Die Einschaltung von Dienstleistern für die Verarbeitung von personenbezogenen Da-ten oder das Outsourcing von Geschäftsprozessen ist inzwischen faktische Notwendig-keit für Unternehmen in praktisch jeder Branche und jeder Größenordnung. Die DSGVO bringt hierfür neue Regeln, Pflichten und Risiken, die Unternehmen im Blick haben sollten.
1. Auftragsverarbeitung
Die Auftragsverarbeitung, also die Einschaltung von Dienstleistern zur Verarbeitung personenbezogener Daten ist in Art. 28 DSGVO und Art. 29 DSGVO geregelt. Die DSGVO knüpft damit an dem Konzept der Einschaltung von Dienstleistern gemäß Art. 17 Abs. 2 und 3 Datenschutzrichtlinie [PDF] sowie dessen Umsetzung in § 11 BDSG an.
Zentrale Anforderung für die datenschutzkonforme Einschaltung von Dienstleistern ist, dass Verantwortliche diese im Hinblick auf getroffene technisch-organisatorische Maßnahmen sorgfältig auswählen und kontrollieren. Soweit Verantwortliche bereits jetzt einen gelebten Prozess zur sorgfältigen Auswahl und fortlaufende Kontrolle ihrer Dienstleister haben, bleibt für sie fast alles beim Alten. Bei vielen Verantwortlichen ist dies jedoch nicht der Fall. Häufig ist die Dienstleisterauswahl allenfalls eine formale Papierkontrolle. Die Anpassung oder Einführung eines entsprechenden Prozesses ist dann dringend geboten.
Weitere zentrale Anforderung einer datenschutzkonformen Beauftragung ist der Abschluss eines Vertrages über die Auftragsverarbeitung. Gemäß Art. 28 Abs. 3 DSGVO erfolgt die Auftragsverarbeitung nämlich auch in Zukunft „auf der Grundlage eines Vertrages“. Alternativ kommt künftig zudem die Einschaltung von Dienstleistern auf der Grundlage „eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten“ mit gleicher rechtsverbindlicher Wirkung für den Auftragsverarbeiter in Betracht.
Vergleichbar den aktuellen Anforderungen in § 11 Abs. 2 BDSG sieht auch Art. 28 Abs. 2 DSGVO vertragliche Mindestinhalte für die Gestaltung des Vertrags über die Auftragsverarbeitung vor, insbesondere:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Pflichte und Rechte des Verantwortlichen
Anders als aktuell ist es nach Art. 28 Abs. 9 DSGVO künftig möglich, den Vertrag über die Auftragsverarbeitung alternativ zur Schriftform (§ 126 BGB) in elektronischer Form (§ 126a BGB) abzuschließen.
Rechte und Pflichten von Dienstleistern ergeben sich mit der DSGVO verstärkt direkt aus dem Gesetz und nicht mehr nur aus der vertraglichen Regelung über die Auftragsverarbeitung. Nach der Konzeption von Art. 17 Abs. 2 und 3 Datenschutzrichtlinie [PDF] und § 11 BDSG ist aktuell noch der Vertrag über die Auftragsverarbeitung weitergehen allein entscheidend für die Bestimmung von Rechten und Pflichten bei der Auftragsverarbeitung.
Der deutsche Gesetzgeber hat die Anforderungen an die vertragliche Gestaltung im Detail in § 11 Abs. 2 BDSG vorgegeben, um Dienstleister strengen Vorgaben und der Kontroll- und Weisungsbefugnis des Verantwortlichen zu unterwerfen. Häufige Konsequenz davon ist, dass Dienstleister in ihren Vertragswerken keine Regelungen zur Auftragsverarbeitung vorsehen, um Weisungs- und Kontrollrechte des Verantwortlichen zu vermeiden. Solche Umgehungsstrategien werden mit der DSGVO erschwert.
