Auftragsverarbeitung bleibt unter DSGVO offenbar weiterhin privilegiert

Deutsche Aufsichtsbehörden scheinen die Privilegierung bei der Auftragsverarbeitung auch unter der DSGVO als gesetzt zu sehen

Wie die activeMind AG aus „gut informierten Kreisen“ erfahren hat, scheinen sich die Datenschutz-Aufsichtsbehörden in Deutschland einig zu sein, die Auftragsverarbeitung unter der EU-Datenschutz-Grundverordnung (DSGVO) auch weiterhin als privilegiert anzusehen. Die Konsequenzen daraus beträfen fast alle Unternehmen.

Was bedeutet die Privilegierung?

Eine Privilegierung bedeutet, dass personenbezogene Daten im Rahmen der Auftragsverarbeitung ohne eine gesonderte gesetzliche Erlaubnis oder gar die Einwilligung der Betroffenen an einen Auftragsverarbeiter weitergegeben werden dürfen.

Der Auftragsverarbeiter wird also – unter der DSGVO ebenso wie schon unter dem alten Bundesdatenschutzgesetz (BDSG) – als ein Teil der verantwortlichen Stelle behandelt. Bei strenger Auslegung der DSGVO ist die Weitergabe oder Zurverfügungstellung von Daten an einen „Empfänger“ im Sinne des Art. 4 Nr. 9 DSGVO (hier gehört der Auftragsverarbeiter dazu!) eine „Verarbeitung“ i. S. d. Art. 4 Nr. 2 DSGVO, die einer Rechtsgrundlage bedarf.

Die Privilegierung der Auftragsverarbeitung unter der DSGVO

Während das alte BDSG die Privilegierung der Auftragsverarbeitung explizit enthielt, sagt die DSGVO hierzu nichts Greifbares. Datenschutzexperten diskutierten deshalb bis zuletzt darüber, ob Auftragsverarbeiter im Sinne der DSGVO als Teil der verantwortlichen Stelle zu betrachten seien oder nicht. Gerade in Bereichen, in denen besondere personenbezogene Daten betroffen sind, wären in der Praxis erhebliche Probleme zu erwarten gewesen.

Wie es aussieht, sind die deutschen Datenschutzaufsichtsbehörden jedoch zu dem Schluss gekommen, die Privilegierung der Auftragsverarbeitung als solche beizubehalten – trotz unklarer Rechtslage. Das ist aus Sicht der Praxis sehr zu begrüßen und hätte u. a. folgende Konsequenzen:

  1. Es wird auch künftig keine zusätzliche Rechtsgrundlage notwendig sein, um einen Dienstleister mit der Verarbeitung von personenbezogenen Daten zu beauftragen. Es genügt, dass der Auftraggeber die geplante Verarbeitung selbst rechtmäßig vornehmen kann.
  2. Durch den Wegfall der im alten BDSG noch vorhandenen regionalen Beschränkung wird die Auftragsverarbeitung künftig aber auch außerhalb der EU bzw. des EWR als solche möglich sein. Grundsätzlich wird also die Einschaltung eines internationalen Dienstleisters einfacher, falls (!) der Anbieter in der Lage und bereit ist, einen tauglichen Vertrag zur Auftragsverarbeitung abzuschließen. Die hierbei im internationalen Umfeld zusätzlich bestehenden Anforderungen müssen aber weiterhin erfüllt sein, insbesondere müssen Datenschutzgarantien erbracht werden!
  3. Die anstehende Änderung des § 203 StGB für Berufsgeheimnisträger hätte tatsächlich den beabsichtigten Erfolg, dass auch hier bei der Auftragsverarbeitung keine zusätzlichen Hürden genommen werden müssen.
Bitte bewerten Sie diese Inhalte!
[8 Bewertung(en)/ratings]
0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.