- +49 681 94005430
- kanzlei@dury.de
- Montag - Freitag 08:00 - 17:00
Auftragsdatenverarbeitung Muster §11BDSG - Art. 28 DSGVO
Seite 2 von 4
Was passiert wenn personenbezogen Daten ohne ausreichende Rechtsgrundlage im Rahmen einer Auftragsdatenverarbeitung an einen Auftragnehmer übertragen werden, z.B. bei Nutzung eines Coud-CRMs oder dem Hosting eines Onlineshops in der Amazon-Cloud?
Die noch aktuelle Rechtsgrundlage für die Auftragsdatenverarbeitung, § 11 BDSG, sieht vor, dass eine nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise durchgeführte Auftragsdatenverarbeitung als Ordnungswidrigkeit mit einem Bußgeld von bis zu 50.000,- Euro geahndet werden kann (vgl. § 43 Abs. 1 Nr. 2b, Abs. 3 BDSG).
Ab Mai 2018 gelten dann die Vorschriften zu Sanktionen der EU-Datenschutzgrundverordnung gem. Artikel 83 und 84. Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Hierbei dient der Jahresumsatz des gesamten Konzerns als Bemessungsgrundlage, nicht der Umsatz einzelner Konzerngesellschaften.
Wie berechnet sich das Bußgeld?
Die Bußgelder sollen dafür sorgen, dass das Bewusstsein der Akteuere für den Datenschutz gestärkt wird und es zu weniger Verstößen gegen die datenschutzrechtlichen Vorschriften kommt. Gemäß Art 84 DSGVO müssen die von den Aufsichtsbehörden verhängten Bußgelder "wirksam, verhältnismäßig und abschreckend" sein. Art. 83 Abs. 2 (a) bis (k) DSGVO enthalten einen einen Katalog mit Kriterien für die Festlegung der Höhe der Bußgelder.
Es ist davon auszugehen, dass die Bußgelder wegen Datenschutzverstößen ab Mai 2018 höher ausfallen werden, wie es zur Zeit noch der Fall ist.
Nach welchen Kriterien bemisst sich das Bußgeld gem. Art. 83 DSGVO?
Der Katalog des Art. 83 DSGVO enthält folgende Kriterien zur Bemessung des zu verhängenden Bußgeldes:
- Art, Schwere und Dauer des Verstoßes
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
- die getroffenen Maßnahmen zur Minderung des entstandenen Schadens
- Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
- etwaige einschlägige frühere Verstöße
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
- Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere Selbstanzeige
- Einhaltung früher angeordneter Maßnahmen
- Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42
- jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangten finanzielle Vorteile oder vermiedene Verluste
Welche weiteren Sanktionsmöglichkeiten haben die Aufsichtsbehörden ab Mai 2018?
Die jeweils örtlich zuständigen Aufsichtsbehörden haben zudem die Möglichkeiten, den Gewinn eines rechtsverletzend handelnden Unternehmens abzuschöpfen, den das Unternehmen mit den festgestellten Datenschutzverstößen gemacht hat. Wie bei allen Gewinnabschöpfungsansprüchen dürfte dies nur in Extremfällen relevant werden. Die Beweisführung bei Gewinnabschöpfungsansprüchen ist of schwierig.
Zudem kann selbstverständlich die Beendigung des Verstoßes gemäß Art. 58 Abs. 2, DSGVO angeordnet werden, z.B. Rüge; Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen oder durch ein zeitlich begrenztes oder endgültiges Verbot der jeweiligen Datenverarbeitung.
Darüber hinaus kann Deutschland gem. Art. 84 weitergehende Sanktionen einführen soweit diese „wirksam, verhältnismäßig und abschreckend“ sind.
Woher erhalte ich einen paassenden ADV-Vertrag, um meine outgesourcten Datenverarbeitungsprozesse rechtskonform betreiben zu können?
Selbstverständlich finden sich im Internet zahlreiche Musterverträgen zur Auftragsdatenverarbeitung, z.B: auch auf den nachfolgenden Seiten:
- Bitkom e.V. - Muster ADV-Vertrag (deutsch und englisch)
- BfDI Datenschutz Wiki
- Hessischer Datenschutzbeauftragter
- Landesbeauftragten für Datenschutz Niedersachsen
Diese Musterverträge sind jedoch nicht mehr als ein Ideengeber und Template, das noch mit Leben gefüllt werden muss. Alle ADV-Muster müssen natürlich noch auf die rechtlichen und technischen Details des jeweilgen Datenverarbeitungsprozesses angepasst werden.
Dabei raten wir vor dem Hintergrund unserer Erfahrung dringend dazu, dies nicht irgendwelchen rechtlich unerfahrenen Datenschutzbeauftragten zu überlassen, sondern einen auf IT-Recht spezialisierten Anwalt mit an Bord zu nehmen, den den Vertrag zusammen mit Ihnen erarbeitet. Insbesondere ist es als Auftragnehmer, z.B. als Anbieter eines Cloud-Service oder einer gehosteten Software sinnvoll, einen eigenen ADV-Vertrag für die angebotene IT-Lösung vorzuhalten, um nicht mit einer Vielzahl unterschiedlicher ADV-Vertragsentwürfe von Kunden konfontiert zu werden.
Ein geeordnetes Vertragshandling ist nur dann möglich, wenn möglichst alle Kundenprojekte auf ein und dem selben ADV-Vertrag "laufen".