Der Bereich Auftragsdatenverarbeitung tritt immer dann ein, wenn Sie ein anderes Unternehmen (oder einen Freiberufler …) beauftragen (neudeutsch: Outsourcing) und dabei personenbezogene Daten verarbeitet werden. Dieses ist zum Beispiel bereits dann der Fall, wenn Sie Ihre Weihnachtspost von einer Druckerei nicht nur herstellen, sondern auch versenden lassen.
Dieses ist aber zum Beispiel auch der Fall bei jeglicher Art von Rechenzentrum (Hosting der Website, Cloud-Anbieter, eMail-Services …), aber auch zum Beispiel die Verwendung von externen (nicht selbst gehosteten) Shopsystemen (z. B. bei 1&1 Shop, Strato Shop etc.). Ebenso betroffen sind externe Call Center, externe Chat-Portale (Kunden- bzw. Interessen-Chat) und ähnliche Dienste.
Der Augenmerk der EU-DSGVO richtet sich dabei auf entsprechende Datenverarbeitungsverträge mit diesen Dienstleistern, auf die Verantwortlichkeit für die genutzten Daten und wer für eine nicht datenschutzgerechnete Nutzung der verwendeten Daten ggfs. gegenüber den Dritten haftet. Und hier auch besonders die Haftungsgrundlagen bei Rechenzentren in Drittländern, also Nicht-EU-Ländern.
Der Auftragnehmer der Auftragsdatenverarbeitung (Ihr Dienstleister …) muss dabei sicherstellen, dass die von Ihnen bereitgestellten Daten ausschließlich unter Berücksichtigung technischer und organisatorischer Maßnahmen im Rahmen der EU-DSGVO verarbeitet und genutzt werden – und dies auch nur auf Ihre Weisung hin! Dieses muss schriftlich in einem „ADV-Vertrag“ festgehalten werden, welcher auch ein Verarbeitungsverzeichnis beinhaltet, welches auf Ihre Daten und die Verarbeitung beim Auftragnehmer maßgeschneidert worden ist. Ebenso muss die Meldepflicht beachetet werden.
Wenn der Auftragnehmer alle o. g. Anforderungen nach der EU-DSGVO erfüllt, trägt der Auftraggeber (also Sie) die Verantwortung. Behauptet der Auftragnehmer lediglich, dass er die Anforderungen erfüllt, setzt diese aber dann doch nicht entsprechend um, geht die Verantwortung (und damit auch die Haftung für eventuelle Datenschutzverletzungen) auf den Auftragnehmer über!
Die Meldepflicht
Bislang war es gesetzlich vorgeschrieben, dass nur beim Verstößen mit sensiblen Daten (Beispiel: Das System einer Online-Apotheke lässt für Kunden den Zugriff auf die Daten anderer Kunden mit den kompletten persönlichen Daten, bestellten Produkten etc. zu.) an die zuständigen Datenschutzstellen gemeldet werden mussten. Ab Mai 2018 müssen jedoch alle (!) Verstöße gegen datenschutzrechtliche Bestimmungen nach der EU-DSGVO gemeldet werden – also zum Beispiel auch, wenn nur ein Name und eine Straße eingesehen werden konnte, ohne dass weitere Daten zur Verfügung standen.
Diese Meldung muss innerhalb von 72 Stunden erfolgen. Die Meldung muss an die zuständige Aufsichtsbehörde, bei schwer wiegenden Verstößen (siehe das Beispiel mit der Apotheke) müssen auch die möglichen Betroffenen informiert werden. Sie müssen den datenschutzrechtlichen Verstoß jedoch NICHT melden, wenn Sie sicherstellen können, dass kein Risiko für die betreffende Person/Personengruppe vorliegt (Beispiel: Ein „Schmitz“ aus „Köln“ oder ein „Müller“ aus „Berlin“ wird sich nicht direkt nachverfolgen lassen. Kommen aber Vorname und Straße dazu, muss gemeldet werden!) Die Entscheidung, warum der datenschutzrechtliche Verstoß nach Ihrer Auffassung nicht gemeldet werden musste, muss jedoch rechtssicher dokumentiert werden!