1. Bestandsschutz für Altfälle entfällt
Seit dem 25. Mai 2018 ist nach Erwägungsgrund 171 der Datenschutz Grundverordnung eine Verarbeitung personenbezogener Daten nur noch dann datenschutzkonform, wenn sie den Anforderungen der DSGVO entspricht – ergo müssen auch vor dem 25. Mai 2018 geschlossene Aufträge angepasst werden.
2. Aus Auftragsdatenverarbeitung wird Auftragsverarbeitung – doch mit neuen Vorgaben
Auch weiterhin ist die Auftragsverarbeitung die datenschutzrechtliche Grundlage für die Nutzung von Cloud Angeboten, die Bestandteile bleiben: Weisungsgebundenheit gegenüber dem Auftraggeber, eine Vereinbarung mit Inhalten nach Maßgabe der datenschutzrechtlichen Regelungen über die Auftragsverarbeitung und Dokumentation der Vereinbarung.
Hier muss darauf geachtet werden, dass die Anforderungen des Artikels 28 der DGVO erfüllt werden, hier gibt es inhaltliche Abweichungen gegenüber dem §11 BDSG-alt. Jede bestehende Vereinbarung muss somit einer Prüfung unterzogen und ggf. angepasst werden.
Zudem müssen folgende Vorgaben über den Artikel 28 hinaus beachtet werden:
- 26 DSGVO: Joint Controllership
- 29 DSGVO: Weisungsgebundenheit
- 32 Abs. 4 DS-GVO: Sicherheit der Verarbeitung
Die Ablage der Dokumente darf elektronisch erfolgen.
Achtung bei der Beauftragung von Subunternehmern (Unterauftragnehmern): Durch den Artikel 28 werden eine strengere Vorgaben definiert, auch diesbezüglich müssen alte Verträge geprüft und angepasst werden. Des weiteren muss der Auftragnehmer fortan mehr Verantwortung bei der Unterstützung des Auftraggebers übernehmen, wenn es um die Erfüllung der Pflichten geht.
3. Einfluss der Technik auf den Datenschutz und Nutzen datenschutzrechtlicher Voreinstellungen
Die Verantwortung für den Datenschutz über die Technikgestaltung obliegt nach Artikel 25 der DSGVO dem Auftraggeber. Doch dem Umstand geschuldet, dass die Umsetzung dieser Pflicht nicht durch die Nutzung des Services allein sichergestellt werden kann, erweitern sich die Verantwortlichkeiten auch auf den Cloud Anbieter.
4. Erstellen eines Verzeichnisses der Kategorien der Verarbeitungstätigkeiten
Die Vorgabe der Erstellung eines solchen Verzeichnisses ist mit der DSGVO neu geschaffen worden und in Artikel 30, Absatz 2 fixiert. Eine Auflistung der Kategorien von Verarbeitungstätigkeiten muss jederzeit aktuell gehalten und auf Verlangen entsprechenden Aufsichtsbehörden vorgelegt werden.
Es gilt zu beachten, dass diese Verzeichnis NICHT dem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO entspricht! Dies muss vom Auftragsverarbeiter in Bezug auf die eigenen Verarbeitungstätigkeiten geführt werden.
Hiermit ergibt sich für den Betrieb das Führen von zwei Verzeichnissen: eines als Verarbeiter für Verarbeitungen im eigenen Unternehmensinteresse und eines als Auftragsverarbeiter. In Absatz 5 des Artikels 30 ist eine Ausnahme vorgesehen, dies muss jedoch im Einzelfall sorgfältig geprüft werden.
Trotzdem sollten diese Verzeichnisse dem Auftraggeber nicht ohne Weiteres vorgelegt werden, da die enthaltenen INformationen über das Notwendige hinausgehen und ggf. Geheimhaltungsverpflichtungen verletzt werden.
5. Bei der Verletzung des Schutzes personenbezogener Daten Meldung machen
Laut Artikel 33 der DSGVO muss bei Bekanntwerden der Verletzung des Schutzes personenbezogener Daten die Aufsichtsbehörde benachrichtigt werden, Artikel 34 bestimmt die Unterrichtung betroffener Personen.
Doch was ist eine Verletzung des Schutzes personenbezogener Daten? Dies wird in Artikel 4 Absatz 12 als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, definiert.
Geschieht die bei einem Auftragsverarbeiter, muss dem Auftraggeber unverzüglich Meldung gemacht werden, auch wenn dies sicher zu den unangenehmen Aufgaben gehört. Hieraus können sich je nach Umfang und Schwere der Verletzungen Schadensersatzansprüche ergeben.
6. Nutzung von Cloud Angeboten außerhalb der Europäischen Union
Bei der Übermittlung personenbezogener Daten in Länder jenseits der EU gibt es im Vergleich zum BDSG keine großen Veränderungen. Artikel 44 ff behandelt das Thema jedoch detaillierter und sollte durchaus abgeglichen werden.
Weiterhin gilt die Zweistufigkeit der Prüfung der Zulässigkeit der Verarbeitung in Drittstaaten für jeden Subunternehmer:
- Ist die Verarbeitung durch den Cloud Provider zulässig?
- Darf die Verarbeitung im oder der Zugriff aus dem Drittstaat erfolgen (Art. 44 ff. DS-GVO)?
Positiv zu bewerten ist der Erwägungsgrund 171 der DSGVO: Beschlüsse der EU Kommission bleiben somit auch über den Anwendungsbeginn der DSGVO wirksam – somit entfallen das EU-US Privacy Shield, EU-Standardverträge und die Anerkennung von Drittstaaten mit angemessenem Datenschutzniveau nicht automatisch.
