Rz. 19
Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten. In diesem Vertrag oder in dem anderen Rechtsinstrument müssen Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sein (Art. 28 Abs. 3 Satz 1 DSGVO).
Rz. 20
Die DSGVO enthält keine Definition von "einem anderen Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten". Auch der deutsche Gesetzgeber hat keine Definition oder entsprechende Regelungen in Bezug auf Art. 28 DSGVO getroffen (vgl. DSAnpUG-EU), so dass im Ergebnis "andere Rechtsinstrumente" in der Bundesrepublik derzeit nicht bestehen.
2.3.2.1 Vertragsgestaltung
Rz. 21
Der Verantwortliche und der Auftragsverarbeiter können laut EG 81 DSGVO entscheiden, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden.
Rz. 22
Mit Kommission ist die Europäische Kommission gemeint. Die Europäische Kommission ist die politisch unabhängige Exekutive der Europäischen Union (EU). Sie ist allein zuständig für die Erarbeitung von Vorschlägen für neue europäische Rechtsvorschriften und setzt die Beschlüsse des Europäischen Parlaments und des Rates der EU um. Gemeinsam mit dem Gerichtshof wacht die Kommission über die ordnungsgemäße Anwendung des EU-Rechts in allen Mitgliedstaaten (europa.eu). Die Beschlüsse der Kommission sind verbindliche Rechtsakte, die für ein oder mehrere EU-Länder, Unternehmen oder Einzelpersonen gelten. Sie werden gemeinsam gefasst. Die betroffenen Parteien müssen davon in Kenntnis gesetzt werden, und der Beschluss wird durch diese Bekanntgabe wirksam.
Beschlüsse müssen daher nicht in nationales Recht umgesetzt werden.
Die Kommission kann nach Art. 28 Abs. 7 DSGVO im Einklang mit dem Prüfverfahren gemäß Art. 93 Abs. 2 DSGVO Standardvertragsklauseln zur Regelung der in Art. 28 Abs. 3 und 4 DSGVO genannten Anforderungen festlegen.
Rz. 23
Unter Kohärenzverfahren wird ein "Verfahren zur Gewährleistung einer einheitlichen Rechtsanwendung" für die Zusammenarbeit zwischen den Aufsichtsbehörden verstanden, mit dem Ziel die einheitliche Anwendung dieser Verordnung in der gesamten Union sicherzustellen (EG 135 DSGVO), insbesondere wenn eine Aufsichtsbehörde beabsichtigt, eine Maßnahme zu erlassen, die rechtliche Wirkungen in Bezug auf Verarbeitungsvorgänge entfalten soll, die für eine bedeutende Zahl betroffener Personen in mehreren Mitgliedstaaten erhebliche Auswirkungen haben.
Das Kohärenzverfahren wird in Art. 63 ff. DSGVO beschrieben.
Im Einklang mit diesem Kohärenzverfahren kann eine Aufsichtsbehörde Standardvertragsklauseln zur Regelung der in Art. 28 Abs. 3 und 4 DSGVO genannten Anforderungen festlegen (Art. 28 Abs. 8 DSGVO).
Rz. 24
Der Vertrag ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 9 DSGVO).
2.3.2.2 Inhalt des Vertrages
Rz. 25
Der Vertrag hat nach Art. 28 Abs. 3 Satz 2 DSGVO insbesondere vorzusehen, dass der Auftragsverarbeiter
- Buchst. a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
- Buchst. b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
- Buchst. c) alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen ergreift (vgl. die Komm. zu § 35 SGB I, Sicherheit der Verarbeitung);
- Buchst. d) die in den Abs. 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält (vgl. Rz. 13 bis 18);
- Buchst. e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen (vgl. die Komm. zu §§ 83 und 84);
- Buchst. f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten unterstützt (zu den Pflichten nach Art. 33 und 34 DSGVO vgl. die Komm. zu § 83a und zu Art. 32, 35 u...