Sie befinden sich hier:

Was ist bezüglich des Inhalts eines Vertrages zur Auftragsverarbeitung zu beachten?

Art. 28 Abs. 3 DSGVO bestimmt den Mindestinhalt, den der Vertrag über die Auftragsverarbeitung regeln muss.

In der Verarbeitungsvereinbarung sollten nicht einfach die Bestimmungen der DSGVO wiederholt werden: vielmehr sollte sie spezifischere, konkrete Angaben dazu enthalten, wie die Vorgaben eingehalten werden und welches Sicherheitsniveau für die Verarbeitung personenbezogener Daten, die Gegenstand der Verarbeitungsvereinbarung ist, erforderlich ist.

Erforderlich ist eine genaue Beschreibung der geschuldeten Tätigkeit des Dienstleisters. Die Beschreibung der Verarbeitung sollte so ausführlich sein, dass sie für einen sachkundigen Dritter (z. B. die Aufsichtsbehörde) hinreichend klar erkennbar ist.

Es müssen deshalb Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen und die Rechte und Pflichten des Verantwortlichen vertraglich festgelegt sein. Im Einzelnen sind insbesondere folgende Punkte zu regeln:

  • ­Der Gegenstand (Hauptzweck) der Verarbeitung muss klar bestimmt sein.
  • ­Die Dauer der Vertragslaufzeit ist eindeutig festzulegen. Ein Vertrag kann auch auf unbestimmte Dauer geschlossen werden. Es muss die Möglichkeit der Vertragsbeendigung bestehen.
  • ­Die Art und der Zweck der Verarbeitung sind so umfassend wie möglich festzulegen, damit externe Parteien (z. B. Aufsichtsbehörden) den Inhalt und die Risiken der dem Auftragsverarbeiter anvertrauten Verarbeitung verstehen können. Der Verarbeiter darf keinen Spielraum hinsichtlich des Zwecks der Datenverarbeitung haben. Auf diese Weise wird die Zweckbindung der Daten auch bei der Auftragsverarbeitung sichergestellt.
  • ­Es muss klar bestimmt sein, welche Arten personenbezogener Daten verarbeitet werden. Dies dient auch zur Bestimmung des erforderlichen Schutzniveaus, insbesondere bei der Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z. B. religiöse Überzeugungen, sexuelle Orientierung).
  • ­Die Kategorien der betroffenen Personen (z. B. – je nach Verarbeitung – Kinder, Jugendliche, Beschäftigte, Lieferanten) müssen ebenfalls beschrieben werden. Auch dies kann sich auf das anzusetzende Datenschutzniveau auswirken.
  • ­Die Rechte und Pflichten von Verantwortlichem und Auftragsverarbeiter sind festzulegen. Zu den Pflichten des Verantwortlichen gehören beispielsweise seine Pflicht, dem Auftragsverarbeiter die im Vertrag genannten Daten zur Verfügung zu stellen, Weisungen im Zusammenhang mit der Verarbeitung der Daten durch den Auftragsverarbeiter zu erteilen und zu dokumentieren, um vor und während der gesamten Verarbeitung sicherzustellen, dass der Auftragsverarbeiter seinen in der DSGVO festgelegten Pflichten nachkommt, die Verarbeitung zu überwachen, unter anderem durch Audits und Inspektionen beim Auftragsverarbeiter.

Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich darüber informieren, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt (Hinweispflicht - Art. 28 Abs. 3 Satz 3 DSGVO).

Grundsätzlich ist der Auftragsverarbeiter verpflichtet, die Weisungen des Verantwortlichen zu befolgen, andererseits ist er aber auch allgemein gehalten, sich an das Gesetz zu halten. Eine Weisung, die gegen das Datenschutzrecht verstößt, führt scheinbar zu einem Konflikt zwischen den beiden genannten Verpflichtungen.

Sobald der Verantwortliche darüber informiert ist, dass eine seiner Weisungen möglicherweise gegen das Datenschutzrecht verstößt, muss er die Situation prüfen und feststellen, ob die Weisung tatsächlich gegen das Datenschutzrecht verstößt.

 

nach oben