Suche
Filterung

Bereiche

Branchen

Themen

RPA in der Auftragsdatenverarbeitung am Beispiel EU-DSGVO

DSGVO - Neuregelung der Auftragsdatenverarbeitung

Die Datenschutzgrundverordnung sieht eine einheitliche Regelung der Auftragsdatenverarbeitung vor. Die Grundlage für die inhaltliche Definition der neuen Regelungen geht aus dem § 11 BDSG hervor, wobei diese jedoch auf ein europäisches Level gehoben werden und einige Unterschiede aufweisen.

Im Rahmen dieses Blogbeitrags verdeutlichen wir die sich aus der Datenschutzgrundverordnung ergebenden Unterschiede.

Europäische Datenschutzgrundverordnung (EU-DSGVO)

Was versteht man unter der Auftragsdatenverarbeitung?

Unter der Auftragsdatenverarbeitung versteht man die Erhebung, Verarbeitung sowie die anschließende Nutzung von Daten, welche an bestimmte Personen gebunden sind, durch einen Auftragsnehmer. Dieser erhält die benötigten Daten von einem Auftraggeber, welcher die Datenvergabe im Rahmen eines schriftlichen Vertrages regelt. Bisher hat eine Vorschrift auf europäischer Ebene nur anhand des Art. 17 der Datenschutzrichtlinie existiert. Durch die Einführung der DSGVO unterliegt nun auch die Auftragsdatenverarbeitung einer neuen, umfangreichen gesetzlichen Regelung, welche im Art. 28 ff. EU-DSGVO verdeutlicht wird. Die Auftragsdatenverarbeitung kann mittels Robotic Process Automation durchgeführt werden. Allerdings müssen auch in diesem Fall die nachfolgenden Richtlinien beachtet werden.

Welche grundsätzlichen Änderungen und Anforderungen ergeben sich im Rahmen der Auftragsdatenverarbeitung?

Im ersten Schritt werden einige sprachliche Veränderungen eingeführt. Im Rahmen dieser Verordnung wird von Auftragsverarbeitern sowie den Verantwortlichen für die Datenverarbeitung gesprochen. Auch ab dem 25.05. 2018 ist ein Vertrags zwingend erforderlich. Dieser Vertrag muss nicht zwingend schriftlich abgeschlossen werden. Vielmehr ist auch ein elektronisches Format ausreichend. Laut § 11 BDSG muss bei der Auswahl des passenden Datenverarbeiters auf organisatorische sowie technische Gegebenheiten geachtet werden. Somit darf der Auftragsdatenverarbeiter die zur Verfügung gestellten Daten laut Weisung des Auftraggebers verarbeiten. Verstößt der Verarbeitende gegen die Auflagen des Vertrages, so wird er laut dem Art. 28 Abs. 10 selber zum Verantwortlichen. Neuer Bestandteil der Regelung ist die mögliche Datenverarbeitung im außereuropäischen Ausland.

Verantwortlichkeit der Datenverarbeitung und Haftung bei Datenschutzverstößen

Auch unter der DSGVO wird der Verantwortliche der Datenverarbeitung der erste Ansprechpartner für Betroffene sein. Sodass dieser als erster Ansprechpartner für Betroffene agiert und auf eine Einhaltung von datenschutzrechtlichen Vorgaben achten muss. Die Datenschutzverarbeitung muss im Auftrag gemäß des Art. 26 EU-DSGVO von der sogenannten „Joint Control“ differenziert werden. Bei einer „Joint Control“ beschließen mindestens zwei Verantwortliche eine Zusammenlegung sämtlicher Mittel, welche für die Verarbeitung von personenbezogenen Daten genutzt werden können, fest. Hierbei wird eine Gleichberechtigung sowie transparente Kommunikation zwischen den Vertragspartnern festgelegt. Diese Verarbeitungsform ist im BDSG nicht bekannt, jedoch aus Sicht der Betroffenen von Vorteil, denn dieser kann seine Rechte gegenüber allen Verantwortlichen geltend machen.

Auch die Haftungsfrage orientiert sich nicht am BDSG, denn laut der DSGVO ist nicht nur der Auftragsgeber gegenüber dem Betroffenen haftbar. Vielmehr können die Betroffenen auch Rechte gegenüber dem Datenverarbeitenden geltend machen. Im Grundsatz sind sowohl der Verarbeitende, als auch der Auftraggeber gegenüber dem Betroffenen haftbar. Allerdings gibt es für Datenverarbeitenden eine Haftungsbeschränkung, welche für konkrete Verstöße gilt und sich aus dem abgeschlossenen Vertrag ergeben. Allerdings haben beide Vertragsparteien die Möglichkeit zur Exkulpation. Das bedeutet, dass sie nachweisen müssen, dass keine Partei für den entstandenen Schaden verantwortlich ist.

Robotic Process Automation bei der Auftragsdatenverarbeitung

Sobald die grundlegenden Verantwortlichkeiten zur Auskunft gegenüber Betroffenen sowie zur Datenverarbeitung geklärt wurden, kann die RPA zum Einsatz kommen, um eine standardisierte Verarbeitung zu realisieren. Diese hat den Vorteil, dass keinerlei Verletzungen von Persönlichkeitsrechten zu erwarten sind, da menschliche Fehler ausgeschlossen werden. Bereits die Auskunftsrechte stellen Unternehmen vor Herausforderungen, welche mittels RPA automatisiert werden können. Doch insbesondere die Datenverarbeitung birgt Gefahren hinsichtlich des Datenschutzes, sodass sich hier eine Automatisierung empfiehlt. Einerseits überzeugt diese durch eine höhere Verarbeitungsgeschwindigkeit und kann mit einer höheren Sicherheit überzeugen. Im Zuge der Digitalisierung sorgt diese zudem für Einsparpotenziale.

Benefits von RPA

Checkbox

Kostensenkung

Diagram Icon

Qualitäts­steigerung

Smile Icon

Mitarbeiter­entlastung

RPA-Einführungsvideo

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Welche Pflichten ergeben sich für den Auftragverarbeiter und den Auftraggeber?

Deutsche Unternehmen, die bereits heute auf Auftragsdatenverarbeiter setzen, haben keine Änderungen hinsichtlich der Verpflichtungen zu erwarten, denn diese werden bereits heute in der BDSG geregelt.

Die größeren Auswirkungen ergeben sich die Auftragsverarbeiter, denn diese müssen neue Regelungen und Pflichten, welche sich aus der DSGVO ergeben beachten. Denn auch Auftragsdatenverarbeiter müssen nun ein Verzeichnis über ihre Verarbeitungstätigkeiten führen. Dieses Verzeichnis wurde laut dem BDSG bisher nur vom Auftraggeber direkt geführt. Unberührt davon bleiben weiterhin die Meldepflichten, welche sich aus dem BDSG ergeben.

Fazit und Auswirkungen auf Unternehmen

Sollten diese gesetzlichen Regelungen dennoch missachtet werden, so drohen den betroffenen Unternehmen Sanktionen. Dieser teilt sich laut Art 83 EU-DSGVO auf die Vertragsparteien auf und beläuft sich auf jeweils 10 Millionen Euro oder alternativ zwei Prozent des Jahresumsatzes einer jeden Partei. Durch RPA kann die Gefahr der Datenverletzung im Rahmen eines Datenverarbeitungsvertrages nachhaltig reduziert werden. Es sollten bestehende Prozesse sowie alle abgeschlossenen Verträge, welche zum Zweck der Datenverarbeitung abgeschlossen wurden, kontrolliert und angepasst werden. Alle neuen Verträge müssen zudem auf der neuen Rechtslage basieren, sodass mögliche Rechteverletzungen vermieden werden.

Jetzt mit einem RPA-Experten sprechen

In einer Erstberatung erläutern Ihnen unsere Experten, wie Sie mit Robotic Process Automation Ihre Geschäftsprozesse automatisieren können und beantworten gerne Ihre Fragen.

Milad Safar
Milad Safar

Managing Partner und Autor zahlreicher Veröffentlichungen zum Themenfeld Digitalisierung

Das könnte Sie interessieren

Newsletter Anmeldung

Anfrage senden