheidung über „wesentliche Mittel“ einer Datenverarbeitung liegt in der Regel bei einem der folgenden Punkte vor:

• Welche Daten verarbeitet werden
• Wie lange sie verarbeitet werden
• Wer Zugang zu ihnen hat

Die alleinige Entscheidung des Auftragsverarbeiters über technisch-organisatorische Mittel ist kein Ausschlussgrund für eine Auftragsverarbeitung.
Wird der Dienstleister mit der IT-Wartung oder Fernwartung betraut und besteht hierbei die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten des Auftraggebers, soll es sich nach Meinung der hiesigen Aufsichtsbehörden um eine Form der Auftragsverarbeitung handeln und die Anforderungen des Art. 28 DS-GVO sollen für die geschuldete Tätigkeit gelten. Bei einer rein technischen Wartung ohne Zugriff auf personenbezogene Daten des Auftraggebers gelten die Vorgaben des Art. 28 DS-GVO entsprechend nicht. Ein möglicher Ablauf zur Einordnung des Dienstleisters als Verantwortlicher der Auftragsverarbeiter ist dem nachfolgenden Schaubild zu entnehmen:

BEISPIELE

Beispiele für Auftragsverarbeitungen sind:

• Cloud-Computing
• Newsletterversand
• Datenerfassung, Datenkonvertierung
• Auslagerung der Lohn- und Gehaltsabrechnung
• Backup-Auslagerung und Archivierung

Keine Auftragsverarbeitung stellen in der Regel dar:

• Tätigkeiten und damit verbundene Verarbeitungen personenbezogener Daten von Berufsgeheimnisträgern (Rechtsanwälte, Steuerberater, Wirtschaftsprüfer)
• Die Übertragung des Forderungsmanagements an ein Inkassounternehmen
• Postdienstleistungen in Form des Brieftransports

VERTRAG ZUR AUFTRAGSVERARBEITUNG

Gemäß Art. 28 Abs. 9 DS-GVO kann ein Vertrag zur weisungsgebundenen Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter schriftlich oder in einem elektronischen Format abgefasst werden. Dieser Vertrag muss den Anforderungen des Art. 28 DS-GVO entsprechen. Anregungen zur Vertragsgestaltung finden sich in der GDD-Praxishilfe DS-GVO IV „Mustervertrag zur Auftragsverarbeitung“. Für Verträge im Kontext des Gesundheitswesens Hat die GDD ebenfalls ein Muster entworfen.
Die komplette Praxishilfe, die auch noch ausführlich auf die Verantwortlichkeiten und Pflichten für Auftragsverarbeiter eingeht steht Ihnen auf Seiten der GDD kostenlos zur Verfügung.