Andreas Grimme

Zusammenfassung

 
Überblick

Bei diesem Dokument handelt es sich um einen Leitfaden, den Datenschutzbeauftragte an Mitarbeiter ausgeben können. Die Mitarbeiter sollen dadurch in die Lage versetzt werden, selbst beurteilen zu können, ob und wann eine Auftragsverarbeitung nach Art. 28 DSGVO vorliegt. Der Text kann und sollte individualisiert werden, sodass der den spezifischen Verhältnissen im Unternehmen entspricht.

 
Gesetze, Vorschriften und Rechtsprechung

Art. 28 DSGVO

1 Einleitung

Diese Informationen sollen Ihnen als Mitarbeiter die nötigen Informationen liefern, damit Sie Auftragsverarbeitungen erkennen und die notwendigen Maßnahmen einleiten können.

An Auftragsverarbeitungen ist eine Reihe von Voraussetzungen geknüpft, auch in formaler Hinsicht. Werden sie nicht eingehalten, drohen Bußgelder.

 
Hinweis

Nur allgemeine Darstellung der wichtigsten Fragen

In dieser allgemein gefassten Zusammenfassung kann nicht auf jede Konstellation eingegangen werden. Die endgültige Beurteilung, ob eine Auftragsdatenverarbeitung vorliegt oder nicht, kann diffizil sein. Zögern Sie daher nicht, sich im Zweifelsfall an Ihren betrieblichen Datenschutzbeauftragten zu wenden, um sich beraten zu lassen.

(Hinweis: Es kann auch festgelegt werden, dass sich Mitarbeiter grundsätzlich bei Vorliegen einer Auftragsdatenverarbeitung an den Datenschutzbeauftragten wenden müssen. Geben Sie hier ggf. auch dessen Kontaktdaten an.)

Wichtig:

2 Auftragsverarbeitung

Die DSGVO verwendet den Begriff Auftragsverarbeiter und unterscheidet auch nicht wie das alte BDSG zwischen Auftragsdatenverarbeitung und Funktionsübertragung. Nach Definition in Art. 4 DSGVO ist ein "Auftragsverarbeiter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der "Auftragsverarbeiter" muss garantieren, dass er über die geeigneten technischen und organisatorischen Möglichkeiten verfügt, um die Verarbeitung im Einklang mit den Anforderungen der Verordnung vorzunehmen und den Schutz der Rechte der betroffenen Personen zu gewährleisten. Der Auftragsverarbeiter darf seinerseits die Aufträge zur Datenverarbeitung nicht an Dritte weitergeben ohne schriftliche Genehmigung des Verantwortlichen. Der Verantwortliche muss über solche Aktionen informiert werden, so dass er dagegen Einspruch erheben kann

In Art. 28 DSGVO ist ein schriftlicher Vertrag mit dem Auftragsverarbeiter vorgeschrieben, in dem man mindestens folgendes festlegen muss:

  • Gegenstand und Dauer, Art und Zweck der Verarbeitung
  • Die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen
  • Pflichten und Rechte der Verantwortlichen
  • Verarbeitung der personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen
  • Informationspflicht gegenüber dem Verantwortlichen betreffend Weitergabe des Auftrags an weitere Auftragsverarbeiter, bzw. die betreffenden Aktionen
  • Geheimhaltungspflicht für den Auftragsverarbeiter und seine Mitarbeitenden und allenfalls weitere Auftragsverarbeiter
  • Verpflichtung, die Rechte der betroffenen Personen zu erfüllen und über die Möglichkeiten nach dem Stand der Technik zu verfügen
  • Gegenseitige Unterstützung bei der Erfüllung der Pflichten
  • Löschung oder Rückgabe aller personenbezogenen Daten nach Wahl des Verantwortlichen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht
  • Informationen, um die Einhaltung der Pflichten nachzuweisen
  • Überprüfung durch den Verantwortlichen ermöglichen
  • Verpflichtung des Beauftragten, mit weiteren Auftragsdatenverarbeitern einen Vertrag mit denselben Kriterien abzuschließen.

Die Europäische Kommission kann Standardvertragsklauseln festlegen.

Beispiele für eine Auftragsdatenverarbeitung sind der Einsatz eines externen Callcenters oder die Beauftragung eines externen Aktenvernichters. Als Spezialfall fallen auch externe Systemadministratoren oder eine Fernwartung von EDV-Systemen darunter, soweit dabei nicht ausgeschlossen werden kann, dass dabei auf personenbezogene Daten zugegriffen werden kann.

Der Auftraggeber besitzt bei einer Auftragsdatenverarbeitung folgende Pflichten:

  • Er muss den Auftragnehmer sorgfältig auswählen, insbesondere im Hinblick auf seine datenschutzrechtliche Eignung.
  • Er muss dem Auftragnehmer klare und konkrete Vorgaben machen, wie er mit den personenbezogenen Daten umzugehen hat (insbesondere in technischer und organisatorischer Hinsicht). Dies muss schriftlich erfolgen (in der Praxis meist in Form einer Zusatzvereinbarung, siehe unter Punkt 3).
  • In der Verordung sind Kontrollen nicht direkt vorgeschrieben. Es ist trotzdem sinnvoll, wenn sich der Verantwortliche vor Beginn der Verarbeitung und sodann regelmäßig von der Einhaltung der beim Arbeitnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen, indem er Kontrollen durchführt.

Der Auftragnehmer (Dienstleister) muss folgende Punkte beachten:

  • Er muss einen schriftlichen Vertrag zur Auftragsdatenverarbeitung mit dem Auftraggeber abschließen...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge