Job gefällig?
100 % Kostenlos für Bewerber! 


Datenschutz 

 

Was ist ein Auftragsverarbeitungs-Vertrag?

Ein Vertrag über Auftragsverarbeitung (ehemals: Auftragsdatenverarbeitung) ist immer dann zu schließen, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden. Bei AV-Dienstleistern kann es sich zum Beispiel um Gehaltsabrechnungsbüros, Datenträgerentsorger, Werbe- bzw. Marketingagenturen, Cloud-Computing-Anbieter, Web- bzw. E-Mailhoster oder auch freie Mitarbeiter handeln.

Der zu schließende AV-Vertrag regelt die Rechte und Pflichten von Aufraggeber und Auftragnehmer sowie ggfs. einzusetzenden Subdienstleistern. So soll u. a. gewährleistet werden, dass der Auftragnehmer die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Vor allem aber wird der Dienstleister verpflichtet, die Daten in entsprechendem Maße zu schützen. Um dies auch tatsächlich zu gewährleisten, werden dem Auftraggeber im Vertrag diesbezüglich umfassende Kontrollrechte eingeräumt.

Was muss ein AV-Vertrag beinhalten?

Die einzelnen Rechte und Pflichten beider Parteien bei der Auftragsverarbeitung regelt Art. 28 DSGVO. Die dort aufgeführten Mindestanforderungen müssen im AV-Vertrag enthalten sein, sie können und sollten einzelfallbezogen vertraglich ausgestaltet bzw. auf den jeweiligen Dienstleister und seine Tätigkeiten angepasst werden:

 

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten, Kreis betroffener Personen
  • Umfang der Weisungsbefugnisse
  • Pflichten und Rechte des Verantwortlichen
  • Pflichten des Auftragsverarbeiters:

 

 

  • Verarbeitung nach dokumentierter Weisung,
  • Wahrung der Vertraulichkeit bzw. Verschwiegenheit,
  • Ergreifung geeigneter Maßnahmen für die eigene Sicherheit der Verarbeitung,
  • Rechtmäßige Hinzuziehung von Subunternehmen,
  • Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen,
  • Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten aus Art. 32 bis 36 DSGVO,

 

  • Ergreifung geeigneter Maßnahmen für die Sicherheit der Verarbeitung (Art. 28 III 2 lit. f DS-GVO i.V.m. Art. 32 DSGVO),
  • Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 33 DS-GVO),
  • Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 34 DS-GVO),
  • Durchführung einer Datenschutz-Folgenabschätzung (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 35 DS-GVO),
  • Konsultierung der Aufsichtsbehörde bei Verarbeitung mit hohen Risiken (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 36 DS-GVO).
  • Löschung oder Rückgabe nach Beendigung des Auftrags,
  • Zurverfügungstellung von Informationen und Ermöglichung von Überprüfungen

Wichtiger Bestandteil des Vertrages ist eine Anlage zu den technischen und organisatorischen Maßnahmen, mit denen der Auftragnehmer Datenschutz und Datensicherheit der ihm überlassenen Daten gewährleistet.

Vertrag über die Auftragsverarbeitung personenbezogener Daten nach EU-Datenschutz-Grundverordnung

Die ab Mai 2018 anzuwendende europäische Datenschutz-Grundverordnung regelt das Verhältnis zwischen Auftraggeber und Auftragnehmer grundlegend neu. Insbesondere die mit der DSGVO eingeführte Rechenschaftspflicht nimmt verantwortliche Stellen, also den Auftraggeber, sehr viel stärker in die Pflicht. Es muss jederzeit belegt werden können, dass die Umsetzung datenschutzrechtlicher Anforderungen nicht nur konzipiert wurde; es muss künftig auch bewiesen werden, dass diese Umsetzung funktioniert! Hierfür müssen Auftraggeber auch im Rahmen der AV Sorge tragen.



Quelle
activeMind AG Management- und TechnologieberatungPotsdamer Straße 380802 München