Auftragsverarbeitung - Das ändert sich mit der DSGVO

In weniger als einem Jahr gilt die Datenschutzgrundverordnung (DSGVO) europaweit. Bis dahin sollten die Anforderungen, welche sich aus dieser Verordnung ergeben, umgesetzt beziehungsweise in der Umsetzungsplanung befinden. Darum sollten Sie jetzt als Datenschutzbeauftragter bereits mit den Anforderungen der Datenschutzverordnung vertraut sein und schon die ersten Maßnahmen umsetzen oder schon umgesetzt haben. Denn die Verordnung bringt eine Menge Änderungen und Neuerungen für den Datenschutz mit sich.

Ein wichtiges Thema im Datenschutz ist und bleibt die Auftragsverarbeitung (früher: Auftragsdatenverarbeitung). Was in Deutschland schon lange gängige Praxis war und nun in der Datenschutzgrundverordnung noch einmal explizit schriftlich wurde, ist eine vertragliche Grundlage für eine Auftragsverarbeitung zwischen dem Verantwortlichen (vormals: Auftraggeber) und dem Auftragsverarbeiter (ehemals: Auftragnehmer). Erfahren Sie in diesem Artikel, wie Sie mit Altverträgen umgehen und welche Anforderungen Sie bei der Umsetzung von neuen Verträgen unbedingt einarbeiten müssen.

Nutzen Sie jetzt Ihre Chance
Je nach Größe des Unternehmens ist die Umstellung aller ADV-Verträge eine zeit- und kostenintensive Aufgabe. Jedoch können Sie diese Umstellung auch als Chance nutzen, eine vollständige Übersicht aller Dienstleister für Ihre Einrichtung zu generieren. So passiert es in vielen Einrichtungen, dass beispielsweise zu einem 30 Jahre altem Archivierungsvertrag nie ein ADV-Vertrag geschlossen wurde. Durch die Anpassung der Verträge bietet sich Ihnen nun die Möglichkeit, solche Verträge entsprechend datenschutzkonform zu gestalten.

Das sind die wesentlichen Änderungen
Die offensichtlichen Änderungen stellt die Terminologie dar. So wurde die Auftragsdatenverarbeitung in Auftragsverarbeitung, der Auftraggeber bzw. die verantwortliche Stelle in Verantwortlicher und der Auftragnehmer bzw. Auftragsdatenverarbeiter in Auftragsverarbeiter umbenannt.
Neben diesen Änderungen ist neuhinzugekommen, dass der Auftragsverarbeiter nun auch verpflichtet ist, ein Verzeichnis der Verarbeitungstätigkeiten (vormals: Verfahrensverzeichnis) zu führen, wenn auch in gekürzter Form gegenüber dem Verantwortlichen.
Eine weitere wesentliche Änderung ist die neu definierte Haftung des Auftragsverarbeiters bei Verstößen. Durch das BDSG war vorher nur der Verantwortliche haftbar bei Verstößen etc. Nun kann auch der Auftragsverarbeiter selbst mit Bußgeldern belangt werden.
Auch können nun die von der Auftragsverarbeitung betroffenen Personen ihre Betroffenenrechte direkt gegenüber dem Auftragsverarbeiter in Anspruch nehmen. Die Zuständigkeit für die Bearbeitung von Betroffenenanfragen sollten im Vertrag zur Auftragsverarbeitung geregelt werde

So gehen Sie richtig mit Altverträgen um
Die bisherigen ADV-Verträge behalten vorerst ihre Gültigkeit. Jedoch sollten diese nach und nach a) auf die neue gesetzliche Grundlage der Auftragsverarbeitung und b) auf die neuen Anforderungen dieser Gesetze umgestellt werden. Bei dem Umgang mit alten, bereits geschlossenen ADV-Verträgen haben Sie zwei verschiedene Möglichkeiten zur Anpassung:
1. Variante: Altverträge durch neue Verträge ablösen
Die sicherlich einfachste und schnellste Möglichkeit, eine Auftragsverarbeitung gemäß den Anforderungen der Europäischen Datenschutzgrundverordnung zu gestalten, ist, alle bereits geschlossenen ADV-Verträge durch neue Verträge zur Auftragsverarbeitung (AV-Vertrag) zu ersetzen.
2. Variante: Altverträge ergänzen
Die zweite Möglichkeit besteht darin, alle alten ADV-Verträge durch einen Ergänzungsvertrag an die neue gesetzliche Grundlage sowie den neuen Anforderungen anzupassen. Diese Arbeit kann dann zeitintensiv werden, wenn Sie in Ihrer Einrichtung keinen Standard-ADV-Vertrag für alle Dienstleistungen nutzen. In diesem Fall müssen Sie jeden einzelnen ADV-Vertrag genau studieren und das Delta zwischen dem geschlossenem ADV-Vertrag und den Anforderungen aus der Datenschutzgrundverordnung schließen.
Nutzen Sie dagegen bei einem Großteil Ihrer ADV-Verträge einen Standard oder Muster dann müssen Sie nur einmal das Delta bestimmen und einen entsprechenden Ergänzungsvertrag erarbeiten.