Close
Keine Auftragsverarbeitung ohne AV-Vertrag!

Jana Zeidler
Rechtsanwältin

Datenschutz
|

Keine Auftragsverarbeitung ohne AV-Vertrag!

Die Einbindung Externer in die Verarbeitung von (personenbezogenen) Daten ist und war auch schon vor Inkrafttreten der DS-GVO für eine Vielzahl von Unternehmen relevant, beispielsweise durch Einschaltung externer Personalagenturen, Beauftragung eines Lettershops für den Versand von Mailings, der Verarbeitung von Kundendaten durch ein Call-Center oder der Datenträgervernichtung durch einen Dienstleister.

Mit Geltung der DS-GVO sind Auftragsverarbeiter, also die Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten, zukünftig von deutlich mehr Pflichten betroffen. So müssen Auftragsverarbeiter fortan ebenfalls ein Verzeichnis von Verarbeitungstätigkeiten für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten führen und dieses auf Anfrage der Aufsichtsbehörde zur Verfügung stellen. Bei Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten sind Auftragsverarbeiter verpflichtet, diese unverzüglich an den Verantwortlichen zu melden. Verletzt der Auftragsverarbeiter die ihm in der DS-GVO auferlegten Pflichten oder lässt er Anweisungen des Verantwortlichen außer Acht, kann der Auftragsverarbeiter vom Betroffenen zudem direkt in die Haftung genommen werden.

Der Verantwortliche kann sich durch die Beauftragung von Auftragsverarbeitern nicht seiner Gesamtverantwortung entledigen (Art. 24 DS-GVO). Daher muss jedes Unternehmen vor Beauftragung des Auftragsverarbeiters prüfen, ob dieser in der Lage ist, durch geeignete technische und organisatorische Maßnahmen eine DS-GVO konforme Datenverarbeitung und den Schutz von Betroffenenrechten zu gewährleisten (beispielsweise durch Zertifizierungen). Über die weisungsgebundene Tätigkeit ist ein Vertrag (schriftlich oder in elektronischer Form) – zwischen dem Verantwortlichen und dem Auftragsverarbeiter zu schließen. Dieser Vertrag muss u.a. neben Regelungen zur Sicherheit der Verarbeitung und zur Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit auch eine Regelung zum etwaigen Einsatz von Subunternehmen enthalten (Art. 28 Abs. 3 DS-GVO).

Praxistipp:

In ihrem eigenen Interesse sollten Verantwortliche prüfen, ob jeder bestehende AV-Vertrag das künftige Datenschutzrecht bereits berücksichtigt, insbesondere ob eine klare und präzise Darstellung der erforderlichen Maßnahmen zur Sicherheit der Verarbeitung enthalten ist. Da Anpassungen bzw. Ergänzungsvereinbarungen häufig notwendig sein dürften und der Stichtag 25.05.2018 immer näher rückt, sollte diese Thematik – sofern noch nicht geschehen – schnellstmöglich angegangen werden.

2018.05.04-Keine-Auftragsvereinbarung-ohne-AV-Vertrag.pdf (100 Downloads)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Close