Auftragsverarbeitung: Grundlagen der Vertragsgestaltung und -kontrolle | Haufe Finance Office Premium | Finance

Regula Heinzelmann

Zusammenfassung

Überblick

Die Vergabe von Aufträgen zur Verarbeitung von Daten ist in der Datenschutz-Grundverordnung detailliert geregelt. So ist dafür ein schriftlicher Vertrag vorgeschrieben, der bestimmte Bestandteile erhalten muss.

Gesetze, Vorschriften und Rechtsprechung

Art. 28 DSGVO

1 Hinweise zur vertraglichen Regelung

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, müssen die Beauftragten Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen korrekt durchgeführt werden. Die Verarbeitung muss im Einklang mit den Anforderungen der DSGVO erfolgen und den Schutz der Rechte der betroffenen Person gewährleisten.^{^[1]}

Als "Verantwortlicher" gilt nach der Definition des Art. 4 DSGVO die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind mehrere Personen für die Datenverarbeitung zuständig, gelten sie als "gemeinsam Verantwortliche". Sie müssen vereinbaren, wer welche Aufgaben erfüllt, besonders wenn es um die Rechte der betroffenen Personen geht.^{^[2]}

Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige schriftliche Genehmigung des Verantwortlichen in Anspruch.^{^[3]} Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags.^{^[4]}

[1] Art. 28 Abs. 1 DSGVO.

[2] Art. 24, 26 DSGVO.

[3] Art. 28 Abs. 2 DSGVO.

[4] Art. 28 Abs. 3 DSGVO.

2 Welche Punkte müssen geregelt werden?

In Art. 28 DSGVO ist ein Vertrag mit dem Auftragsverarbeiter vorgeschrieben. Der Vertrag ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.^{^[1]} In dem Vertrag muss mindestens Folgendes festlegt sein:

Gegenstand und Dauer, Art und Zweck der Verarbeitung
Art der personenbezogenen Daten sowie die Kategorien betroffener Personen
Pflichten und Rechte der Verantwortlichen
Verarbeitung der personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen
Informationspflicht gegenüber dem Verantwortlichen betreffend Weitergabe des Auftrags an weitere Auftragsverarbeiter, bzw. die betreffenden Aktionen
Geheimhaltungspflicht für den Auftragsverarbeiter und seine Mitarbeitenden und allenfalls weitere Auftragsverarbeiter
Verpflichtung, die Rechte der betroffenen Personen zu erfüllen und über die Möglichkeiten nach dem Stand der Technik zu verfügen
Informationen, um die Einhaltung der Pflichten nachzuweisen und eine Kontrolle zu ermöglichen
Gegenseitige Unterstützung bei der Erfüllung der Pflichten
Löschung oder Rückgabe aller personenbezogenen Daten nach Wahl des Verantwortlichen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht
Überprüfung durch den Verantwortlichen ermöglichen
Verpflichtung des Beauftragten, mit weiteren Auftragsdatenverarbeitern einen Vertrag mit denselben Kriterien abzuschließen

Muss der Beauftragte die Daten nach Recht der EU oder der Mitgliedstaaten anders als vorgesehen verwenden, muss er den Auftraggeber informieren, sofern der Informationspflicht nicht ein wichtiges öffentliches Interesse entgegensteht.

[1] Art. 28 Abs. 9 DSGVO.

3 Sorgfältige Auswahl des Auftragnehmers

Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen.^{^[1]} Zu beachten ist, dass § 62 BDSG und § 63 BDSG zu den ergänzenden Bestimmungen über die Verordnung (EU) 2016/680 gehören, die für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden gilt.

Ein Verantwortlicher darf nur Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird. Betroffene Personen können ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz gegenüber dem Verantwortlichen geltend machen.

Wenn der Auftragsverarbeiter Subunternehmer einschaltet, muss er für diese die gleichen Vertragsbedingungen festlegen, denen er selbst gegenüber dem Auftraggeber unterliegt. Der Subunternehmer muss Garantien bieten, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.^{^[2]}

Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben^{^[3]} Die Verarbeitung durch einen Auftragsverarbeiter erfolgt au...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Finance Office Premium. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen

Meistgelesene beiträge