Auftragsverarbeitung und die DSGVO

Lesezeit: ca. 2 Minuten

Wenn eine Verarbeitung von personenbezogenen Daten im Auftrag eines Verantwortlichen stattfindet, ist dies gemäß Art. 28 DS-GVO nur zulässig, wenn geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten vom Auftragsverarbeiter ergriffen werden. Das Gesetz erwartet eine schriftliche Vereinbarung, sprich einen Vertrag zur Auftragsverarbeitung.

In Art. 28 Abs. 3 sind darüber hinaus verschiedene Pflichten definiert. Die wiederholt zitierte Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO greift ebenfalls. Eine Weitergabe personenbezogener Daten an einen Auftragsverarbeiter und eine Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ist rechtlich nur zulässig und legal, wenn eine ausreichende Vereinbarung zur Auftragsvereinbarung abgeschlossen wurde.

Mit anderen Worten: Eine unzureichende vertragliche Grundlage führt zu einer illegalen Datenverarbeitung.

Dies ist für Auftragsverarbeiter, beispielsweise Rechenzentren oder Hoster, ein neues Risiko. Betroffene können Rechte sowohl gegen den Verantwortlichen als auch gegen den Auftragsverarbeiter geltend machen, beispielsweise Schmerzensgeldansprüche.

Daneben ist aufgrund der eigenen Verantwortung des Auftragsverarbeiters dieser auch im Fokus der Bußgeldvorschriften.

Die bayrische Landesdatenschutzaufsicht hat eine Formulierungshilfe für die Auftragsverarbeitung herausgegeben. Diese Formulierung dokumentiert die Anforderungen der Aufsichtsbehörden an einen rechtskonformen Auftragsverarbeitungsvertrag.

Dabei sind drei Aspekte besonders auffällig:

  • In dem Muster-Dokument wird erwartet, dass eine auf die individuelle Situation abgestimmte Risiko-Bewertung Grundlage von datenschutzrechtlichen Maßnahmen ist. Die Aufsichtsbehörde erwartet offensichtlich eine individualisierte Betrachtung der jeweiligen Verarbeitungsvorgänge. Dies ist bisher in der Praxis nicht häufig so umgesetzt worden.
  • Es wird erwartet, dass der Auftragnehmer ein Datenschutzkonzept vorlegt. Dieses soll Anlage zum Vertrag zur Auftragsverarbeitung werden.
  • Der Auftragsverarbeiter soll die Einhaltung der gesetzlich geforderten Maßnahmen nachweisen. Die Aufsichtsbehörde erwartet eine mindestens einmal jährlich vorzunehmende Auditierung. Der Auftraggeber soll den vollständigen Auditbericht erhalten. Nur so kann überwacht werden, ob der Auftragsverarbeiter seine gesetzlichen Verpflichtungen einhält.Es ist aktuell zu beobachten, dass die wenigsten Auftragsverarbeiter über eine individualisierte Risikobewertung, ein Datenschutzkonzept und eine regelmäßige Auditierung verfügen. Insoweit muss sich ein Auftraggeber und Verantwortlicher darauf einstellen, dass entsprechende Anforderungen nur mühsam durchgesetzt werden können.
 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen