Neue Regelungen ab 25.05.2018 bei der Beauftragung von Dienstleistern mit Datenverarbeitungen

15.05.2018

von Mag. Johannes Paul

Ab 25.05.2018 gelten nach der EU-Datenschutzgrundverordnung neue Regelungen für den Fall, dass sich ein datenschutzrechtlicher Auftraggeber (jemand, der über die Art und den Umfang der Datenverarbeitung entscheidet) sich eines Dienstleisters bedient, welcher die Verarbeitung personenbezogener Daten auftragsweise übernimmt. Dazu zählt zB die Inanspruchnahme von Lieferservices, Marketingagenturen, Cloud-Dienstleistern, Host-Providern, Callcentern oder Lohnverrechnungen.

Nach der derzeit noch geltenden Rechtslage (§§ 10 und 11 DSG 2000) hat der Auftraggeber mit dem Auftragnehmer zwar auch schon Vereinbarungen zu treffen, um ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung zu bieten. Für eine solche Vereinbarung bestehen an sich aber keine inhaltlichen Vorgaben, aus Beweissicherungsgründen empfiehlt sich aber Schriftlichkeit.

Mit Geltung der neuen Rechtslage ab 25.05.2018 wird die Rechtsbeziehung zwischen Auftraggeber und Auftragnehmer sehr genau determiniert. Aufgrund der Bestimmung des Art. 28 EU-Datenschutzgrundverordnung sollte die Durchführung einer Verarbeitung durch einen Auftragnehmer auf Grundlage eines schriftlichen Vertrages erfolgen, der den  Auftragnehmer an den Auftraggeber bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zwecke der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien von betroffenen Personen festgelegt sind, wobei die besonderen Aufgaben und Pflichten des Auftragnehmers bei der genannten Verarbeitung und das Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen zu berücksichtigen sind. Insbesondere empfiehlt es sich, den Auftragnehmer zur umfassenden Unterstützung des Auftraggebers in datenschutzrechtlichen Belangen zu verpflichten.

Da der Auftraggeber für das Verhalten seines Auftragnehmers haftet und hohe Geldstrafen für Datenschutzverletzungen drohen, sollte jeder, der einen Auftragnehmer mit Verarbeitungstätigkeiten betrauen will, nur Auftragnehmer heranziehen, die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen auch für die Sicherheit der Verarbeitung getroffen werden, die den Anforderungen der DSG-VO genügen.

Was den praktischen Handlungsbedarf betrifft, sollte also zukünftig eine strengere Prüfung bei der Auswahl der Auftragnehmer erfolgen sowie eine laufende Kontrolle derer. Weiters sollten bestehende Verträge überarbeitet werden und den Auftragnehmer die neuen Verpflichtungen, insbesondere zur umfangreichen Unterstützung, vertraglich überbunden werden.

 

Dieser Beitrag wurde sorgfältig recherchiert und zusammengestellt.
Eine Haftung für die Richtigkeit wird nicht übernommen.

Neue Regelungen ab 25.05.2018 bei der Beauftragung von Dienstleistern mit Datenverarbeitungen