Die DSGVO regelt und "privilegiert" die Verarbeitung im Auftrag. Die Auftragsverarbeitung ist in Art. 28 DSGVO geregelt.[1] Wie die frühere Norm § 11 BDSG a. F., stellt auch Art. 28 DSGVO eine Vielzahl von Anforderungen für eine wirksame Vereinbarung zur Auftragsverarbeitung.
Im Gegensatz zur alten Rechtslage bedarf die Vereinbarung zur Auftragsverarbeitung nicht mehr zwingend der Schriftform. Vereinbarungen zur Auftragserarbeitung können auch in elektronischer Form, z. B. durch Anklicken einer Checkbox oder mittels elektronischer Signatur, geschlossen werden.
In der Praxis stellen Auftragsverarbeiter (klassisch: der "Payroll Service Provider") ihren Kunden konforme Vereinbarungen zur Verfügung. In seltenen Fällen lässt sich ein Anbieter auf eine Mustervereinbarung des Kunden ein. Dennoch sollten Unternehmen stets prüfen, ob die vom Auftragsverarbeiter vorgelegte Vereinbarung die Mindestinhalte regelt und auch i. Ü. interessensgerecht gestaltet ist, insbesondere in Bezug auf Haftung und Kostentragung bei Unterstützungshandlungen bei Betroffenenrechten (z. B. Unterstützung bei der Antwort auf ein Auskunftsersuchen, Datenlöschung).
Auftragsverarbeiter identifizieren
Unternehmen müssen stets im Blick haben, welche Auftragsverarbeiter eingesetzt werden. Diese sind auch im Verzeichnis der Verarbeitungstätigkeiten aufzunehmen. Bestehende Verträge zur Auftragsdatenverarbeitung sollten den Anforderungen der DSGVO gerecht werden. Vorsicht ist geboten bei Auftragsverarbeitern im nicht EU-Ausland, da für die Datenübermittlung an Auftragsverarbeiter in sog. Drittländern besondere Regelungen gelten und in der Regel zusätzliche Vereinbarungen (Stichwort "Standardvertragsklauseln") notwendig sind.
Das ist nur ein Ausschnitt aus dem Produkt Steuer Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen