Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

F.A.Q. zur Auftragsverarbeitung

Übersicht,     Unterschiede BDSG/DS-GVO,     Wirksamkeit Altverträge,     Jede Verarbeitung = ADV?,     Verarbeitungsarten,     Unterschiede Verarbeitungsarten,     Unterauftragnehmer,     Verantwortlichkeiten,     Pflichten Auftragsverarbeiter,     Besondere Fragestellungen,,     Fragen aus der Praxis:

1) BDSG vs. DS-GVO – Welche grundlegenden Unterschiede bestehen?

1.2) Sprachliche Unterschiede

Erste sprachliche Unterschiede finden sich schon in den von den Gesetzen verwendeten Begrifflichkeiten: So verwendet das BDSG den Begriff " Auftragsdatenverarbeitung" , die europäische Datenschutz-Grundverordnung (DS-GVO) hingegen spricht von " Auftragsverarbeitung" . Wo das BDSG die Terminologie " Verantwortliche Stelle – Auftragsdatenverarbeiter" verwendet, heißt es in der DS-GVO " Verantwortlicher" (Art. 4 Ziff. 7 DS-GVO) und " Auftragsverarbeiter" (Art. 4 Ziff. 8 DS-GVO). Entsprechend der in der DS-GVO enthaltenen Definition handelt es sich jedoch nach wie vor um die Verarbeitung personenbezogener Daten durch einen Auftragnehmer, d. h. letztlich um eine Datenverarbeitung im Auftrag des Verantwortlichen. Hinweis: Die heute aktuellen EU Standardvertragsklauseln, welche bis zum Widerruf durch die EU-Kommission oder einem entsprechenden Entscheid des EuGH ihre Gültigkeit behalten (vgl. ErwGr. 171), verwenden wiederum eine andere Terminologie und sprechen von Datenimporteur (= Auftragsverarbeiter) und Datenexporteur (= Verantwortlicher).

1.2) Formale Unterschiede

Wie das BDSG verlangt auch die DS-GVO eine " Regelung" für eine Auftragsverarbeitung. Nach der DS-GVO kann der Verantwortliche zwischen zwei Möglichkeiten zur Regelung des Verhältnisses zwischen ihm und dem Auftragsverarbeiter (" Auftragnehmer" ) wählen:
  1. Einerseits kann er die vertragliche Form wählen, wie sie bisher in Deutschland in Form von " ADV-Verträgen" zum Einsatz kam.
  2. Darüber hinaus ist nach der DS-GVO bei der Vereinbarung einer Auftragsverarbeitung jedes Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zugelassen, welches den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in welchem die Anforderungen der DS-GVO (insbesondere die Anforderungen nach Art. 28 Abs. 3 DS-GVO) geregelt werden.
Die Regelung muss in beiden Fällen schriftlich erfolgen (Art. 28 Abs. 9 DS-GVO), wobei eine elektronische Form auch dem Schriftformerfordernis genügt.

1.3) Sanktionen bei Verstößen

Waren die Sanktionsmöglichkeiten (Bußgelder) bei Verstößen gegen die Regelungen von § 11 BDSG seitens finanzstarker Firmen oder Unternehmen bisher als eher wenig bedeutsam einzuschätzen, hat sich dieses nun mit Geltung der DS-GVO geändert. So drohen gem. Art. 83 DS-GVO bei Verstößen gegen die sich aus Art. 28 DS-GVO ergebenden datenschutzrechtlichen Verpflichtungen sowohl dem Verantwortlichen als auch dem Auftragsverarbeiter Geldbußen in Höhe bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens bzw. des Konzerns; je nachdem, welcher Betrag höher ist.