Wer als verantwortliche Stelle im Sinne der Datenschutzgesetzgebung einen Dienstleister mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss dies auf vertraglicher Basis tun.
Die EU-Datenschutzgrundverordnung, die im Mai 2018 in Kraft getreten ist, umfasst das Thema Auftragsdatenverarbeitung und ergänzt und verändert die bestehende Rechtslage. Die Voraussetzungen für eine Datenverarbeitungsvereinbarung finden Sie unten aufgeführt.
Nach der alten und neuen Rechtslage ist der Datenverarbeitungsvertrag
In Artikel 28 werden sowohl der Datenverarbeiter als auch der Verantwortliche für die Daten genannt. Nach wie vor ist ein Vertrag zwischen den beiden Parteien erforderlich, der nicht nur wie bisher in schriftlicher Form, sondern auch in elektronischer Form geschlossen werden kann.
Darüber hinaus darf der Auftragsverarbeiter wie bisher nur auf Anweisung des für die Daten Verantwortlichen tätig werden. Die EU-Datenschutzgrundverordnung erlaubt es, die Datenverarbeitung an einen Dienstleister außerhalb der EU auszulagern. Im Gegensatz zur bisherigen Rechtslage ist der Auftragsverarbeiter künftig verpflichtet, die Datenverarbeitungsvorgänge selbst nachzuvollziehen.
Detaillierte Anforderungen an das Datenverarbeitungsabkommen
Die Vereinbarung über die Datenverarbeitung muss folgende Angaben enthalten:
Der Datenverarbeitungsvertrag enthält eine Aufteilung der Verantwortung und der Verpflichtungen.
Im Gegensatz zur bisherigen Rechtslage haften nach der neuen Rechtslage der Auftragsverarbeiter und der Verantwortliche für die Daten gemeinsam für Verstöße gegen die Datenschutzbestimmungen.
Die Haftung des Auftragsverarbeiters hingegen beschränkt sich auf mögliche Verstöße des Verantwortlichen gegen die Anweisungen des Datenverwalters. Beide Seiten haben die Möglichkeit, sich zu entlasten. Wenn Betroffene Datenschutzverletzungen beanstanden und angreifen, bleibt der Datenverantwortliche der erste Ansprechpartner.
Änderungen an laufenden Verträgen so schnell wie möglich vornehmen
Unternehmen sollten jetzt handeln und sich von einer glaubwürdigen Quelle über die Besonderheiten der neuen Datenverarbeitungsstandards informieren. So können frühzeitig Anpassungen an bestehenden Verträgen vorgenommen und neue Verträge an die seit Mai 2018 geltende Rechtslage angepasst werden.
Denken Sie in diesem Zusammenhang an die hohen Geldbußen, die durch die EU-Datenschutzgrundverordnung für Verstöße gegen die Datenschutzvorschriften verhängt werden.