23. Feb 2016

Datenschutz: Auswirkungen der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) auf Unternehmen in Deutschland

Die am 15.12.2015 verabschiedete Fassung der EU-DSGVO hat weitreichende Auswirkungen für Unternehmen. Ziel der neuen Verordnung ist es, den Datenschutz in Europa weitestgehend zu vereinheitlichen.

Der Datenschutz hat neue Sphären erreicht. Mit der Datenschutzgrundverordnung wird die Auftragsdatenverarbeitung in Europa erstmals detailliert geregelt werden. Inhaltlich orientieren sich die Bestimmungen der Datenschutzgrundverordnung zur Auftragsdatenverarbeitung an der hierzulande bekannten Regelung des § 11 BDSG. Einige Punkte der EU-Regelung weichen jedoch vom bisher geltenden Recht ab.

Der Datenschutz wird in mehreren Punkten gestärkt: Zunächst übernimmt die Datenschutzgrundverordnung die im deutschen Recht angelegte Privilegierung der Auftragsdatenverarbeitung (vgl. hierzu § 3 Abs. 4 Nr. 3, Abs. 8 Satz 3 BDSG) nicht. Dies liegt im Wesentlichen daran, dass die Datenschutzgrundverordnung von einem umfassenden Verarbeitungsbegriff ausgeht. Die im Bundesdatenschutzgesetz angelegte Differenzierung zwischen den einzelnen Verarbeitungsschritten Erheben, Verarbeiten und Nutzen von personenbezogenen Daten kennt die Datenschutzgrundverordnung gerade nicht. Daher ist ohne Bedeutung, ob der Datenaustausch mit dem Auftragsverarbeiter eine bloße „Weitergabe“ oder „Übermittlung“ im Sinne von § 3 Abs. 4 Nr. 3 BDSG darstellt. Im Sinne der Datenschutzgrundverordnung handelt es sich stets um eine „Verarbeitung“ der Daten.

Ein weiterer Schirtt in Richtung Datenschutz: Der räumliche Anwendungsbereich der Auftragsdatenverarbeitung ist – im Unterschied zum Bundesdatenschutzgesetz, § 3 Abs. 8 Satz 2 BDSG – nicht mehr auf das Gebiet der Europäischen Union bzw. des Europäischen Wirtschaftsraums begrenzt. Er richtet sich nunmehr nach Art. 3 DSGVO. Danach ist die Datenschutzgrundverordnung auf alle Verarbeitungen anzuwenden, an denen ein für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter mit Sitz in der EU beteiligt ist. Und dies unabhängig davon, ob die Verarbeitung in der EU stattfindet.

Vergleichbar mit § 11 Abs. 1 Satz 1 BDSG wird auch nach den Regelungen der Datenschutzgrundverordnung der für die Verarbeitung Verantwortliche für die Einhaltung der wesentlichen datenschutzrechtlichen Vorschriften verantwortlich sein. Gemäß § 11 Abs. 2 Satz 1 BDSG, ist der für die Verarbeitung Verantwortliche auch nach Art. 26 Abs. 1 DSGVO verpflichtet, den Auftragsverarbeiter sorgfältig auszuwählen. Besonderes Augenmerk ist dabei auf die von dem Auftragsverarbeiter getroffenen technischen und organisatorischen Schutzmaßnahmen und die Gewährleistung der Rechte der betroffenen Personen zu legen.

Die Datenschutzgrundverordnung legt Auftragsverarbeitern weitergehende Pflichten auf, die im Folgenden kurz dargestellt werden:

  • Dokumentationspflicht: Anders als heute muss gemäß Art. 28 Abs. 2a DSGVO zukünftig auch der Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten (ähnlich dem heutigen Verfahrensverzeichnis) führen, welche er für den für die Verarbeitung Verantwortlichen durchführt.
  • Meldepflicht bei Datenpannen: Erhält der Auftragsverarbeiter Kenntnis von einer Datenpanne, hat er den für die Verarbeitung Verantwortlichen unverzüglich hierüber zu informieren.
  • Bestellung eines Datenschutzbeauftragten: Der Auftragsverarbeiter ist verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn die Bestellvoraussetzungen des Art. 35 DSGVO gegeben sind oder das nationale Datenschutzrecht dies verlangt.

Datenschutz durch Schadensersatz: Verschärfung der Haftungsregelungen bei Verstößen gegen Datenschutzregelungen

Die Haftung des Auftragsverarbeiters gegenüber den betroffenen Personen und den Aufsichtsbehörden ist in der Datenschutzgrundverordnung verschärft worden. Die Regelungen des Bundesdatenschutzgesetzes sehen bislang vor, dass das Recht auf Schadensersatz dem für die Verarbeitung Verantwortlichen gegenüber geltend zu machen ist (§ 11 Abs. 1 Satz 2 BDSG). Gegenüber den betroffenen Personen ist der Auftragsverarbeiter also grundsätzlich nicht haftbar.


Nach Art. 77 Abs. 1 DSGVO haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter zukünftig gemeinsam für Datenschutzverstöße gegenüber den betroffenen Personen, wenn diese durch den Datenschutzverstoß einen Schaden erlitten haben. Eine Haftung scheidet allerdings aus, wenn entweder der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter nachweisen können, für den eingetretenen Schaden nicht verantwortlich zu sein. Die neuen Regelungen aus der EU-Grundverordnung helfen insbesondere den betroffenen Personen, ihre Ansprüche leichter durchzusetzen.


Inhaltlich orientieren sich die Regelungen der Datenschutzgrundverordnung zur Auftragsdatenverarbeitung weitgehend an den bekannten Bestimmungen aus § 11 BDSG. Für Auftragsverarbeiter bringt die Datenschutzgrundverordnung jedoch einige Neuerungen mit sich. Das betrifft insbesondere die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (sog. Verfahrensverzeichnis) sowie die veränderten Haftungsregelungen. Auftragsverarbeiter sind daher gut beraten, ihre eigenen Datenschutzverpflichtungen einer internen Überprüfung zu unterziehen und sich frühzeitig auf die neuen Regelungen einzustellen.


Suchen Sie kompetente anwaltliche Hilfe in Fragen des Datenschutzes? Zögern Sie nicht, uns zu kontaktieren. Gerne erörtern wir mit Ihnen rechtliche Lösungsmöglichkeiten zu Ihrem konkreten Fall.

Kontaktformular oder E-Mail

 

Telefonischer Kontakt:

0711 / 9580 1250 

Als Ansprechpartner für Fragen rund um den Datenschutz stehen Ihnen folgende Rechtsanwälte zur Verfügung:

     

    Mehr zum Thema Datenschutz lesen Sie hier