Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Person mit Klemmbrett

Der Auftragsdaten-verarbeitungsvertrag

Wer sich als verantwortliche Stelle im Sinne der Datenschutzregelungen eines Dienstleisters bedient, um personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen, darf dies nur auf vertraglicher Grundlage tun.

Wer sich als verantwortliche Stelle im Sinne der Datenschutzregelungen eines Dienstleisters bedient, um personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen, darf dies nur auf vertraglicher Grundlage tun. Die im Mai 2018 in krafttretende EU-Datenschutzgrundverordnung nimmt die Thematik Auftragsdatenverarbeitung in den §§ 28 ff. EU-DSGVO auf und führt einige Ergänzungen sowie Änderungen zur alten Rechtslage ein.

Der Auftragsdatenverarbeitungsvertrag nach alter und neuer Rechtslage

§ 28 EU-DSGVO spricht von dem für den Auftrag Verantwortlichen und dem Auftragsverarbeiter. Nach wie vor ist ein Vertrag zwischen beiden Parteien notwendig, dieser kann nicht nur wie nach der alten Rechtslage schriftlich abgeschlossen werden, sondern auch in einem elektronischen Format vorliegen. Weiterhin darf der Auftragsverarbeiter wie bisher nur auf Weisung des für den Auftrag Verantwortlichen tätig werden. Neu eingeführt wird mit der EU-Datenschutzrundverordnung die Möglichkeit, die Datenverarbeitung auch einem Dienstleister außerhalb der EU zu übertragen. Im Unterschied zur alten Rechtslage muss der Auftragsverarbeiter zukünftig selbst ein Verzeichnis über die Auftragsverarbeitungstätigkeiten führen.

Anforderungen an den Auftragsverarbeitungsvertrag im Detail

Der Auftragsverarbeitungsvertrag muss Angaben zu folgenden Punkten machen:

  • Zu Gegenstand und Dauer der Verarbeitung

  • Zur Art und zum Zweck der Verarbeitung

  • Zur Art der personenbezogenen Daten und zu den Kategorien von betroffenen Personen

  • Zum Umfang der Weisungsbefugnisse

  • Zur Verpflichtung der zur Verarbeitung befugten Personen hinsichtlich der Vertraulichkeit

  • Zur Sicherstellung von technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz

  • Zur Frage, ob die Hinzuziehung von Subunternehmern erlaubt ist

  • Zur Unterstützung und den Möglichkeiten des für die Verarbeitung Verantwortlichen bei Anfragen sowie Ansprüchen Betroffener

  • Zur Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht von Datenschutzverletzungen

  • Zur Rückgabe oder Löschung personenbezogener Daten nach Beendigung der weisungsgemäßen Auftragsverarbeitung

  • Zu Kontrollrechten des für die Verarbeitung Verantwortlichen und zu Duldungspflichten des Auftragsverarbeiters

  • Zur Pflicht des Auftragsverarbeiters, den für den Auftrag Verantwortlichen zu informieren, falls eine Weisung gegen geltendes Datenschutzrecht verstößt

Verantwortlichkeit und Haftung beim Auftragsverarbeitungsvertrag

Im Unterschied zur alten Rechtslage haften nach der neuen Rechtslage der Auftragsverarbeiter und der Verantwortliche für den Auftrag gemeinsam bei Verstößen gegen datenschutzrechtliche Vorschriften. Dabei beschränkt sich allerdings die Haftung des Auftragsverarbeiters auf mögliche Verstöße gegen Weisungen des für den Auftrag Verantwortlichen. Nach wie vor können sich beide Parteien exkulpieren. Der für den Auftrag Verantwortliche bleibt der erste Ansprechpartner, wenn Betroffene Datenschutz Verstöße rügen und angreifen.

Rechtzeitig Anpassungen bei bestehenden Verträgen vornehmen

Unternehmen sollten jetzt tätig werden und sich über die Details der neuen Regelungen im Bereich Auftragsverarbeitung aus seriöser Quelle informieren lassen. Es können so zeitig entsprechende Veränderungen an bestehenden Verträgen vorgenommen werden und neue Verträge gleich auf die seit Mai 2018 geltende Rechtslage ausgerichtet werden. Wir unterstützen Sie gern mit näheren Informationen zum Auftragsverarbeitungsvertrag und bei der Anpassung bestehender, beziehungsweise dem Entwurf neuer Verträge. Denken Sie in diesem Zusammenhang auch an die hohen Geldbußen, die die EU-Datenschutzgrundverordnung bei Verstößen gegen datenschutzrechtliche Regelungen aufruft.