Worum geht es?
Organisationen dürfen personenbezogene Daten ausschließlich mit einer entsprechenden Rechtsgrundlage (Art. 6 Abs. 1 a-f DS-GVO) verarbeiten. Dabei ist auch die Datenweitergabe an Dritte als Datenverarbeitung (Art 4 Nr. 2 DS-GVO) zu werten. Vor einer Datenweitergabe ist stets die Legitimation sicherzustellen. Eine Möglichkeit dafür ist die so genannte Auftragsverarbeitung (AV).
Die Auftragsverarbeitung ermöglicht es einem Auftraggeber mit einer vertraglichen Regelung, nämlich dem Auftragsverarbeitungsvertrag, Daten für einen spezifischen Auftrag zu verarbeiten. Die Rechte und Pflichten der Zusammenarbeit zwischen Auftraggeber und Auftragnehmer sind in dieser Vereinbarung geregelt.
Vorgehensweise
Zunächst einmal ist zu klären, ob ein AV-Vertrag das Mittel der Wahl ist, oder ob andere Vereinbarungen, wie z.B. ein Joint-Controller Vertrag zutreffender sind. Ein zentraler Punkt eines Auftragsverarbeitungsvertrages ist dabei die Weisungsgebundenheit der Auftragnehmer. Hilfe für eine Einordnung finden Sie in den FAQ des LfDI Baden-Württemberg.
Sofern die Organisation sich für den Auftragsverarbeitungsvertrag entschieden hat, sind folgende Inhalte zu vereinbaren:
- Wie ist das Schutzniveau im Falle der Verarbeitung in Drittstaaten gewährleistet?
- Um welche Art von Verarbeitung handelt es sich? Geht es um ein Hosting, eine Fernwartung oder andere Dienstleistungen?
- Welche Kategorien personenbezogener Daten sind voraussichtlich betroffen?
- Welche technischen und organisatorischen Maßnahmen wurden getroffen, um der Sensibilität der Daten gerecht zu werden und wie diese Maßnahmen kontrolliert werden können?
- Unter welchen Voraussetzungen können Unterauftragnehmer hinzugezogen werden?
- Welche Kontrollrechte hat der Auftraggeber?
- Welche Pflichten treffen den Auftragnehmer?
- Weitere Aspekte der Auftragsverarbeitung (z.B. Sicherstellung der Verpflichtung auf Vertraulichkeit von allen Beschäftigten, Dokumentation der erteilten Weisungen, Erfüllung der Informationspflichten bei Datenschutzverletzungen oder Anfragen von Betroffenen).
Ihr Nutzen
Der Abschluss eines AV-Vertrages hat mehrere Vorteile:
- Der Vertragspartner wird nicht länger als „Dritte Partei“ angesehen. Durch den Auftragsverarbeitungsvertrag wird der Partner zu einer Art verlängerter Werkbank. Es findet also keine Datenweitergabe an einen Dritten im Sinne der DS-GVO statt.
- Es gibt einen klar definierten Vertrag und beide Parteien kennen ihre Rechte und Pflichten.
- Als Auftraggeber können Sie sich von der gesetzeskonformen Umsetzung der getroffenen Maßnahmen beim Auftragnehmer überzeugen und selbst entscheiden, ob die Maßnahmen ausreichend sind.
- Der Vertrag dient Ihnen als Nachweis gegenüber Aufsichtsbehörden, dass Datenschutzstandards eingehalten werden.
Die vollumfängliche Abwicklung sämtlicher Auftragsverarbeitungsverhältnisse und ein Abschluss entsprechender Verträge mit den Dienstleistern stellt eine Compliance Anforderung und somit den Nachweis von vertraglichen und gesetzlichen Anforderungen dar.
Verfasser: Steven Bösel, 18.10.2019; zu letzt am 25.10.2022 aktualisiert
Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!