Wer sich als verantwortliche Stelle im Sinne der Datenschutzregelungen eines Dienstleisters bedient, um personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen, darf dies nur auf vertraglicher Grundlage tun. Die im Mai 2018 in krafttretende EU-Datenschutzgrundverordnung nimmt die Thematik Auftragsdatenverarbeitung in den §§ 28 ff. EU-DSGVO auf und führt einige Ergänzungen sowie Änderungen zur alten Rechtslage ein. Im Folgenden erfahren Sie, welche Anforderungen ein Auftragsverarbeitungsvertrag erfüllen muss.
Der Auftragsdatenverarbeitungsvertrag nach alter und neuer Rechtslage
§ 28 EU-DSGVO spricht von dem für den Auftrag Verantwortlichen und dem Auftragsverarbeiter. Nach wie vor ist ein Vertrag zwischen beiden Parteien notwendig, dieser kann nicht nur wie nach der alten Rechtslage schriftlich abgeschlossen werden, sondern auch in einem elektronischen Format vorliegen. Weiterhin darf der Auftragsverarbeiter wie bisher nur auf Weisung des für den Auftrag Verantwortlichen tätig werden. Neu eingeführt wird mit der EU-Datenschutzrundverordnung die Möglichkeit, die Datenverarbeitung auch einem Dienstleister außerhalb der EU zu übertragen. Im Unterschied zur alten Rechtslage muss der Auftragsverarbeiter zukünftig selbst ein Verzeichnis über die Auftragsverarbeitungstätigkeiten führen.
Anforderungen an den Auftragsverarbeitungsvertrag im Detail
Der Auftragsverarbeitungsvertrag muss Angaben zu folgenden Punkten machen:
Zu Gegenstand und Dauer der Verarbeitung
Zur Art und zum Zweck der Verarbeitung
Zur Art der personenbezogenen Daten und zu den Kategorien von betroffenen Personen
Zum Umfang der Weisungsbefugnisse
Zur Verpflichtung der zur Verarbeitung befugten Personen hinsichtlich der Vertraulichkeit
Zur Sicherstellung von technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz
Zur Frage, ob die Hinzuziehung von Subunternehmern erlaubt ist
Zur Unterstützung und den Möglichkeiten des für die Verarbeitung Verantwortlichen bei Anfragen sowie Ansprüchen Betroffener
Zur Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht von Datenschutzverletzungen
Zur Rückgabe oder Löschung personenbezogener Daten nach Beendigung der weisungsgemäßen Auftragsverarbeitung
Zu Kontrollrechten des für die Verarbeitung Verantwortlichen und zu Duldungspflichten des Auftragsverarbeiters
Zur Pflicht des Auftragsverarbeiters, den für den Auftrag Verantwortlichen zu informieren, falls eine Weisung gegen geltendes Datenschutzrecht verstößt
Verantwortlichkeit und Haftung beim Auftragsverarbeitungsvertrag
Im Unterschied zur alten Rechtslage haften nach der neuen Rechtslage der Auftragsverarbeiter und der Verantwortliche für den Auftrag gemeinsam bei Verstößen gegen datenschutzrechtliche Vorschriften. Dabei beschränkt sich allerdings die Haftung des Auftragsverarbeiters auf mögliche Verstöße gegen Weisungen des für den Auftrag Verantwortlichen. Nach wie vor können sich beide Parteien exkulpieren. Der für den Auftrag Verantwortliche bleibt der erste Ansprechpartner, wenn Betroffene Datenschutz Verstöße rügen und angreifen.
Rechtzeitig Anpassungen bei bestehenden Verträgen vornehmen
Unternehmen sollten jetzt tätig werden und sich über die Details der neuen Regelungen im Bereich Auftragsverarbeitung aus seriöser Quelle informieren lassen. Es können so zeitig entsprechende Veränderungen an bestehenden Verträgen vorgenommen werden und neue Verträge gleich auf die seit Mai 2018 geltende Rechtslage ausgerichtet werden. Wir unterstützen Sie gern mit näheren Informationen zum Auftragsverarbeitungsvertrag und bei der Anpassung bestehender, beziehungsweise dem Entwurf neuer Verträge. Denken Sie in diesem Zusammenhang auch an die hohen Geldbußen, die die EU-Datenschutzgrundverordnung bei Verstößen gegen datenschutzrechtliche Regelungen aufruft.
Erfahren Sie hier, wie datenschutzexperte.de Sie beim Auftragsverarbeitungsvertrag unterstützen kann. Wir beraten Sie umfassend und professionell und stellen Ihnen darüber hinaus einen Muster AV-Vertag zum Download zur Verfügung!
Artikel veröffentlicht am: 31. August 2018