Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat sich kürzlich zu drei praxisrelevanten Fragen (des GDD-Erfa-Kreises Würzburg) im Zusammenhang mit der Auftragsverarbeitung geäußert:
Gesamtschuldnerische Haftung bei einer Auftragsverarbeitung
Nach der DS-GVO besteht nun in bestimmten Fällen eine gesamtschuldnerische Haftung von Auftraggeber und Auftragnehmer (Art. 82 DS-GVO).
Wenn der Abschluss eines derartigen Vertrages höchstens im Interesse des Auftragsverarbeiters wäre, aber aufgrund fehlender Mitwirkung nicht geschlossen wird bzw. nicht die gesetzlichen Mindestinhalte erhält, würde auch nach der DS-GVO ein Bußgeld allein den Auftraggeber treffen.
Kann hieraus abgeleitet werden, dass nun auch der Auftragnehmer für den Abschluss des AV-Vertrags haftet, d.h. er hier in die Haftung genommen werden kann, wenn er sich weigert, einen AV-Vertrag zu unterzeichnen?
Antwort des BayLDA:
Die Haftungsregelung nach Art. 82 DS-GVO wegen einer Person entstandener materieller oder immaterieller Schäden muss getrennt von den Verantwortlichkeiten bei der Verhängung von Geldbußen nach Art. 83 Abs. 4 und 5 DS-GVO gesehen werden.
Eine Geldbuße nach Art. 83 DS-GVO kann gegen denjenigen Verantwortlichen oder Auftragsverarbeiter verhängt werden, der bestimmte datenschutzrechtliche Pflichten, insbesondere aus der DS-GVO, verletzt.
Die Pflicht, nur Auftragsverarbeiter aufgrund einer ausreichenden Vertragsregelung nach Art. 28 Abs. 3 DS-GVO einzusetzen, trifft den Verantwortlichen als Auftraggeber, Art. 28 Abs. 1, Art. 24 Abs. 1 und Art. 5 Abs. 2 DS-GVO.
Verweigert sich ein potentieller Auftragsverarbeiter einer Vertragsregelung gemäß Art. 28 Abs. 3 DS-GVO, darf der Verantwortliche ihm keine personenbezogenen Daten übergeben bzw. die Möglichkeit einer Kenntnisnahme von Daten zulassen. Denn ein solcher Auftragsverarbeiter bietet keine hinreichenden Garantien im Sinne von Art. 28 Abs. 1 DS-GVO.
Meldung einer Datenpanne beim Auftragsverarbeiter
Nach Art. 33 Abs. 1 DS-GVO ist der Verantwortliche zur Meldung einer Datenpanne an die Aufsicht binnen 72 Stunden nach Kenntnis verpflichtet. Der Auftragsverarbeiter selbst ist nach Art. 33 Abs. 2 DS-GVO zur unverzüglichen Meldung an den Verantwortlichen verpflichtet, wenn er Anhaltspunkte für eine Datenpanne hat.
Nach dem Wesen der Auftragsverarbeitung bilden Auftragsverarbeiter und Auftraggeber eine Handlungs-/Haftungseinheit. Wird die Aufsicht vor diesem Hintergrund eine Anrechnung schon beim Auftragsverarbeiter bis zur Eigenmeldung an den Verantwortlichen abgelaufener Meldefristanteile beim Auftraggeber vornehmen/anstreben?
Würde also die (verbleibende) Meldefrist für den Auftraggeber auf 60 Stunden verkürzt, wenn der Auftragsverarbeiter selbst zwölf Stunden ins Land gehen lässt, bis er den Auftraggeber über eine Datenpanne bei ihm informiert?
Antwort des BayLDA:
Die 72 Stunden beginnen ab Kenntniserlangung durch den Verantwortlichen, d.h. ab dem Zeitpunkt, an dem der Auftragsverarbeiter den Verantwortlichen informiert hat.
Die Zeitspanne, in der der Auftragsverarbeiter den Verantwortlichen informiert, muss so kurz wie möglich – auch weniger als 72 Stunden sein.
Wie weit „unverzüglich“ ausgelegt wird, wird sich im Rahmen der Harmonisierung des europäischen Vollzugs zeigen.
Müssen Vereinbarungen zur Auftragsverarbeitung unterzeichnet werden?
Ist es zulässig, AV-Verträge zu unterzeichnen und anschließend im gescannten Format abzulegen und elektronisch aufzubewahren? Oder ist es sogar möglich, einen Online-Fragebogen auszufüllen und ohne Unterschrift zu Anzeige zu verschicken?
Antwort des BayLDA:
Nach Art. 28 Abs. 9 DS-GVO ist der Vertrag zur Auftragsverarbeitung schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. Was mit dem elektronischen Format genau gemeint ist, und auf welchen Wegen solche Verträge geschlossen werden können, wird derzeit unterschiedlich diskutiert.
Jedenfalls ist es dabei aber Sache der Vertragspartner, den elektronischen Vertragsabschluss (per übereinstimmender Willenserklärungen) für eigene Zwecke und für Kontrollzwecke der Datenschutzaufsichtsbehörden sowie anderer Aufsichtsinstanzen (bei den Kreditinstituten: BaFin, Prüfungsverband, Bundesbank etc.) hinreichend und beweiskräftig zu dokumentieren, z.B. durch unterschriebene und eingescannte Texte mit Protokollierung des dazu geführten E-Mail-Verkehrs, durch eine Verfahrensweise nach § 126a BGB mit einer qualifizierten elektronische Signatur usw.
Eine qualifizierte elektronische Signatur ist nach h.M. nicht zwingend, sondern nur eine der denkbaren elektronischen Möglichkeiten.
Eine Abstimmung unter den deutschen Aufsichtsbehörden zu Art. 28 Abs. 9 DS-GVO gibt es allerdings derzeit noch nicht.
Autor: Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München