Ein häufiger Streitpunkt in der Verhandlung von Verträgen über die Auftragsverarbeitung ist das Recht zur Einschaltung von Sub-Dienstleistern. Dies gilt insbesondere für die Nutzung von „Massendiensten“ im Bereich Hosting oder „Software as a Service“ (SaaS). Dieser Streitpunkt könnte sich mit der DSGVO erledigen. Gemäß Art. 28 Abs. 2 DSGVO sind Dienstleister nämlich künftig verpflichtet, vor der Beauftragung von Sub-Dienstleistern eine gesonderte Einwilligung des Verantwortlichen einzuholen. Alternativ können sie vorab eine allgemeine schriftliche Gestattung vereinbaren; dann müssen sie den Verantwortlichen aber bei jeder Einschaltung eines Sub-Dienstleisters informieren und dieser hat dann ein Widerspruchsrecht. Für Betreiber von Massendiensten wie Office 365, Amazon Web Services und Co., deren Sub-Dienstleister Legion sind, dürfte das eine echte Herausforderung werden.
Daneben gibt es noch eine Reihe weiterer Pflichten, die sich künftig direkt aus dem Gesetz und nicht mehr ausschließlich aus dem Vertrag über die Auftragsverarbeitung ergeben, wie die Pflicht des Dienstleisters zur Mitteilung von Datenschutzverstößen in Art. 28 Abs. 3 S. 4 DSGVO oder die Pflicht zur Befolgung von Weisungen des Auftraggebers in Art. 29 DSGVO.
2. Verarbeitung besonderer Kategorien personenbezogener Daten
Für die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO ergeben sich hohe Rechtfertigungsanforderungen. Besondere Kategorien personenbezogener Daten sind Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetischen Daten und biometrischen Daten zur eindeutigen Identifizierung. Solche besonderen Kategorien personenbezogener Daten können in vielen IT-Systemen enthalten sein; insbesondere auch in IT-Systemen zur Verwaltung von Personaldaten.
In der juristischen Literatur wird teilweise vertreten, die Einschaltung von Dienstleistern zur Verarbeitung von besonderer Kategorien personenbezogener Daten sei künftig an den hohen Anforderungen gemäß Art. 9 Abs. 2 DSGVO zu messen.
Ich teile diese Ansicht nicht. Vielmehr halte ich auch die Einschaltung von Dienstleistern zur Verarbeitung von besonderer Kategorien personenbezogener Daten für zulässig, wenn die Voraussetzungen gemäß Art. 28 DSGVO erfüllt sind; der Dienstleister also insbesondere an-gemessene technisch-organisatorische Maßnahmen getroffen hat und (vertraglichen) Verpflichtungen gemäß Art. 28 Abs. 3 DSGVO unterworfen ist.
Für betroffene Unternehmen wird aber letztlich entscheidend sein, welche Auffassung die Aufsichtsbehörden und mit dieser Frage befasste Gerichte vertreten werden. Bis zu einer Klärung dieser Rechtsfrage gilt daher höchste Vorsicht bei der Beauftragung von Dienstleistern zur Verarbeitung besonderer Kategorien personenbezogener Daten.
3. Gemeinsame Verantwortung und Haftung bei der Auftragsverarbeitung
Art. 82 DSGVO entwickelt das Datenschutz-Schadensrecht radikal weiter und Verschärft die Haftung für Verantwortliche und Auftragsverarbeiter drastisch. Diese haften künftig gesamtschuldnerisch für materielle und immaterielle Schäden aus Datenschutzverstößen. Darüber habe ich schon im 2. Teil der Serie zur DSGVO berichtet.
4. Internationaler Datentransfer
Für die Beauftragung von Dienstleistern im Rahmen einer Auftragsverarbeitung und Übermittlungen zu Verantwortlichen in Drittstaaten außerhalb des europäischen Wirtschaftsraums (im Folgenden gemeinsam: Datentransfer) gelten hohe Anforderungen. Das europäische Datenschutzrecht enthält nämlich die Vermutung, dass personenbe-zogene Daten bei Empfängern außerhalb des EWR grundsätzlich nicht adäquat geschützt sind. Dieses Schutzdefizit muss der Verantwortliche zusätzlich zur Rechtfertigung der Übermittlung bzw. der ordnungsgemäßen Beauftragung eines Dienstleisters ausgleichen.
Datentransfers in Drittstaaten erfordern daher eine Rechtfertigung auf zwei Stufen. Auf der ersten Stufe müssen – wie für Datentransfers innerhalb des EWR – die datenschutzrechtlichen Anforderungen gemäß Art. 6 DSGVO, Art. 9 DSGVO oder im Fall der Auftragsverarbeitung gemäß Art. 28 DSGVO erfüllt sein. Auf der zweiten Rechtfertigungsstufe müssen dann die Voraussetzungen gemäß Art. 44 ff. DSGVO vorliegen, um das angenommene Datenschutzdefizit auszugleichen.
Auf der zweiten Rechtfertigungsstufe gibt es drei Rechtfertigungsansätze:
- Angemessenheitsbeschlusses gemäß Art. 45 Abs. 1 DSGVO
- individuell geprüfte Garantien gemäß Art. 46 Abs. 3 DSGVO
- allgemein geprüfte Garantien gemäß Art. 46 Abs. 2 DSGVO
4.1. Angemessenheitsbeschluss
Die Europäische Kommission kann in Verfahren gemäß Art. 45 Abs. 3 DSGVO prüfen und beschließen, dass ein Drittland ein angemessenes Datenschutzniveau hat. Datentransfers in diese Länder sind dann auf der zweiten Rechtfertigungsstufe legitimiert, ohne dass es einer gesonderten Prüfung bedarf.
Auf Basis der Art. 45 Abs. 1 DSGVO entsprechenden Regelung in Art. 25 Abs. 6 Datenschutzrichtlinie [PDF] hat die Europäische Kommission beschlossen, dass die folgen-den Staaten ein angemessenes Datenschutzniveau haben: Andorra, Argentinien, Färö-er-Inseln, Guernsey, Israel, Isle of Man, Jersey, Kanada (privatwirtschaftliche Stellen), Neuseeland, Schweiz, Uruguay, USA (unter dem EU-US Privacy Shield zertifizierte Stellen; dazu und zu den datenschutzrechtlichen Risiken mein Blogbeitrag).
4.2. Garantien für einen adäquaten Schutz beim Datenempfänger
Sofern kein Angemessenheitsbeschluss der Kommission vorliegt, muss der Verantwortliche sicherstellen, dass geeignete Datenschutz-Garantien beim Datenempfänger bestehen (Art. 46 Abs. 1 DSGVO). Wie bisher können diese Garantien vertraglich zwischen Verantwortlichem und Datenempfänger vereinbart und von der Aufsichtsbehörde geprüft werden (sogenannte ad hoc Klauseln – Art 46 Abs. 3 lit. a DSGVO). Die Rechtfertigung von Datentransfers auf der Basis von ad hoc Klauseln dürfte aber auch zukünftig die Ausnahme bleiben.
Größere Relevanz dürften stattdessen die folgenden allgemein geprüften Garantien gemäß Art. 46 Abs. 2 DSGVO haben:
- verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) gemäß Art. 47 DSGVO
- Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c und d DSGVO
- genehmigte Verhaltensregeln gemäß Art. 40 DSGVO
- Zertifizierung des Datenempfängers gemäß Art. 42 DSGVO
Binding Corporate Rules sind multilaterale vertragliche Regelungen für Datentransfers in einer internationalen Unternehmensgruppe, die von einer Aufsichtsbehörde genehmigt wurden. Die Einführung von Binding Corporate Rules erfordert einen relativ hohen initialen Aufwand für die Implementierung, bieten jedoch größere Flexibilität als etwa Standardvertragsklausel und sind damit ein gutes Instrument für größere Unternehmensgruppen mit einer Vielzahl an internationalen Datentransfers.
Standardvertragsklauseln sind bilaterale vertragliche Regelungen zwischen einem Verantwortlichen und einem Datenempfänger. Gemäß Art. 46 Abs. 2 lit. c und d DSGVO i.V.m. Art. 93 Abs. 3 DSGVO werden Standardvertragsklauseln nach der Verordnung (EU) Nr. 182/2011 [PDF] von der Kommission im Prüfverfahren erlassen bzw. genehmigt. Der Inhalt von Standardvertragsklauseln ist im Detail vorgegeben und darf nur an wenigen vorgegebenen Stellen angepasst werden – im Wesentlichen, um den konkreten Datentransfer zu beschreiben. Standardvertragsklauseln sind ein Instrument ohne großen Implementierungsaufwand, das allerdings nur bedingt an individuelle Besonderheiten angepasst werden kann. Sie empfehlen sich daher für die Rechtfertigung einzelner Datentransfers z.B. zu einem Dienstleister oder als schnelle Lösung als erster Schritt auf dem Weg zur Einführung von Binding Corporate Rules.
Mit genehmigten Verhaltensregeln können Verbände und Vereinigungen für ihre Mit-glieder verbindliche Reglungen zum Umgang mit personenbezogenen Daten schaffen. Soweit Verhaltensregeln die Anforderungen gemäß Art. 40 Abs. 2 DSGVO erfüllen und von der zuständigen Aufsichtsbehörde genehmigt werden, stellen sie angemessene Garantien für Datentransfers zu Datenempfängern dar, die ihnen unterworfen sind. Genehmigte Verhaltensregeln sind ein neues Instrument zur Rechtfertigung internationaler Datentransfers auf der Basis von Selbstregulierung. Dieser Ansatz bietet die Möglichkeit branchenspezifisch angepasster Lösungen zur Rechtfertigung internationaler Datentransfers und haben einen geringen Implementierungsaufwand. Ob sich dieser Ansatz durchsetzt, wird davon abhängen, ob Verbände und Vereinigungen entsprechende Verhaltensregeln schaffen.
Ein weiterer neuer Mechanismus zur Rechtfertigung internationaler Datentransfers ist die Zertifizierung des Datenempfängers gemäß Art. 42 DSGVO. Mit der Zertifizierung können Datenempfänger eine Vielzahl von Übermittlungen von Stellen innerhalb des EWR an sie rechtfertigen. Dieser Ansatz bietet sich daher insbesondere für Dienstleister mit einer Vielzahl von Kunden im EWR an. Jetzt liegt es allerdings zunächst an den Mitgliedsstaaten, Zertifizierungsstellen zu akkreditieren und damit den Aufbau einer Zertifizierungsinfrastruktur zu ermöglichen.
5. Fazit
Die DSGVO entwickelt das System der Datenschutzrichtlinie zur Rechtfertigung der Auf-tragsverarbeitung weiter, ohne es zu revolutionieren. Für die Einschaltung von Dienst-leistern sollten Verantwortliche prüfen und sicherstellen, dass insbesondere die vertrag-liche Dokumentation den Anforderungen gemäß Art. 28 Abs. 3 DSGVO entspricht. Zudem sollten sie im Blick behalten, welche Auffassung die Aufsichtsbehörden zum Erfordernis einer allgemeinen Rechtfertigung der Einschaltung von Dienstleistern nach Art. 6 DSGVO bzw. Art. 9 DSGVO vertreten und ggf. ihre Rechtfertigungsstrategie anpassen.
Für internationale Datentransfers bleiben die bekannten Rechtfertigungsmechanismen Standardvertragsklauseln und Binding Corporate Rules erhalten. Im Rahmen der allge-meinen internen Überprüfung der Datenschutz-Compliance sollte sichergestellt werden, dass diese Rechtfertigungsmechanismen durchgängig implementiert sind. Für die neu-en Rechtfertigungsmechanismen „genehmigten Verhaltensregeln“ und „Zertifizierung“ bleibt nur abzuwarten, dass entsprechende Regelwerke bzw. Zertifizierungsstellen ge-schaffen werden, bevor man diese in ein datenschutzrechtliches Rechtfertigungskon-zept einbeziehen kann.
Andere Beiträge in dieser Serie:
1. Teil der Serie: EU-Datenschutzgrundverordnung – Neue Serie
2. Teil der Serie: Bußgelder, Strafen und Schadensersatz für Datenschutzverstöße
3. Teil der Serie: Grundsätze, Einwilligung und Erlaubnistatbestände