Auftragsverarbeitung (ADV-Vertrag) ist nicht erst seit der DS-GVO und einer allgegenwärtigen arbeitsteiligen Gesellschaft in aller Munde. Sie ist aus der Unternehmenspraxis und der Praxis von öffentlichen Stellen nicht mehr wegzudenken. Dafür ist es oftmals aber erstaunlich, wie viele Unternehmen diese Regelungen nicht ordnungsgemäß umsetzen.
Nach Art. 28 der Datenschutz-Grundverordnung (DS-GVO) ist der Auftragnehmer, der personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, sorgfältig auszuwählen. Es dürfen nur Dienstleister („Auftragsverarbeiter“) ausgewählt werden, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Die Verarbeitung durch einen Auftragsverarbeiter erfolgt grundsätzlich auf der Grundlage eines Vertrags. Dieser muss zwingend die folgenden Inhalte regeln:
1. Sind Gegenstand und Dauer des Auftrages geregelt?
Der Auftrag der Verarbeitung muss verständlich bezeichnet werden. Auch wenn nicht einzelne Verarbeitungsschritte benannt werden müssen, so muss deutlich gemacht sein, welchen Umfang die Arbeiten haben, die vom Auftragnehmer zu erledigen sind.
2. Sind Umfang, Art und Zweck der Datenverarbeitung geregelt?
Im Auftragsverarbeitungsvertrag sind konkrete Weisungen im Hinblick auf die Verarbeitung im konkreten Fall zu treffen, die nach Möglichkeit auch die einzelnen Verarbeitungsschritte betreffen. Die Möglichkeiten, insbesondere aber auch die Grenzen der Datenverarbeitung durch den Auftragnehmer müssen den Regelungen entnommen werden können.
Der Zweck der Verarbeitung der Daten ist im Vertrag zu benennen. Auch die Datenarten sind zu benennen, im Falle der Verarbeitung besonderer Arten personenbezogener Daten ist ggf. eine namentliche Nennung der betreffenden Datenarten sinnvoll.
Der Kreis der Betroffenen ist so konkret wie möglich zu fassen.
3. Sind die nach Art. 32 DS-GVO zu treffenden technischen und organisatorischen Maßnahmen geregelt?
Der Auftragsverarbeitungsvertrag sollte konkrete Regelungen beinhalten, welche technischen und organisatorischen Maßnahmen vom Auftragnehmer bei der Durchführung des Auftrages eingehalten werden oder zumindest welche Mindestkriterien einzuhalten sind.
4. Ist das Weisungsrecht (insbesondere das Recht zu ergänzenden Weisungen) im Vertrag geregelt?
Aus dem Vertrag muss sich ergeben, ob die getroffenen Regelungen abschließenden Charakter haben, oder – was zwingend erforderlich sein kann, zumindest aber geboten ist – ergänzende Weisungen des Auftraggebers möglich sind. Auch das „Wie“ der ergänzenden Weisungen ist zu regeln (Wer kann weisen? Wie (z.B. Form) sind Weisungen zu erteilen?)
5. Sind Regelungen zu den Vertraulichkeitspflichten von Beschäftigten des Auftragnehmers im Vertrag enthalten?
Unabhängig davon, dass für den Auftragnehmer schon regelmäßig selbst die Vorgaben der DS-GVO gelten, sind im Vertrag noch einmal gesondert bestimmte Anforderungen zur Wahrung der Vertraulichkeit zu regeln. Dies ergibt sich zudem aus Art. 28 Abs. 3 lit. b) DS-GVO.
6. Sind Regelungen zu Unterauftragsverhältnissen im Vertrag enthalten?
Das Ob und Wie einer Beauftragung von Unterauftragnehmern durch den Auftragnehmer bei der Verarbeitung von Daten für den Auftraggeber ist vertraglich zu regeln.
7. Gibt es Regelungen zur Unterstützung des Auftraggebers bei der Geltendmachung von Rechten von betroffenen Personen?
Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten zu unterstützen. Diese Pflichten sollten im Auftragsverarbeitungsvertrag geregelt sein.
8. Gibt es Regelungen zur Unterstützung des Auftraggebers bei der Einhaltung seiner Pflichten aus den Art. 32 – 36 DS-GVO?
Der Auftragnehmer ist verpflichtet, den Auftraggeber dabei zu unterstützen, dass dieser seinen Pflichten aus Art. 32 – 36 DS-GVO nachkommen kann. Diese Pflichten sollten im Auftragsverarbeitungsvertrag geregelt oder benannt sein.
9. Gibt es Regelungen zu Kontrollrechten des Auftraggebers und entsprechenden Duldungspflichten des Auftragnehmers?
Um eine wirksame Kontrolle des Auftragnehmers vornehmen zu können, müssen Kontrollrechte vertraglich vereinbart werden. Damit einhergehen entsprechende Duldungspflichten des Auftragnehmers, die z.B. den Zugang zu Geschäftsräumen etc. beinhalten.
10. Gibt es Regelungen zu Informationspflichten des Auftragnehmers bei Verstößen gegen Datenschutzvorschriften oder Pflichten gegenüber dem Auftraggeber?
Insbesondere, damit der Auftraggeber seinen etwaigen Pflichten nach Art. 33, 34 DS-GVO nachkommen kann, müssen entsprechende Informationspflichten des Auftragnehmers bei Unregelmäßigkeiten bzw. Verstößen gegen Rechtsvorschriften oder vertragliche Pflichten gegenüber dem Auftraggeber geregelt sein.
11. Gibt es Regelungen zur Rückgabe bzw. Löschung von Daten nach Auftragsbeendigung?
Es muss gewährleistet sein, dass nach Beendigung des Auftrags keine personenbezogenen Daten mehr beim Auftragnehmer verbleiben, soweit keine gesetzlichen Aufbewahrungspflichten des Auftragnehmers bestehen. Hierzu bedarf es entsprechender Regelungen.
Wir helfen Ihnen gerne weiter und kümmern uns um die Problematiken im Datenschutz. Kontaktieren Sie uns über den Punkt „Kontakte“ teilen Sie uns Ihre Wünsche mit und vereinbaren Sie ggf. gleich einen Termin mit uns!
Comentários