Wenn eine Auftragsverarbeitung vorliegt, sind die Anforderungen des Art. 28 DSGVO zwingend zu beachten:
Im Vorfeld: sorgfältige Auswahl (Dabei sind auch die Sicherheitsvorschriften von Art. 32 DSGVO zu beachten
Der Dienstleister ist sorgfältig auszuwählen. Dabei müssen die von ihm zu treffenden technischen und organisatorischen Maßnahmen zur Datensicherheit besonders berücksichtigt werden.
Schriftform
Der Auftrag ist schriftlich zu erteilen.
Vertragsinhalte
Im Auftrag oder in einer schriftlichen Zusatzvereinbarung müssen wie erwähnt laut Art. 28 DSGVO Aussagen zu den vorgeschriebenen Punkten festgelegt werden. Dazu kann ein eigener Mustervertrag verwendet werden. Liefert der Vertragspartner einen Vertragsentwurf, ist zu prüfen, ob dieser den gesetzlichen Anforderungen entspricht.
Kontrolle zum Beginn
Der Auftraggeber hat sich von der Einhaltung der getroffenen Maßnahmen zur Datensicherheit zu überzeugen. Dies kann, je nach Sensibilität der Daten, schriftlich, vor Ort oder in anderer geeigneter Weise erfolgen. Das Ergebnis ist zu dokumentieren.
Spätere regelmäßige Kontrollen
Auch in der Folgezeit soll sich der Auftraggeber regelmäßig von den vereinbarten Maßnahmen zur Datensicherheit überzeugen. Die zeitlichen Intervalle sowie die Art der Kontrolle richten sich nach dem Einzelfall, insbesondere nach der Sensibilität der Daten und dem Umfang der Datenverarbeitung.
Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen