Datenschutz / Dienstleister
„Die DSGVO bringt Rechtsunsicherheiten mit sich.“

Mehr Dokumentation und massiv erhöhte Bußgelder inklusive persönlicher Geschäftsführerhaftung: Mit der neuen Datenschutzgrundverordnung (DSGVO) bricht für Digitalisierung-Dienstleister ein neues Zeitalter an. Weitermachen wie bisher, ist mit wachsenden Risiken verbunden. Denn nicht nur die Behörden, auch der Wettbewerb kann bei Verstößen künftig viel Ärger machen. Über die Herausforderungen, die die neue Verordnung für Auftragsverarbeiter mit sich bringt, sprach SERVICE.REPORT.IT mit Rebecca Weiß, Referentin für Datenschutz beim Digitalverband Bitkom.

SERVICE.REPORT.IT: Frau Weiß, ab 25. Mai 2018 muss die DSGVO in Deutschland endgültig angewendet werden. Was ändert sich dadurch aus Sicht der Digitalisierungs-Dienstleister?

Weiß: Zunächst einmal sprechen wir bei Dienstleistern, die Daten im Auftrag ihrer Kunden verarbeiten, nicht mehr von Auftragsdatenverarbeitern, sondern nur noch von Auftragsverarbeitern. Zudem können die Aufträge zwischen Auftraggebern und Dienstleistern nicht mehr nur schriftlich, sondern auch elektronisch geschlossen werden. Die wichtigste Veränderung aber ist sicherlich, dass sich die Dienstleister diesen Verträgen mit sehr viel mehr Aufmerksamkeit und Sorgfalt widmen müssen, als das in der Vergangenheit in der Regel der Fall war.

SERVICE.REPORT.IT:  Was ist neu daran? Auch das bislang gültige Bundesdatenschutzgesetz (BDSG) verpflichtete Auftraggeber und Auftragsverarbeiter dazu, ihre Zusammenarbeit vertraglich zu regeln.

Weiß: Das stimmt. Aber erstens wurden, das zeigt die Praxis, sehr viel weniger Verträge geschlossen als eigentlich notwendig gewesen wäre. Zweitens steigen mit der DSGVO die Dokumentationspflichten der Dienstleister. Drittens schießen die Bußgelder in völlig neue Dimensionen. Und viertens haften die Geschäftsführer eines Dienstleisters bei Verstößen gegen die DSGVO genauso wie die Auftraggeber, sofern sie ihren vertraglichen Verpflichtungen nicht nachgekommen sind.

SERVICE.REPORT.IT: Der Reihe nach. Inwiefern steigen die Anforderungen an die Dienstleister?

Weiß: Auftraggeber und Auftragsverarbeiter sind künftig nicht mehr nur verpflichtet, technisch-organisatorische Maßnahmen, kurz TOMs genannt, vertraglich zu vereinbaren. In den  TOMs wird unter anderen festgelegt, durch welche Sicherungsmechanismen, etwa Zutrittskontrollen, Verschlüsselungen oder Berechtigungskonzepte, personenbezogene Daten vor unbefugtem Zugriff geschützt werden. Daran ändert sich nichts. Im Zuge der DSGVO wird der Auftragsverarbeiter künftig aber auch verpflichtet, ein kundenspezifisches Verzeichnis von Verarbeitungstätigkeiten zu führen. In diesem Verzeichnis werden die Verarbeitungsprozesse personenbezogener Daten eines Unternehmens kategorisiert und beschrieben. Diese Dokumentation musste bislang nur der Auftraggeber auf Nachfrage der Datenschutzbehörden vorweisen können.

SERVICE.REPORT.IT: Wann müssen die Dienstleister haften? Wenn ein Schaden eintritt?

Weiß: Ja, aber nicht nur dann. Ein Verstoß gegen die DSGVO kann für die Beteiligten nicht nur teuer werden, wenn ein Schaden entsteht. Vielmehr zieht bereits eine Prüfung, bei der die Verantwortlichen die notwendigen Dokumentationen nicht aus der Schublade ziehen können, ein Bußgeld nach sich. Und mit Inkrafttreten der DSGVO explodieren die Tarife. Bislang wurden Verstöße mit maximal 300.000 Euro geahndet. Mit der DSGVO wurden die Grenzen auf 20 Millionen Euro und bei  Unternehmen sogar auf bis zu vier Prozent des weltweiten Jahresumsatzes angehoben. Hinzu kommt: Diese Haftung ist eine Geschäftsführerhaftung. Das heißt, das Management steht dafür persönlich gerade.

