Person mit Klemmbrett

Der Auftragsdaten-verarbeitungsvertrag

Wer sich als verantwortliche Stelle im Sinne der Datenschutzregelungen eines Dienstleisters bedient, um personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen, darf dies nur auf vertraglicher Grundlage tun.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

Wer sich als verantwortliche Stelle im Sinne der Datenschutzregelungen eines Dienstleisters bedient, um personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen, darf dies nur auf vertraglicher Grundlage tun. Die im Mai 2018 in krafttretende EU-Datenschutzgrundverordnung nimmt die Thematik Auftragsdatenverarbeitung in den §§ 28 ff. EU-DSGVO auf und führt einige Ergänzungen sowie Änderungen zur alten Rechtslage ein. Im Folgenden erfahren Sie, welche Anforderungen ein Auftragsverarbeitungsvertrag erfüllen muss.

Der Auftragsdatenverarbeitungsvertrag nach alter und neuer Rechtslage

§ 28 EU-DSGVO spricht von dem für den Auftrag Verantwortlichen und dem Auftragsverarbeiter. Nach wie vor ist ein Vertrag zwischen beiden Parteien notwendig, dieser kann nicht nur wie nach der alten Rechtslage schriftlich abgeschlossen werden, sondern auch in einem elektronischen Format vorliegen. Weiterhin darf der Auftragsverarbeiter wie bisher nur auf Weisung des für den Auftrag Verantwortlichen tätig werden. Neu eingeführt wird mit der EU-Datenschutzrundverordnung die Möglichkeit, die Datenverarbeitung auch einem Dienstleister außerhalb der EU zu übertragen. Im Unterschied zur alten Rechtslage muss der Auftragsverarbeiter zukünftig selbst ein Verzeichnis über die Auftragsverarbeitungstätigkeiten führen.

Anforderungen an den Auftragsverarbeitungsvertrag im Detail

Der Auftragsverarbeitungsvertrag muss Angaben zu folgenden Punkten machen:

  • Zu Gegenstand und Dauer der Verarbeitung

  • Zur Art und zum Zweck der Verarbeitung

  • Zur Art der personenbezogenen Daten und zu den Kategorien von betroffenen Personen

  • Zum Umfang der Weisungsbefugnisse

  • Zur Verpflichtung der zur Verarbeitung befugten Personen hinsichtlich der Vertraulichkeit

  • Zur Sicherstellung von technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz

  • Zur Frage, ob die Hinzuziehung von Subunternehmern erlaubt ist

  • Zur Unterstützung und den Möglichkeiten des für die Verarbeitung Verantwortlichen bei Anfragen sowie Ansprüchen Betroffener

  • Zur Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht von Datenschutzverletzungen

  • Zur Rückgabe oder Löschung personenbezogener Daten nach Beendigung der weisungsgemäßen Auftragsverarbeitung

  • Zu Kontrollrechten des für die Verarbeitung Verantwortlichen und zu Duldungspflichten des Auftragsverarbeiters

  • Zur Pflicht des Auftragsverarbeiters, den für den Auftrag Verantwortlichen zu informieren, falls eine Weisung gegen geltendes Datenschutzrecht verstößt

Verantwortlichkeit und Haftung beim Auftragsverarbeitungsvertrag

Im Unterschied zur alten Rechtslage haften nach der neuen Rechtslage der Auftragsverarbeiter und der Verantwortliche für den Auftrag gemeinsam bei Verstößen gegen datenschutzrechtliche Vorschriften. Dabei beschränkt sich allerdings die Haftung des Auftragsverarbeiters auf mögliche Verstöße gegen Weisungen des für den Auftrag Verantwortlichen. Nach wie vor können sich beide Parteien exkulpieren. Der für den Auftrag Verantwortliche bleibt der erste Ansprechpartner, wenn Betroffene Datenschutz Verstöße rügen und angreifen.

Rechtzeitig Anpassungen bei bestehenden Verträgen vornehmen

Unternehmen sollten jetzt tätig werden und sich über die Details der neuen Regelungen im Bereich Auftragsverarbeitung aus seriöser Quelle informieren lassen. Es können so zeitig entsprechende Veränderungen an bestehenden Verträgen vorgenommen werden und neue Verträge gleich auf die seit Mai 2018 geltende Rechtslage ausgerichtet werden. Wir unterstützen Sie gern mit näheren Informationen zum Auftragsverarbeitungsvertrag und bei der Anpassung bestehender, beziehungsweise dem Entwurf neuer Verträge. Denken Sie in diesem Zusammenhang auch an die hohen Geldbußen, die die EU-Datenschutzgrundverordnung bei Verstößen gegen datenschutzrechtliche Regelungen aufruft.

Erfahren Sie hier, wie datenschutzexperte.de Sie beim Auftragsverarbeitungsvertrag unterstützen kann. Wir beraten Sie umfassend und professionell und stellen Ihnen darüber hinaus einen Muster AV-Vertag zum Download zur Verfügung!

Artikel veröffentlicht am: 31. August 2018

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr