Auftragsverarbeitung: Prüfliste für Mitarbeiter / 2 Auftragsverarbeitung

Die DSGVO verwendet den Begriff Auftragsverarbeiter und unterscheidet auch nicht wie das alte BDSG zwischen Auftragsdatenverarbeitung und Funktionsübertragung. Nach Definition in Art. 4 DSGVO ist ein "Auftragsverarbeiter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der "Auftragsverarbeiter" muss garantieren, dass er über die geeigneten technischen und organisatorischen Möglichkeiten verfügt, um die Verarbeitung im Einklang mit den Anforderungen der Verordnung vorzunehmen und den Schutz der Rechte der betroffenen Personen zu gewährleisten. Der Auftragsverarbeiter darf seinerseits die Aufträge zur Datenverarbeitung nicht an Dritte weitergeben ohne schriftliche Genehmigung des Verantwortlichen. Der Verantwortliche muss über solche Aktionen informiert werden, so dass er dagegen Einspruch erheben kann

In Art. 28 DSGVO ist ein schriftlicher Vertrag mit dem Auftragsverarbeiter vorgeschrieben, in dem man mindestens folgendes festlegen muss:

• Gegenstand und Dauer, Art und Zweck der Verarbeitung
• Die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen
• Pflichten und Rechte der Verantwortlichen
• Verarbeitung der personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen
• Informationspflicht gegenüber dem Verantwortlichen betreffend Weitergabe des Auftrags an weitere Auftragsverarbeiter, bzw. die betreffenden Aktionen
• Geheimhaltungspflicht für den Auftragsverarbeiter und seine Mitarbeitenden und allenfalls weitere Auftragsverarbeiter
• Verpflichtung, die Rechte der betroffenen Personen zu erfüllen und über die Möglichkeiten nach dem Stand der Technik zu verfügen
• Gegenseitige Unterstützung bei der Erfüllung der Pflichten
• Löschung oder Rückgabe aller personenbezogenen Daten nach Wahl des Verantwortlichen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht
• Informationen, um die Einhaltung der Pflichten nachzuweisen
• Überprüfung durch den Verantwortlichen ermöglichen
• Verpflichtung des Beauftragten, mit weiteren Auftragsdatenverarbeitern einen Vertrag mit denselben Kriterien abzuschließen.

Die Europäische Kommission kann Standardvertragsklauseln festlegen.

Beispiele für eine Auftragsdatenverarbeitung sind der Einsatz eines externen Callcenters oder die Beauftragung eines externen Aktenvernichters. Als Spezialfall fallen auch externe Systemadministratoren oder eine Fernwartung von EDV-Systemen darunter, soweit dabei nicht ausgeschlossen werden kann, dass dabei auf personenbezogene Daten zugegriffen werden kann.

Der Auftraggeber besitzt bei einer Auftragsdatenverarbeitung folgende Pflichten:

• Er muss den Auftragnehmer sorgfältig auswählen, insbesondere im Hinblick auf seine datenschutzrechtliche Eignung.
• Er muss dem Auftragnehmer klare und konkrete Vorgaben machen, wie er mit den personenbezogenen Daten umzugehen hat (insbesondere in technischer und organisatorischer Hinsicht). Dies muss schriftlich erfolgen (in der Praxis meist in Form einer Zusatzvereinbarung, siehe unter Punkt 3).
• In der Verordung sind Kontrollen nicht direkt vorgeschrieben. Es ist trotzdem sinnvoll, wenn sich der Verantwortliche vor Beginn der Verarbeitung und sodann regelmäßig von der Einhaltung der beim Arbeitnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen, indem er Kontrollen durchführt.

Der Auftragnehmer (Dienstleister) muss folgende Punkte beachten:

• Er muss einen schriftlichen Vertrag zur Auftragsdatenverarbeitung mit dem Auftraggeber abschließen.
• Er darf die Daten nur gemäß den Weisungen des Auftraggebers und nicht zu anderen Zwecken verwenden.
• Er muss sich vom Auftraggeber kontrollieren lassen.
• Wenn er Subunternehmer einschaltet, muss er diese auf die gleichen Vertragsbedingungen verpflichten, denen er selbst gegenüber dem Auftraggeber unterliegt.
• Er muss nach Vertragsbeendigung die Daten an den Auftraggeber zurückgeben oder sie löschen.

Wichtig

Cloud-Vertrag

Art. 28 DSGVO gilt auch für Cloud-Verträge.