SERVICE.REPORT.IT: In der Vergangenheit schienen die Datenschutzbehörden allerdings kaum in der Lage zu sein, die Einhaltung des Gesetzes flächendeckend durchzusetzen. Steigt mit der DSGVO die Gefahr, erwischt zu werden?

Weiß: Eine Prüfung erfolgt künftig nicht nur, wenn der Impuls dafür von den Datenschutzbehörden kommt. Mit der DGSVO erhält auch der Wettbewerb neue Möglichkeiten, Unternehmen abzumahnen. Das Risiko von Prüfungen der Aufsicht einerseits und teuren Abmahnungen von Konkurrenten andererseits  wird daher erheblich steigen.

SERVICE.REPORT.IT: In vielen Fällen kooperieren die Auftragsverarbeiter selbst mit Sub-Lieferanten, etwa Rechenzentrums-Betreibern oder Cloud-Providern. Sind die Auftragsverarbeiter auch für deren datenschutzrechtliche Prozessqualität verantwortlich?

Weiß: Ja. Auftragsverarbeiter müssen sicherstellen, dass der Datenschutz über die gesamte Servicekette gewährleistet ist. Sie haften auch für Fehler ihrer eigenen Lieferanten.

SERVICE.REPORT.IT: Wie können kleinere Auftragsverarbeiter denn zuverlässig prüfen, ob sich irgendwo in dem Cloud-Service, den sie selbst zur Erledigung eines Auftrags nutzen, ein Anbieter aus einem nicht EU-Mitgliedsland mitmischt und ob dieser verbotenerweise personenbezogene Daten eines deutschen Auftraggebers verarbeitet?

Weiß: Die Auftragsverarbeiter können natürlich solche Gegegebenheiten auch vertraglich klären und die Subunternehmer entsprechend auswählen. Es kann die Kommunikation natürlich zum Teil erleichtern, sich Vertragspartner innerhalb der EU suchen. Ich glaube, das ist handhabbar.

SERVICE.REPORT.IT: Wie sieht es mit US-amerikanischen Anbietern aus, nachdem es das bilaterale Safe Harbour-Abkommen nicht mehr gibt?

Weiß: Die Datenübertragung in die USA wird heute über das Abkommen Privacy Shield geregelt. Grundsätzlich darf man also an die dort gelisteten Unternehmen personenbezogene Daten in die USA übertragen. Dennoch muss man auch dort den Dienstleister prüfen, ob er der DSGVO gerecht wird und die eigenen vertraglichen Anforderungen erfüllen kann.

SERVICE.REPORT.IT: Name, E-Mail-Adresse oder Telefonnummern, alles personenbezogene Daten. Gibt es Digitalisierungs-Dienstleister, die nicht von der DSGVO betroffen sind?

Weiß: Nein, denn schon sobald der Dienstleister eigene  Mitarbeiter hat, verarbeitet er personenbezogene Daten.

SERVICE.REPORT.IT: Die Regelung für Wartungs- und Serviceverträge nach BDSG §11, Abs. 5 wurde in die DSGVO nicht übernommen. Werden die Dienstleister davon profitieren?

Weiß: Tatsächlich gibt es aktuell keine europäische Auslegung dafür, allerdings haben sich die deutschen Datenschutzbehörden für den Erhalt dieser Regelung ausgesprochen. Momentan ist unklar, wie es damit weitergeht.

SERVICE.REPORT.IT: Mit anderen Worten, die Auftragsverarbeiter müssen allen denkbaren Szenarien gerecht werden, um auf Nummer sicher zu gehen?

Weiß: Ja, das kann man so sagen. Die DSGVO bringt einige Rechtsunsicherheiten mit sich. Was erlaubt ist und was nicht, wird sich erst nach und nach durch einschlägige Gerichtsurteile entscheiden.

SERVICE.REPORT.IT: Dienstleister müssen also bis auf Weiteres alle bestehenden Service- und Wartungsverträge neu mit ihren Kunden aufsetzen, um den neuen Vorschriften für die Verarbeitung personenbezogener Daten gemäß DSGVO nachzukommen?

