Dipl.-Volksw. Fritz Schmidt

Nach Art. 28 DSGVO sind bei Auftragsverarbeitungen folgende vertragliche Vereinbarungen zu treffen:

  1. Es muss ein schriftlich oder elektronisch dokumentierter Vertrag über die Auftragsverarbeitung vorliegen.
  2. Der Auftragsverarbeiter wird nur auf dokumentierte Weisung des Verantwortlichen handeln. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverzüglich zu informieren.
  3. Die zur Verarbeitung der personenbezogenen Daten befugten Personen sind zur Vertraulichkeit zu verpflichten, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  4. Der Auftragsverarbeiter wird den Verantwortlichen mit geeigneten Mitteln dabei unterstützen, die Betroffenenrechte zu erfüllen.
  5. Der Auftragsverarbeiter wird alle personenbezogenen Daten nach Abschluss der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgeben oder löschen und bestehende Kopien vernichten, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht.
  6. Der Auftragnehmer ermöglicht dem Auftraggeber oder einem von diesem beauftragten Prüfer Überprüfungen und unterstützt ihn dabei.
  7. Der Auftragnehmer verpflichtet sich zur Einhaltung der gesetzlichen Bestimmungen bei Einschaltung eines Subunternehmers.
  8. Der Auftragnehmer wird alle erforderlichen technischen und organisatorischen Maßnahmen ergreifen.
  9. Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen wird der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung der Pflichten bei erfolgten Datenschutzverstößen und bei der Datenschutzfolgenabschätzung unterstützen.
 
Hinweis

Zu den vertraglichen Pflichten geben wir folgende Hinweise:

Über die Auftragsverarbeitung ist eine vertragliche Vereinbarung schriftlich oder in elektronischer Form abzuschließen. Häufig wird es der Übersichtlichkeit halber sinnvoll sein, eine Vereinbarung zur Auftragsverarbeitung als Anlage zum Vertrag zu nehmen. In der Regel werden die Verträge vom Auftragnehmer vorbereitet und dem Auftraggeber zur Prüfung und Gegenzeichnung vorgelegt. Dieses Vorgehen ist sinnvoll, da der Auftraggeber über die TOM des Auftragnehmers in der Regel keine Kenntnis hat. Der Auftraggeber hat darauf zu achten, dass die gemäß Art. 28 DSGVO erforderlichen Angaben im Vertrag enthalten sind.

Standardvertragsklauseln

Standardvertragsklauseln zur Auftragsverarbeitung können nach Art. 28 Abs. 7 DSGVO von der EU-Kommission oder den nationalen Aufsichtsbehörden (Art. 28 Abs. 8 DSGVO) veröffentlicht werden. Die Kommission hat mit Durchführungsbeschluss vom 4. Juni 2021 (C/2021/3701) solche Standardvertragsklauseln veröffentlicht. Die Standardvertragsklauseln können verwendet werden, eine Verpflichtung hierzu besteht aber nicht. Die Verwendung der Standardvertragsklauseln hat den Vorteil, dass Auftraggeber und -nehmer sich auf die Vollständigkeit und Richtigkeit des Vertrags verlassen zu können. Da die Auftraggeber und -nehmer bereits seit dem Jahr 2018 vertragliche Regelungen zu Auftragsverarbeitung treffen mussten und die abgeschlossenen Vereinbarungen sich bewährt haben, besteht bei den Vertragsparteien keine Neigung, ihre Vereinbarungen hin zu den Standardvertragsklauseln zu verändern. Im Folgenden stellen wir deshalb als Arbeitshilfe die Formulierungen vor, die sich bisher bewährten haben.

5.2.1 Handeln nur auf dokumentierte Weisung des Verantwortlichen

Die dokumentierte Weisung umfasst die Beschreibung

  • des Umfangs bzw. des Gegenstands der Dienstleistung des Auftragsverarbeiters,
  • die Dauer des Auftragsverhältnisses und
  • die Verpflichtung des Auftragnehmers, den Auftraggeber darauf hinzuweisen, wenn nach Auffassung des Auftragnehmers die Weisung gegen die datenschutzrechtlichen Bestimmungen verstößt.
 

Musterformulierung: Dokumentierte Weisung an den Auftragsverarbeiter

Gegenstand

Der Auftrag umfasst:

(Gegenstand des Auftrags, konkrete Beschreibung der Dienstleistungen)

_________________________________________

_________________________________________

Dabei verarbeitet der Auftragnehmer personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO.

Dauer[1]

Der Vertrag beginnt am ___________ und endet am ___________.

Alternativ:

Der Vertrag wird auf unbestimmte Zeit geschlossen. Die Kündigungsfrist beträgt ___________.

Hinweispflicht

Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine Weisung des Auftraggebers seiner Meinung nach rechtswidrig ist (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

Art der personenbezogenen Daten

Verarbeitet werden alle Arten personenbezogener Daten. Umfasst sind auch besondere Kategorien personenbezogener Daten.

Betroffene Personen können sein:[2]

 
Beschäftigte
Mieter
Geschäftspartner
Eigentümer von Wohnungseigentum
Genossenschaftsmitglieder
[1] In der Regel ergibt sich die Vertragslaufzeit aus den vertragliche...

Das ist nur ein Ausschnitt aus dem Produkt VerwalterPraxis. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge