(17.8.2016) Die Datenschutzregeln werden ab 2018 general-saniert. Welche Auswirkungen hat das für Sie und Ihre Arbeit? Heute in der zweiten Folge unserer kleinen Reihe geht es um das Thema:
Was ändert sich bei Auftragsdatenverarbeitungen?
Schon bisher waren Auftragsdatenverarbeitungen ein Schwerpunkt-Thema im Datenschutz – und daran wird sich auch nichts ändern.
Eine Auftragsdatenverarbeitung liegt in der Regel vor, wenn ein anderes Unternehmen damit beauftragt wird, personenbezogene Daten zu bearbeiten – beispielsweise, wenn Callcenter, Aktenvernichter oder andere Dienstleister eingeschaltet werden. Und es ändert sich unter der DSGVO nicht nur der Name (aus Auftragsdatenverarbeitungen werden nämlich Auftragsverarbeitungen). Unter der DSGVO müssen bestehende Verträge überprüft und ggf. angepasst werden, da teilweise andere Vorgaben zu berücksichtigen sein werden.
Der Vertrag mit dem Dienstleister muss, ähnlich wie bisher, schriftlich oder elektronisch geschlossen werden. Die inhaltlichen Vorgaben bleiben in weiten Teilen unverändert.
Neu ist jedoch insbesondere, dass
- der Auftragnehmer nicht nur vereinzelte technische und organisatorische Maßnahmen dokumentieren, sondern dass er sein gesamtes IT-Sicherheitskonzept nachweisen muss
- alle Weisungen des Auftraggebers dokumentiert werden müssen
- jeder einzelne Subunternehmer vom Auftraggeber genehmigt werden muss – eine pauschale Zustimmung zur Subunternehmern ist nicht mehr ausreichend
- wenn ein Subunternehmer außerhalb der EU sitzt, muss dies separat und zusätzlich genehmigt werden
Während bisher allein der Auftraggeber für Schäden aufkommen musste, wenn die Datenverarbeitung mangelhaft erfolgte, haften nun Auftraggeber und -nehmer gemeinsam und gleichrangig.
Verstöße gegen diese Vorgaben werden erheblich teurer. Zukünftig können maximale Bußgelder von bis zu 2% des weltweiten Jahresumsatzes oder bis zu 10 Mio. Euro verhängt werden, je nachdem, welcher Betrag höher ist.
Bestehende Verträge müssen bis Mai 2018 überprüften werden:
- ob sie tatsächlich weiterhin als Auftragsverarbeitung gelten (und nicht beispielsweise als „gemeinsame Verantwortung“)
- ob die Vertrags-Inhalte alle neuen Anforderungen enthalten (was i.d.R. nicht der Fall sein wird)
Wir halten es für sinnvoll, die angekündigten, offiziell anerkannten Musterverträge abzuwarten. Anstelle die Altverträge in jedem Einzelfall zu ergänzen, könnten dann die neuen Musterverträge abgeschlossen werden.
Übrigens: Alle Änderungen, die die DSGVO mit sich bringt, erfahren Sie in unserem Online-Training zur DSGVO. Mit Teilnahmezertifikat und PDF-Zusammenfassung. → mehr zum DSGVO-Online-Training
Wir beraten Sie aber auch gerne im Einzelfall bei der Umsetzung der neuen Vorgaben: → mehr zur Datenschutzberatung