Weiß: Ja, ich halte diese Vorgehensweise für sinnvoll. Zwar gibt es Musterregelungen, an denen man sich orientieren kann. Aber das lässt sich mit der Ausnahme von Behörden nicht pauschal durch Ergänzungen regeln, da die Verträge zur Auftragsverarbeitung häufig individuelle Feinheiten benötigen. Das gilt beispielsweise für die Frage, wie ein Fernzugriff des Dienstleisters auf PCs des Auftraggebers zu Wartungszwecken zu erfolgen hat. Diese Anpassungen sollten daher bei den Verträgen mitgedacht werden.

SERVICE.REPORT.IT: Aktuelle Studien zeigen, dass die Vorgaben der DSGVO bislang nur bei rund einem Viertel aller Unternehmen umgesetzt worden sind. Würden Sie diesen Prozentsatz auch bei Digitalisierungs-Dienstleistern ansetzen?

Weiß: Mir sind dazu keine konkreten Zahlen bekannt. Unsere aktuellen Zahlen zum Umsetzungsstand zeigen aber noch immer einigen Umsetzungsbedarf in den Unternehmen. Aber ich vermute, dass die Quote bei den Dienstleistern sogar noch geringer ausfällt, da viele der falschen Annahme folgen, dass sie für den Datenschutz fremder Daten nach wie vor nicht verantwortlich sind.

SERVICE.REPORT.IT: Was passiert, wenn die Dienstleister am 25. Mai 2018 nicht ausreichend vorbereitet sind?

Weiß: Dann verhalten sie sich rechtsbrüchig und sollten keine Zeit mehr mit der Umsetzung vergeuden. Schließlich haben sie dann zwei offene Flanken: als Unternehmen und als Dienstleister.

SERVICE.REPORT.IT: Dennoch wird die Umsetzung in der Fläche sicherlich noch viel Zeit in Anspruch nehmen. Die Datenschutz-Berater können sich die besten Aufträge momentan aussuchen.

Weiß: Das ist richtig. Das kann tatsächlich noch Monate und Jahre dauern. Denn die Nachfrage ist aktuell sehr viel größer als das Angebot.

SERVICE.REPORT.IT: Frau Weiß, wir danken für das Gespräch.

 

Glossar

DSGVO

Nach einer zweijährigen Übergangsfrist muss die Datenschutz-Grundverordnung der EU ab 25. Mai 2018 verbindlich angewendet werden. Anders als EU-Richtlinien werden EU-Verordnungen durch die Mitgliedstaaten nicht durch nationale Regelungen umgesetzt. Vielmehr gelten sie in allen Mitgliedstaaten der EU unmittelbar.

BDSG

Die DSGVO sieht „Öffnungsklauseln“ in einzelnen Bestimmungen vor. Diese können die nationalen Gesetzgeber durch eigene Formulierungen ergänzen. Daher verschwindet das alte Bundesdatenschutz-Gesetzt (BDSG) mit der DSGVO nicht, sondern wird durch das BDSG-neu abgelöst. Für Auftragsverarbeiter ist aber vor allem die DSGVO relevant.  Relevant für alle  Unternehmen ist die Ausgestaltung zur Bestellung eines Datenschutzbeauftragten im BDSG-neu. Diese ist strenger als in der DSGVO, da hier an einem bereits unter dem BDSG geltenden Maßstab festgehalten wurde. 

Auftragsverarbeitung

Die Regeln für die Zusammenarbeit von Auftraggebern und Auftragsverarbeitern sind in Kapitel 4, DSGVO bzw. BDSG-neu beschrieben. U.a. werden in Art. 30 die Anforderungen an ein „Verzeichnis von Verarbeitungstätigkeiten“ beschrieben, in den Artikeln 37 bis 39 werden die Benennung, die Stellung sowie die Aufgaben eines Datenschutzbeauftragten definiert.

Service- und Wartungsverträge

Im BDSG-alt wurden die datenschutzrechtlichen Anforderungen an Service- und Wartungsverträge in §11, Abs. 5 beschrieben. Dieser Passus wurde weder in das BDSG-neu noch in die DSGVO übernommen. Allerdings haben sich die deutschen Datenschutzbehörden für den Erhalt dieser Regelung ausgesprochen. Momentan ist unklar, wie es damit weitergeht. 

Veröffentlicht am 16.05.2018