Erstmals werden mit der Datenschutz-Grundverordnung auch Auftragsverarbeiter wie Host- und Serviceprovider oder sonstige (IT-)Dienstleister direkt in die (Unterstützungs-)Pflicht genommen. Sie müssen zwar die Meldung/Benachrichtigung nicht selbst vornehmen, haben aber die Pflicht, den Verantwortlichen zu unterstützen. Da die Grundverordnung den Umfang der Unterstützungspflicht nicht näher und praxisgerecht konkretisiert, empfiehlt sich eine solche Konkretisierung zwingend durch im Rahmen von gemäß Art. 28 DSGVO abzuschließenden Verträgen. Die meisten Auftragsverarbeitungsverträge sind diesbezüglich eher von minderer Qualität, sodass eine Nachbesserung im Hinblick auf den Umgang mit Schutzverletzungen eine wesentliche "Compliance-Pflicht" ist. Sinnvoll ist es, die folgenden Punkte in den Vertrag aufzunehmen:
Meldepflichten bei Datenschutzverletzungen
- Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich über jede Verletzung des Schutzes personenbezogener Daten unterrichten (Art. 33 Abs. 2 DSGVO)
- Es sollten genaue Fristen und Verfahren für diese Meldung festgelegt werden.
- Die Meldung muss mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen enthalten (Art, Umfang, Folgen der Verletzung etc.)
Mitwirkungspflichten bei Benachrichtigung der Betroffenen
- Der Auftragsverarbeiter muss den Verantwortlichen bei der Erfüllung der Pflicht zur Benachrichtigung der von einer Datenschutzverletzung betroffenen Personen unterstützen (Art. 33 Abs. 3 lit. b, Art. 34 DSGVO).
- Konkrete Mitwirkungspflichten wie Zurverfügungstellung relevanter Informationen sollten geregelt werden.
Dokumentations- und Nachweispflichten
- Verpflichtung des Auftragsverarbeiters, alle Datenschutzverletzungen ausreichend zu dokumentieren (Art. 33 Abs. 5 DSGVO)
- Festlegung, welche Informationen dokumentiert werden müssen
- Pflicht zur Vorlage der Dokumentation gegenüber dem Verantwortlichen
Haftungsregelungen
- Mögliche Haftung des Auftragsverarbeiters für Schäden aus Datenschutzverletzungen
- Verpflichtung zur Übernahme von Bußgeldern bei Verschulden
- Eine klare vertragliche Regelung dieser Aspekte ist wichtig, um bei Datenschutzverletzungen die Verantwortlichkeiten klar zu regeln und die gesetzlichen Pflichten zu erfüllen
Liegt auch wirklich eine Auftragsverarbeitungssituation vor?
Prüfen Sie als Verantwortlicher stets in jedem Einzelfall gesondert und genau, ob sich die Beziehung zu einem Vertragspartner auch tatsächlich als eine Auftragsverarbeitung i. S. v. Art. 28 DSGVO einstufen oder gestalten lässt. Derzeit werden Unternehmen mit derartigen Verträgen zum Abschluss einer Auftragsverarbeitung nach Art. 28 DSGVO überhäuft, obwohl sie rein rechtlich mit diesen Unternehmen keine klassische datenschutzrechtliche Auftragsverarbeitungssituation haben.
Diese Situation ist auch im Falle von Schutzverletzungen gemäß Art. 33 und 34 DSGVO relevant. Handelt es sich bei einem Dienstleistungsunternehmen tatsächlich um einen Auftragsverarbeiter, so treffen diesen Unterstützungspflichten im Hinblick auf die Schutzverletzung. Ist dieser hingegen kein Auftragsverarbeiter, sondern ein eigenständiger Verantwortlicher, so hat er – sofern die Schutzverletzung auch bei ihm eintritt – die Pflichten selbst und – erstmal – ohne das Tätigwerden des (anderen) Verantwortlichen zu erfüllen.
Bei Gemeinsam-Verantwortlichen gemäß Art. 26 DSGVO müssen beide Verantwortliche zusammen zwingend im Rahmen eines Vertrags festlegen, wer welche Pflichten im Zusammenhang mit Schutzverletzungen wahrnimmt und wie die Ermittlung im Einzelfall abläuft. Dies spart auch wertvolle Zeit und vermeidet Haftungsrisiken