Wann findet eine Auftragsverarbeitung statt?
Nach den geltenden Meinungen der deutschen Aufsichtsbehörden sind Verarbeitungen personenbezogener Daten durch IT-Dienstleister weit zu fassen. Demzufolge findet eine Verarbeitung bereits statt, sobald die Einsichtnahme auf personenbezogene Daten wie zum Beispiel auf Kunden- oder Mitarbeitendendaten durch die Wartung oder Pflege von IT-Systemen nicht ausgeschlossen werden kann. Der IT-Dienstleister ist somit rechtlich ein Auftragsverarbeiter und zur Einhaltung der DSGVO verpflichtet. Im Rahmen von Support- und Wartungstätigkeiten ist der Auftragsverarbeiter als „verlängerter Arm“ des Auftraggebers anzusehen – verantwortlicher im Sinne der DSGVO ist weiterhin der Auftraggeber.
Welche Anforderungen hat der Datenschutz?
Sobald ein IT-Unternehmen eingesetzt wird und eine Auftragsverarbeitung stattfindet, ist der Abschluss eines Auftragsverarbeitungsvertrages (AVV) gemäß Art. 28 DSGVO gesetzlich verpflichtend. In diesem Zusammenhang darf der Dienstleister personenbezogene Daten nur zweckgebunden und nach Weisung des Auftraggebers verarbeiten. Dabei verpflichtet er sich zur Verschwiegenheit und zur Umsetzung der erforderlichen Datenschutzmaßnahmen. Doch allein der Abschluss eines AVVs ist beim Einsatz von IT-Unternehmen nicht ausreichend. Der Dienstleister hat sicherzustellen, dass die von der Verarbeitung betroffenen Daten durch entsprechende technische und organisatorische Maßnahmen (TOMs) ausreichend geschützt werden. Bei Verstößen gegen die DSGVO können hohe Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr verhängt werden.
Was ist bei dem Einsatz eines IT-Dienstleisters zu beachten?
Bei der Beauftragung eines IT-Dienstleisters ist unter anderem der Standort der Auftragsverarbeitung zu berücksichtigen. Sollte sich der IT-Dienstleister außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) befinden, sind entsprechende Anforderungen bezüglich der Übermittlung personenbezogener Daten in ein Drittland einzuhalten. In diesem Fall muss das jeweilige Drittland ein für die Europäische Kommission ausreichendes Datenschutzniveau bieten. Andernfalls sind ausreichende Garantien zum Schutz der Daten nachzuweisen.
Für die Sicherstellung und Einhaltung der geltenden Datenschutzbestimmungen ist die Zusammenarbeit mit einem Datenschutzbeauftragten empfehlenswert. Dieser kann unter anderem bei der Prüfung und Erstellung vertraglicher Regelungen sowie spezieller technischer und organisatorischer Maßnahmen umfangreich unterstützen.