Die Datenschutz-Grundverordnung (DSGVO) macht bzgl. der Verarbeitung von Daten im Auftrag keine expliziten Aussagen dazu, ob Auftragsverarbeiter privilegiert sind. Nach langer Diskussion sind die deutschen Datenschutz-Aufsichtsbehörden jedoch zu einer gemeinsamen Sichtweise gekommen.
Was bedeutet Privilegierung bei der Auftragsverarbeitung?
Grundsätzlich dürfen Unternehmen personenbezogene Daten nur dann verarbeiten, wenn dies gesetzlich erlaubt ist oder der Betroffene dies durch eine Einwilligung genehmigt. Dies gilt ebenfalls für den Fall, dass ein Unternehmen personenbezogene Daten zwecks Verarbeitung oder Speicherung an ein anderes Unternehmen übermitteln möchte.
Eine Privilegierung bedeutet, dass der Verantwortliche personenbezogene Daten im Rahmen der Auftragsverarbeitung ohne eine gesonderte gesetzliche Erlaubnis oder Einwilligung des Betroffenen an einen Auftragsverarbeiter weitergeben darf. Der Auftragsverarbeiter wird unter der DSGVO somit als Teil der verantwortlichen Stelle behandelt.
Die Privilegierung des Auftragsverarbeiters
Die Deutschen Aufsichtsbehörden sind sich laut einer Stellungnahme des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) über die Privilegierung der Auftragsverarbeiter einig. Dies ist aus Sicht der Praxis sehr zu begrüßen und hat unter anderem folgende Konsequenzen:
- Es ist keine zusätzliche Rechtsgrundlage notwendig, um einen Dienstleister mit der Verarbeitung von personenbezogenen Daten zu beauftragen. Es genügt, dass der Auftraggeber die geplante Verarbeitung selbst rechtmäßig vornehmen kann.
- Die Auftragsverarbeitung ist unter der DSGVO auch bei Dienstleistern außerhalb der EU beziehungsweise des EWR möglich. Soweit die zusätzlichen Anforderungen einer Drittlandsübermittlung (Datenschutzgarantie gem. Art. 44 ff. DSGVO) erfüllt sind, bedarf es keiner zusätzlichen Rechtsgrundlage zur Übermittlung von Daten an Auftragsverarbeitern in Drittländern.
- Die Änderung des § 203 Abs. 3 StGB erlaubt Berufsgeheimnisträgern den Einsatz von Auftragsverarbeitern.
Dieser aktualisierte Beitrag wurde zuerst am 18. Oktober 2017 veröffentlicht.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!