DSGVO – Auftragsdatenverarbeitung – Teil 5

Ein Gastbeitrag zur DSGVO von:

Dr. Oliver Hornung, Rechtsanwalt für IT & Digital Business 

und Partner von SKW Schwarz Rechtsanwälte

Folgende Themen werden in dieser Beitragsserie behandelt

  1. Ziele und Grundsätze.
  2. Rechte der Betroffenen.
  3. Pflichten für Unternehmen.
  4. Internationale Datentransfers ins Ausland.
  5. Technischer und organisatorischer Datenschutz.
  6. Auftragsdatenverarbeitung.
  7. Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten.
  8. Neues europäisches Datenschutzrecht gilt auch für Website-Betreiber.
  9. Aufsichtsbehörden.
  10. Bußgelder und Sanktionen.
  11. Beschäftigtendatenschutz.
  12. Was ist für Unternehmen zu tun?

 

Auftragsdatenverarbeitung

Die Anforderungen und Vorgaben für Vereinbarungen zur Auftragsdatenverarbeitung bleiben im Wesentlichen so, wie sie auch im BDSG geregelt sind. Gleichwohl sind einige neue Regelungen zur Auftragsdatenverarbeitung inhaltlich zu beachten: Erfreulich ist zunächst, dass das strenge deutsche Schriftformerfordernis mit der DSGVO aufgehoben wird und eine Auftragsdatenverarbeitung zukünftig auch elektronisch abgeschlossen werden kann. Neu ist, dass die Europäische Kommission Standardvertragsklauseln für die Auftragsdatenverarbeitung veröffentlichen kann und dass der Nachweis von Garantien des Auftragnehmers auch durch Zertifizierungen und genehmigte Verhaltensregeln erfolgen kann.

 

Bestellung betrieblicher Datenschutzbeauftragter

Nach den Vorgaben der DSGVO müssen in 3 Fällen betrieblicher Datenschutzbeauftragter bestellt werden:

  • Öffentliche Stellen haben, sofern sie personenbezogene Daten verarbeiten, stets einen Datenschutzbeauftragten zu bestellen. Ausgenommen sind jedoch Gerichte im Rahmen der entsprechenden Tätigkeitl,
  • Nicht-Öffentliche Stellen haben einen Datenschutzbeauftragten zu bestellen, wenn deren Kerntätigkeit, oder desjenigen, der Daten im Auftrag verarbeitet, in einer Datenverarbeitung besteht,
  • die aufgrund ihres Zwecks oder ihres Umfangs eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erfordert oder
  • eine umfangreiche Verarbeitung von Daten, die nach den Vorgaben des DSGVO besonders schutzwürdig sind, umfasst.

Die DSGVO enthält eine Öffnungsklausel dahingehend, dass die Mitgliedstaaten im nationalen Recht für weitere Fälle die Bestellung eines Datenschutzbeauftragten vorschreiben können. Davon wird Deutschland Gebrauch machen, sodass es bei den bisherigen Regelungen im BDSG zum betrieblichen Datenschutzbeauftragten bleiben wird.