ZAP-2019-21
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Verfassungsrecht/Verwaltungsrecht Fach 19, Seite 945<br />
Datenschutz: Kommunalebene<br />
Dem Bereich der Kontrolle kommt demzufolge eine steigende Bedeutung zu (vgl. im Übrigen auch<br />
Art. 29 – Datenschutzgruppe, Leitlinie zur Datenschutz-Folgenabschätzung WP 248 rev. 01,15).<br />
Eine Datenschutz-Folgenabschätzung muss nicht automatisch regelmäßig wiederholt werden. Denn<br />
Art. 35 Abs. 11 DSGVO normiert keine obligatorische Überprüfungspflicht. Vielmehr ist die Rede von<br />
„erforderlichenfalls“. Dies bedeutet, dass nur bei entsprechenden Anlässen eine erneute Datenschutz-<br />
Folgenabschätzung durchgeführt werden muss. Allerdings empfiehlt sich ein regelmäßiger Abgleich des<br />
Ist- mit dem Soll-Zustand.<br />
Hinweis:<br />
Wird die Datenschutz-Folgenabschätzung nicht oder unrichtig durchgeführt, kommt eine Haftung nach<br />
Art. 82 Abs. 1 und 2 DSGVO ebenso in Betracht wie Schadenersatzansprüche des Betroffenen. Weiterhin<br />
kann auch ein Bußgeld verhängt werden.<br />
5. Auftragsverarbeitung<br />
Die Auftragsverarbeitung (früherer Begriff: Auftragsdatenverarbeitung) ist nunmehr in Art. 28 DSGVO<br />
geregelt. Der Begriff des Auftragsverarbeiters ist in Art. 4 Nr. 8 DSGVO legal definiert. Danach ist Auftragsverarbeiter<br />
eine natürliche oder juristische Person, Behörden, Einrichtungen oder andere Stellen,<br />
die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Beispiel: Cloud-Anbieter,<br />
Call-Center, Webseiten-Betreiber, Datenträgerentsorger<br />
Um die Einhaltung des Datenschutzes beidseitig sicher zu stellen, hat der Gesetzgeber in Art. 28 Abs. 3<br />
DSGVO vorgeschrieben, dass ein entsprechender Vertrag oder ein anderes Rechtsinstrument geschaffen<br />
werden muss. Dabei sind die dort genannten Mindestinhalte zu erfüllen. Dazu gehören: Gegenstand/Dauer<br />
des Auftrags; Umfang, Art und Zweck der Datenverarbeitung; welche Art von Daten<br />
betroffen ist; die Angabe der Kategorien betroffener Personen; die Gewährleistung der Betroffenenrechte;<br />
Rechte und Pflichten des Auftraggebers; der Umfang der Weisungsbefugnisse des Auftraggebers;<br />
die Kontrollrechte des Auftraggebers inkl. der Duldungs- und Mitwirkungsrechte des Auftragsverarbeiters;<br />
die Pflichten des Auftragnehmers; das Recht des Auftragnehmers zum Einsatz von<br />
Subunternehmern; die Regelung wie und in welcher Form Verstöße mitzuteilen sind bis hin zur Regelung,<br />
wie Datenträger zurückgegeben werden müssen.<br />
Die Einhaltung dieser Mindestinhalte ist von besonderer Bedeutung, da der Gesetzgeber eine „gesamtschuldnerische<br />
Haftung“ der Vertragsparteien begründet hat. Das heißt, selbst die ordnungsgemäße<br />
Auswahl des Auftragsverarbeiters entbindet den Auftraggeber nicht von der Haftung.<br />
Praxistipp:<br />
Aufgrund der bestehenden gesamtschuldnerischen Haftung ist im Rahmen der vertraglichen Regelungen<br />
immer die „Freizeichnung“ zu prüfen. Dies vor allem für die Bereiche, auf die der Auftraggeber keinen oder<br />
einen nur geringen Einfluss hat. Auch wenn er beispielsweise verlangen kann, dass ihm der Auftragsverarbeiter<br />
nachweist, dass seine Mitarbeiter entsprechend geschult und sich in den Erklärungen zur<br />
Einhaltung des Datenschutzes verpflichtet haben.<br />
Der Vertrag ist schriftlich abzufassen; die Vereinbarung per E-Mail ist aber ausreichend (§ 126b BGB).<br />
Praxistipp:<br />
Beabsichtigt eine Kommune ein Inkassounternehmen zur Beitreibung privatrechtlicher Forderungen einzuschalten,<br />
so stellt sich die Frage der Auftragsverarbeitung nicht. Denn das Inkassounternehmen hat hier<br />
bei der Umsetzung seiner Aufgaben einen nicht unerheblichen Spielraum und ist regelmäßig weisungsfrei.<br />
Insoweit ist hier wie auch bei Rechtsanwälten, Steuerberatern oder Rechnungsprüfern eher von einer<br />
neuen Verantwortlichkeit auszugehen.<br />
<strong>ZAP</strong> Nr. <strong>21</strong> 7.11.<strong>2019</strong> 1147