INFORMATIONEN

Datenverarbeitungsvertrag – Praktische Einblicke

Wer als verantwortliche Stelle im Sinne der Datenschutzgesetzgebung einen Dienstleister mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss dies auf vertraglicher Basis tun.

Die EU-Datenschutzgrundverordnung, die im Mai 2018 in Kraft getreten ist, umfasst das Thema Auftragsdatenverarbeitung und ergänzt und verändert die bestehende Rechtslage. Die Voraussetzungen für eine Datenverarbeitungsvereinbarung finden Sie unten aufgeführt.

Nach der alten und neuen Rechtslage ist der Datenverarbeitungsvertrag

In Artikel 28 werden sowohl der Datenverarbeiter als auch der Verantwortliche für die Daten genannt. Nach wie vor ist ein Vertrag zwischen den beiden Parteien erforderlich, der nicht nur wie bisher in schriftlicher Form, sondern auch in elektronischer Form geschlossen werden kann.

Darüber hinaus darf der Auftragsverarbeiter wie bisher nur auf Anweisung des für die Daten Verantwortlichen tätig werden. Die EU-Datenschutzgrundverordnung erlaubt es, die Datenverarbeitung an einen Dienstleister außerhalb der EU auszulagern. Im Gegensatz zur bisherigen Rechtslage ist der Auftragsverarbeiter künftig verpflichtet, die Datenverarbeitungsvorgänge selbst nachzuvollziehen.

Detaillierte Anforderungen an das Datenverarbeitungsabkommen

Die Vereinbarung über die Datenverarbeitung muss folgende Angaben enthalten:

  • Über den Gegenstand der Bearbeitung und die Dauer der Bearbeitung.
  • In Bezug auf die Art und den Zweck der Verarbeitung.
  • Die verschiedenen Arten von personenbezogenen Daten und die betroffenen Personen.
  • In Bezug auf die Weisungsbefugnis und deren Umfang.
  • Bezüglich der Vertraulichkeitsverpflichtungen der zur Verarbeitung befugten Personen.
  • um sicherzustellen, dass technische und organisatorische Garantien für den Datenschutz vorhanden sind.
  • Auf die Frage, ob Unterauftragnehmer beteiligt werden dürfen, lautet die Antwort: Ja.
  • Unterstützung und Erweiterung der Fähigkeiten der Person, die für die Bearbeitung von Fragen und Ansprüchen der Betroffenen zuständig ist.
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Meldepflichten bei Datenschutzverletzungen.
  • Rückgabe oder Löschung der personenbezogenen Daten gemäß den Anweisungen, wenn die Datenverarbeitung abgeschlossen ist.
  • Über die Kontrollbefugnisse des Bearbeiters und das Duldungsbedürfnis des Verarbeiters.
  • Verstößt eine Anweisung gegen das Datenschutzrecht, muss der Auftragsverarbeiter die Person, die die Daten eingegeben hat, darüber informieren.
  • Der Datenverarbeitungsvertrag enthält eine Aufteilung der Verantwortung und der Verpflichtungen.

    Im Gegensatz zur bisherigen Rechtslage haften nach der neuen Rechtslage der Auftragsverarbeiter und der Verantwortliche für die Daten gemeinsam für Verstöße gegen die Datenschutzbestimmungen.

    Die Haftung des Auftragsverarbeiters hingegen beschränkt sich auf mögliche Verstöße des Verantwortlichen gegen die Anweisungen des Datenverwalters. Beide Seiten haben die Möglichkeit, sich zu entlasten. Wenn Betroffene Datenschutzverletzungen beanstanden und angreifen, bleibt der Datenverantwortliche der erste Ansprechpartner.

    Änderungen an laufenden Verträgen so schnell wie möglich vornehmen

    Unternehmen sollten jetzt handeln und sich von einer glaubwürdigen Quelle über die Besonderheiten der neuen Datenverarbeitungsstandards informieren. So können frühzeitig Anpassungen an bestehenden Verträgen vorgenommen und neue Verträge an die seit Mai 2018 geltende Rechtslage angepasst werden.

    Denken Sie in diesem Zusammenhang an die hohen Geldbußen, die durch die EU-Datenschutzgrundverordnung für Verstöße gegen die Datenschutzvorschriften verhängt werden.