Auch die Ausweitung der Auftragverarbeitung über die EU hinaus auf Drittstaaten und den Europäischen Wirtschaftsraum hinaus ist ein Fortschritt gegenüber dem BDSG-alt.
7. Haftung des Cloud Providers nach DSGVO ausgeweitet
Im Gegensatz zum BDSG-alt gibt es mit der DSGVO keine Haftungsprivilegierung mehr. Wo vor Mai 2018 Ansprüche von Betroffenen gegen den Auftraggeber geltend gemacht wurden, kann nun laut Artikel 79 auch der Auftragsverarbeiter direkt verklagt werden.
Um einen wirksamen Schadensersatz zu gewährleisten, sind laut Artikel 82 DSGVO sogar Auftraggeber UND Auftragsverarbeiter haftbar für den gesamten Schaden. Der Auftragsverarbeiter haftet also gegenüber der betroffenen Person auch für einen Fehler des Auftraggebers. Das gilt natürlich nicht ohne die Einschränkung, die in Artikel 82 Absatz 2 und 3 DSGVO vorgesehen sind.
Mit dem Risiko im Hinterkopf, als Auftragsverarbeiter für eine Datenschutzverletzung durch den Auftraggeber zur Verantwortung gezogen zu werden, sollte vertragliche Regelungen diesbezüglich getroffen werden.
8. Die Gewährleistung der Sicherheit der Verarbeitung
Die Sicherheit der Verarbeitung steht bei der DSGVO im Gegensatz zum bisherigen Datenschutzrecht im Mittelpunkt. Der Artikel 32 widmet sich den Anforderungen, die der Auftragsverarbeiter erfüllen muss, um überhaupt als Auftragsverarbeiter in Erwägung gezogen zu werden. Nicht zu verwechseln ist die Sicherheit der Verarbeitung mit der IT-Sicherheit. Während sich letztere am Schutzs des Bestands des Unternehmens ausrichtet, bezieht sich die Sicherheit der Verarbeitung nach der DSGVO am Schutz der Rechte und Freiheiten natürlicher Personen aus.
In Artikel 32 DSGVO findet sich ein eigenständiger Kriterienkatalog für den Schutz der personenbezogenen Daten. Nachdem dieser dokumentiert abgearbeitet und der Service daran ausgerichtet wurde, findet die Bewertung eine Fortsetzung in der sogenannten Datenschutz-Folgeabschätzung. Deren Ergebnis kann u.U. dazu führen, eine Verarbeitung vor deren Beginn mit der Datenschutzaufsichtsbehörde abzustimmen.
9. Die Erfüllung von Pflichten des Auftraggebers und die Unterstützung für den Auftragsverarbeiter
Wie zu Beginn bereits angesprochen, treffen den Auftraggeber als Verantwortlichen die umfassenden Dokumentations-, Organisations- und Transparenzpflichten. Zum einen wird der Auftraggeber einige dieser Pflichten der DSGVO nicht selbst erfüllen können, da er genau aus diesem Grund auf die Kompentenz des Auftragsverarbeiters, aka dem Cloud-Service, bauen wollte. Oder aber er wird als Auftraggeber den Cloud Provider nur einbinden, schlimmstenfalls seine Pflichten auf den Auftragsverarbeiter abwälzen wollen.
Somit obliegt es dem Cloud Provider, der für seinen Service festlegen muss, wie er solchen Situationen begegnet und was bei ihm zum Service dazu gehört.
Folgend drei exemplarische Beispiele, wann sich die Frage ergibt, wie der Cloud Provider damit umgeht.
- Die Erfüllung der Rechte der betroffenen Personen nach Artikel 12-23 der DSGVO wird der Auftraggeber nicht ohne Einbindung des Cloud Providers erfüllen können.
- Führen des Verzeichnisses von Verarbeitungstätigkeiten nach Artikel 30 Abs. 1 DSGVO setzt Informationen zum Cloud Service voraus.
- Die Datenschutz-Folgenabschätzung und die dem vorausgehende Konsultation der Aufsichtsbehörde stellen für einen Auftraggeber eine erhebliche Hürde dar.
10. Bußgelder
Während nach dem BDSG-alt die Auftraggeber Adressat von Bußgeldsanktionen waren, treffen dies mit Umsetzung der DSGVO nun ebenfalls den Auftragsverarbeiter.
Um sicherzustellen, dass die Nichteinhaltung des Datenschutzes nicht günstiger ist als dessen korrekte Umsetzung, wurden die Bußgelder entsprechend hoch angesetzt. Bei geringeren Verstößen drohen Geldstrafen von bis zu 10.000.000 Euro, bei Unternehmen bis zu 2 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahres. Ist der Verstoß schwerwiegend, können bis zu 20.000.000 Euro oder 4 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahres fällig werden. Hierbei gilt jeweils der höhere Betrag.
Im Gegensatz zum BDSG sind nun auch Verstöße gegen die Meldepflicht bei einer Verletzung des Schutzes personenbezogener Daten (Artikel 33 Absatz 2 DSGVO) bußgeldbewehrt, ebenso wie Verstöße gegen die Sicherheit der Verarbeitung – auch die Dokumentationspflichten können bei Missachtung zu Strafen führen.
Insgesamt wird der Sanktionsapparat wesentlich strenger, wobei die Auswirkungen durch die Ausweitung der Gründe für Bußgelder wesentlich mehr zum Tragen kommen.