DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Größe: px

Ab Seite anzeigen:

Download "DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?"

Jobst Mann
vor 7 Jahren
Abrufe

1 DuD Jahresfachkonferenz Datenschutz und Datensicherheit Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung? Berlin, Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht Datenschutz-Auditor (TÜV) Verantwortung des Auftraggebers und des Auftragsverarbeiters Fragen und Diskussion

2 Auftragsverarbeitung in der DS-GVO Art. 8: Auftragsverarbeiter Art. 9: Weisungsgebundenheit des Aufragsverarbeiters Art. 79: Klagerecht des Betroffenen direkt gegen Auftragsverarbeiter Art. 8: gesamtschuldnerische Haftung mit Exkulpationsmöglichkeit Privilegierungswirkung der Auftragsverarbeitung Auftragsverarbeiter kein Dritter (Art. 4 Nr. 0 DS-GVO) keine Begrenzung auf EU/EWR deutsche Herausforderung: keine Definition von Übermittlung ebenso bereits: Datenschutz-RiLi 95/46/EG DS-GVO: EU-einheitliche, nicht deutsche Auslegung Alternative?: Berücksichtigung i. R. v. Art. 6 Abs. lit. f DS-GVO Folgeprobleme?: Art. 4 DS-GVO, Art. 5 DS-GVO, Art. DS-GVO Auslegungshilfe: vgl. Working Paper 69 der Art. 9-Gruppe Kernmerkmale der Auftragsdatenverarbeitung Weisungsgebundenheit (Artt. 8 Abs. lit. a, 9 DS-GVO) nur auf dokumentierte Weisung des Verantwortlichen keine Übertragung der Aufgabe als solcher?! Auftragsverarbeiter als Verantwortlicher bei Festlegung von Zweck und Mittel durch Auftragsverarbeiter (Art. 8 Abs. 0 DS-GVO) Vertrag nach Maßgabe des Art. 8 DS-GVO Abgrenzung: Gemeinsam für die Verarbeitung Verantwortliche (Art. 6) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Entfallen des Sonderfalls in Abs. 5 BDSG wenn die Prüfung oder Wartung durch andere Stellen und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Konsequenz? 4

3 Struktur der zentralen Regelung in Art. 8 DS-GVO Abs. : Auswahl mit Blick auf technisch-organisatorische Abs. 5: Nachweis durch Verhaltensregeln/Zertifizierungen Abs. : Zustimmungsvorbehalt bzgl. weitere Auftragsverarbeiter Abs. 5: Nachweis durch Verhaltensregeln/Zertifizierungen Abs. : Vorgaben zum Inhalt des Vertrags Abs. 4: Vorgaben für die Einbindung des Subunternehmers Abs. 6: Möglichkeit zur (ganz oder teilweisen) Verwendung von Standardvertragsklauseln i. S. v. Abs. 7, 8 Abs. 9: schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann Abs. 7, 8: Standardvertragsklauseln der EU-Kommission der nationalen Aufsichtsbehörden, aber Kohärenzverfahren Abs. 9: Auftragsverarbeiter als Verantwortlicher bei Bestimmung der Zwecke und Mittel durch Auftragsverarbeiter 5 Verantwortung des Auftraggebers und des Auftragsverarbeiters Fragen und Diskussion 6

4 Verantwortung des Auftraggebers und des Auftragsverarbeiters BDSG Haftung des Auftraggebers ggüb. Betroffenen ( Abs. BDSG) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. (Hervorhebung nur hier) Bußgeld nur gegen Auftraggeber ( 4 Abs. Nr. b BDSG) entgegen Absatz Satz einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen Absatz Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt Pflichten des Auftragsdatenverarbeiters nach Abs. 4 BDSG sowie aus dem Vertrag über die Auftragsdatenverarbeitung Praxis: Verantwortung im Außenverhältnis bei Auftraggeber 7 Verantwortung des Auftraggebers und des Auftragsverarbeiters DS-GVO Auftragsverarbeiter als Verantwortlicher (Artt. 6, 8 Abs. 0 DS-GVO) (Mit-)Bestimmung der Zwecke und Mittel der Verarbeitung Klagemöglichkeit der Betroffenen gegen Auftraggeber (Verantwortliche) und gegen Auftragsverarbeiter (Art. 79 Abs. DS-GVO) auch mittels Verbandsklagerecht (Art. 80 DS-GVO) Bußgeld von bis zu 0 Mio. EURO oder bis zu % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist (Art. 8 Abs. 4 lit. a DS-GVO Verstoß des Verantwortlichen und des Auftragsverarbeiters gegen Pflichten nach Artikeln 8,, 5 bis 9, 4 und 4 Exkurs: Bußgeld bei Verstoß gegen Sicherheit der Verarbeitung (Art. DS-GVO) und Verzeichnis von Verarbeitungstätigkeiten (Art. 0) 8 4

5 Verantwortung des Auftraggebers und des Auftragsverarbeiters Schadensersatzanspruch der Betroffenen gegen Auftraggeber (Verantwortliche) und gegen Auftragsverarbeiter (Art. 8 DS-GVO) Ist sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen und für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist. gesamtschuldnerische Haftung mit quotalem Innenregress Voraussetzung: Haftung nach Abs. und Verstoß des Auftragsverarbeiters gegen ihm speziell auferlegten Pflichten der DS-GVO oder Nichtbeachtung der rechtmäßig erteilten Anweisungen des Verantwortlichen keine Haftung bei Nachweis der fehlenden Verantwortung zukünftige Praxis: Mit- und Eigen-Verantwortung des Auftragsverarbeiters vertragliche Abgrenzung der Verantwortungen vertragliche Klarstellung bzgl. Bestimmung der Zwecke/Mittel vertragliche Haftungs- und Freistellungsregelungen 9 Verantwortung des Auftraggebers Fragen und Diskussion 0 5

6 Diskussion und Fragen Vielen Dank für Ihre Aufmerksamkeit! Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht Datenschutz-Auditor (TÜV) Bis 0. Juni 06: JUCONOMY Rechtsanwälte Graf-Recke-Straße Düsseldorf 078 /

Ähnliche Dokumente

Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)

Verordnung (EU) 2016/679 (Datenschutz-) Akten- und Datenträgervernichtung Auftraggeber Unternehmen, Behörde, etc. Datenträger mit pbd Vertrag gem. Art. 28 DS-GVO Auftragnehmer Betreiber der Vernichtungsanlagen