Zur Prüfung und Dokumentation, ob die datenschutzrechtlichen Verpflichtungen bei Einschaltung eines Auftragsverarbeiters eingehalten sind, empfiehlt sich die Verwendung einer Checkliste. Mit dieser Checkliste kann dokumentiert werden, dass die Geeignetheit des Auftragnehmers vorab geprüft wurde und die – in der Regel von den Auftragnehmern vorbereiteten – vertraglichen Vereinbarungen die gesetzlich geforderten Vertragsbestandteile enthalten.
Checkliste: Prüfung und Dokumentation der Auftragsverarbeitung
Prüfung und Dokumentation der Auftragsverarbeitung |
Auftragsverarbeiter: ______________________________________
Auftragsverhältnis: _______________________________________
I. Geeignetheit des Auftragsverarbeiters |
|||
1. Es liegt vor: |
Ja |
Nein |
|
Zertifikat (Art. 42 DSGVO) | □ | □ | |
Genehmigte Verhaltensregeln (Art. 40 DSGVO) | □ | □ | |
Liegt mindestens eine der Voraussetzungen vor, weiter zu II., anderenfalls Prüfung der TOM. |
|||
2. Prüfung der TOM |
|||
Einhaltung vertraglich zugesichert | □ | □ | |
Aktuelle TOM des Auftraggebers in der Vereinbarung dokumentiert | □ | □ | |
II. Prüfung der vertraglichen Grundlage |
|||
1. Vertrag in Textform liegt vor | □ | □ | |
2. Handeln auf dokumentierte Weisung | |||
Vertrag enthält Festlegungen | |||
zum Gegenstand der Verarbeitung | □ | □ | |
zur Dauer | □ | □ | |
Vereinbarung zur Hinweispflicht des Auftragsverarbeiters, wenn Weisung des Auftraggebers rechtswidrig sein sollte | □ | □ | |
betroffene Personen | □ | □ | |
Datenkategorien | □ | □ | |
3. Verpflichtung der Mitarbeiter auf Vertraulichkeit | |||
Zusicherung der Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf Vertraulichkeit | □ | □ | |
4. Unterstützung des Auftraggebers bei der Einhaltung der Rechte des Betroffenen | |||
Unterstützung durch | |||
Hilfe bei Auskunftsrecht | □ | □ | |
Berichtigung/Vervollständigung | □ | □ | |
Löschung | □ | □ | |
5. Löschung oder Rückgabe der personenbezogenen Daten | |||
Vereinbarung vorhanden | □ | □ | |
6. Überprüfungsmöglichkeit | |||
Vertraglich ist vereinbart, dass der Auftraggeber befugt ist, die Einhaltung der Vorgabe des Datenschutzes, der Datensicherheit und der vertraglichen Vereinbarungen beim Auftragsverarbeiter zu prüfen | □ | □ | |
7. Einschaltung eines Subunternehmers | |||
7.1 Schriftliche Einzelgenehmigung erforderlich | □ | □ | |
Wenn nein: | |||
Allgemeine Genehmigung im Vertrag enthalten | □ | □ | |
Wenn ja: | |||
Informationspflicht vorab bei beabsichtigter Hinzuziehung oder Ersetzung eines Subunternehmers | □ | □ | |
Einspruchsrecht bei Hinzuziehung oder Ersetzung eines Subunternehmers | □ | □ | |
7.2 Auferlegung der Pflicht aus Art. 28 DSGVO auf den Subunternehmer | □ | □ | |
8. Unterstützung bei der Erfüllung der Pflichten vertraglich zugesichert bei | |||
Datenschutzverstößen | □ | □ | |
Datenschutz-Folgenabschätzung | □ | □ |
Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen