Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Seien Sie vorsichtig, wem Sie Ihre persönlichen Daten anvertrauen!

PrintMailRate-it

​​2. Februar 2018 

 
Ein Unternehmer als der für die Verarbeitung Verantwortliche übermittelt des Öfteren personenbezogene Daten an Dienstleister aus verschiedenen Branchen, die somit zu den Auftragsverarbeitern werden. Davon, wie die Auftragsverarbeiter ausgewählt und Verträge über die Beauftragung mit der Datenverarbeitung formuliert werden, hängt nicht nur die Sicherheit der Datenverarbeitung, sondern auch die Übereinstimmung der Maßnahmen des Unternehmers mit den DSGVO-Richtlinien ab. Die Geldbußen für Nichterfüllung von Pflichten i.Z.m. der Verarbeitung (darunter Übermittlung) personenbezogener Daten können für die Unternehmer sehr schmerzhaft sein.

Als Beispiel für eine solche Situation gilt der Abschluss eines Vertrages über Personalbuchhaltung bzw. Finanzbuchhaltung mit einem Outsourcingunternehmen, wobei es zur sog. Beauftragung mit der Verarbeitung personenbezogener Daten kommt. Die DSGVO definiert einen Auftragsverarbeiter als eine natürliche oder juristische Person, oder sogar eine Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Unternehmens verarbeitet. Zu dem Zeitpunkt, zu dem der für die Verarbeitung Verantwortliche Daten an ein solches Unternehmen übermittelt, kommt es zur Beauftragung mit der Verarbeitung, was zwei wesentliche Pflichten aufseiten des für die Verarbeitung Verantwortlichen (des beauftragenden Unternehmens) zeitigt.


Pflichten des für die Verarbeitung Verantwortlichen


Die erste Pflicht, die auch die größten Kontroversen erweckt, ist die Auswahl der Auftragsverarbeiter, die hinreichend Garantien für die Beachtung der Anforderungen der DSGVO sowie den Schutz der Rechte der betroffenen Personen bieten. Der Verantwortliche muss selbstständig beurteilen, ob der von ihm gewählte Auftragsverarbeiter über die dazu notwendigen technischen und organisatorischen Mittel verfügt.
Auf welche Art und Weise sollte ein Unternehmer die Auftragsverarbeiter oder potentielle Geschäftspartner im Hinblick auf die Erfüllung der o.g. Voraussetzungen prüfen? Die DSGVO schlägt in erster Linie die Durchführung von „Überprüfungen, darunter Inspektionen” durch den für die Verarbeitung Verantwortlichen bzw. „einen anderen von diesem beauftragten Prüfer” vor. Diese Lösung kann sich als erfolglos erweisen, insbesondere wenn der Unternehmer die Unterstützung mehrerer Anbieter von Outsourcingleistungen in Anspruch nimmt.

Die Initiative kann auch vom Auftragsverarbeiter ergriffen werden, indem er nachweist, dass er die Grundsätze des genehmigten Berufskodizes beachtet bzw. durch Einholung eines entsprechenden Zertifikats über die Ordnungsmäßigkeit der Datenverarbeitung. Bisher sehen die polnischen Vorschriften kein Zertifizierungssystem im Bereich des Schutzes und der Verarbeitung personenbezogener Daten vor. Nichtsdestoweniger wird nach der DSGVO und dem Entwurf des neuen Datenschutzgesetzes die Einführung eines Zertifizierungsverfahrens geplant. Rödl & Partner, Cybercom Poland und Polskie Centrum Badań i Certyfikacji [Polnisches Zentrum für Prüfung und Zertifizierung] bereiten sich zusammen auf neue Herausforderungen i.Z.m. den neuen Zertifizierungsregeln vor, um Berechtigungen zur Erteilung von Zertifikaten einzuholen (mehr dazu u.a. unter folgendem: http://www.rp.pl/W-kancelariach/171219779-Rodl--Partner-wspolpracuje-przy-certyfikacji-firm-w-zakresie-ochrony-danych-osobowych.html).

Bis zum Inkrafttreten des neuen Datenschutzgesetzes haben die die Daten verarbeitenden Unternehmen sowie die für die Verarbeitung Verantwortlichen Ad-hoc-Maßnahmen zu ergreifen, z.B. Einholung von Gutachten unabhängiger Experten und ihre Vorlage vor Vertragsschluss,  bzw. Ermöglichung der Durchführung von Datenschutzüberprüfungen, wobei sämtliche Grundsätze in einem entsprechenden Vertrag zu regeln sind. Eine gute Praxis ist die Einführung von Grundsätzen (internen Prozeduren) zur Auswahl von wichtigsten Auftragsverarbeitern, in deren Rahmen die Fragen des Schutzes und der Verarbeitung personenbezogener Daten geprüft werden können.


Vertrag über Beauftragung mit der Datenverarbeitung


Die Beauftragung mit der Datenverarbeitung ist auch mit der Pflicht verbunden, einen entsprechenden Vertrag abzuschließen, der den Gegenstand, die Dauer sowie Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie Pflichten und Rechte des für die Verarbeitung Verantwortlichen festlegt. Dies ist keine Neuheit, da das zurzeit geltende Datenschutzgesetz die Pflicht zum Abschluss eines schriftlichen Vertrages über Beauftragung mit der Datenverarbeitung vorsieht. Dieses enthält jedoch keine so detaillierten Regelungen im Hinblick auf den Vertragsinhalt.

Gemäß den Anforderungen der DSGVO hat ein Vertrag über Beauftragung mit der Datenverarbeitung insbesondere zu bestimmen, dass der Auftragsverarbeiter:
 
  • die personenbezogenen Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen verarbeitet;
  • gewährleistet, dass sich die zur Datenverarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben;
  • sämtliche Maßnahmen zur Sicherstellung der Datensicherheit ergreift;
  • die (in der DSGVO bestimmten) Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
  • nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen den für die Verarbeitung Verantwortlichen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in der DSGVO genannten Rechte der betroffenen Person (z.B. Recht auf Vergessenwerden, Recht auf Datenübertragung), nachzukommen;
  • den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Pflicht zur Gewährleistung der Sicherheit bei der Verarbeitung, Anmeldung von Verstößen, Datenschutz-Folgenabschätzung und vorherigen Konsultationen unterstützt;
  • nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des für die Verarbeitung Verantwortlichen entweder löscht oder zurückgibt und Kopien davon löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
  • dem für die Verarbeitung Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – darunter Inspektionen – die vom für die Verarbeitung Verantwortlichen oder von einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Die ordnungsgemäße Erfüllung der o.g. Pflichten kann von den Parteien im Vertragsinhalt durch entsprechende Vertragsstrafen oder sonstige Maßnahmen zu zwangsweisen Erfüllung dieser Pflichten abgesichert werden. Zurzeit werden keine standardmäßigen Vertragsbestimmungen eingeführt, die Klauseln mit gleichartigem oder ähnlichem Umfang wie in der DSGVO enthalten. Diese Fragen werden jeweils individuell geregelt, unter Berücksichtigung der Stellung der Unternehmen auf dem Markt, der Größe der ausgeübten Tätigkeit oder der Branche, in der diese Unternehmen agieren.


Standardmäßige Vertragsklauseln und gute Praxis


Es ist darauf hinzuweisen, dass die Europäische Kommission und auch die Aufsichtsbehörde (letztendlich Präsident der Datenschutzbehörde) standardmäßige Vertragsklauseln unterbreiten dürfen werden, die sicherlich des Öfteren als Muster für die Regelung solcher Verträge in Anspruch genommen werden können. Der aktuelle Entwurf des neuen Datenschutzgesetzes sieht auch die Möglichkeit vor, dass die polnische Aufsichtsbehörde eine Zusammenstellung vorbildlicher Verfahrensweisen herausgibt, die Hinweise enthält, wie die ausgeübte Tätigkeit an die Anforderungen der DSGVO anzupassen ist. Dies wird sicherlich den Unternehmern helfen, sich auf das Inkrafttreten der DSGVO vorzubereiten, jedoch unter der Bedingung, dass diese vorbildlichen Verfahrensweisen vor dem 25. Mai 2018 erlassen werden.

Unternehmer, die die Verarbeitung personenbezogener Daten in Auftrag geben, sollten bereits jetzt entsprechende Maßnahmen ergreifen, um das Risiko zu minimieren, dass ihre Auftragsverarbeiter die Voraussetzungen für die Erfüllung der DSGVO-Anforderungen nicht erfüllen. Neben dem Risiko eines Verstoßes gegen die Sicherheit der überlassenen Daten besteht auch das Risiko der Auferlegung einer Geldbuße durch die Aufsichtsbehörde von bis zu 10.000.000 EUR bzw. 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Dieselbe Sanktion kann den Unternehmern drohen, falls ein Vertrag über Beauftragung mit der Datenverarbeitung nicht geschlossen wurde bzw. der Abschluss eines solchen Vertrages im Widerspruch zur DSGVO steht. In einem solchen Fall besteht das Risiko sowohl aufseiten des für die Verarbeitung Verantwortlichen als auch des Auftragsverarbeiters.

Sind Sie an den Einzelheiten zum Thema DSGVO interessiert, so stehen Ihnen die Experten von Rödl & Partner gerne zur Verfügung. Sollten Sie an unserer rechtlichen Unterstützung bei der Analyse der gegenwärtigen Praxis in Ihren Unternehmen sowie der Dokumentation über den Datenschutz in Hinsicht auf deren Übereinstimmung mit den aktuell geltenden und künftigen Regelungen Interesse haben, so stehen wir Ihnen jederzeit gerne zur Verfügung. Unsere Rechtsanwälte bieten Rechtsberatung in Polen auch in anderen Bereichen an. Sie stehen Ihnen in den Büros von Rödl & Partner: Breslau, Danzig, Gleiwitz, Krakau, Posen und Warschau zur Verfügung.

Kontakt

Contact Person Picture

Jarosław Kamiński

Attorney at law (Polen)

Associate Partner

+48 694 207 482

Anfrage senden

Profil

​​

Deutschland Weltweit Search Menu