Dr. Stefan Drewes, Sebastian Wilfling
a) Inhaltliche Vorgaben
Rz. 56
Der Inhalt eines Vertrags zur Auftragsverarbeitung ist nach Art. 28 Abs. 3 DSGVO vorgegeben. Durch den Vertrag muss sichergestellt werden, dass der Dienstleister die personenbezogenen Daten ausschließlich nach Weisung des Auftraggebers verarbeitet, die IT-Sicherheit gewährleistet und den Auftraggeber bei der Umsetzung seiner Verpflichtungen aus der DSGVO unterstützt.
Rz. 57
Die Einbeziehung von weiteren Dienstleistern (Subdienstleister) durch den Auftragsverarbeiter ist nur mit Zustimmung des Verantwortlichen zulässig. Diese Zustimmung wird – sofern vertraglich vorgesehen – fingiert, sofern der Auftragsverarbeiter den Verantwortlichen über die Einbeziehung eines weiteren Dienstleisters informiert und innerhalb einer vertraglich vorgesehenen Frist kein Widerspruch erfolgt. Der primäre Dienstleister haftet gegenüber dem Auftraggeber für jegliches Fehlverhalten der von ihm in die Leistungserbringung einbezogenen weiteren Auftragsverarbeiter.
Rz. 58
Nach der DSGVO muss weiterhin seitens des Auftraggebers ein eigenes Kontrollrecht hinsichtlich der Einhaltung der Vorgaben des AV-Vertrags beim Dienstleister bestehen. Der Dienstleister kann zwar entsprechende Zertifikate für die Einhaltung der Datenschutzanforderungen bereitstellen, wodurch aber das Kontrollrecht des Auftraggebers vor Ort nicht ausgeschlossen werden kann. Dieses Kontrollrecht für den Auftraggeber muss grundsätzlich auch beim Subdienstleister bestehen. Der Dienstleister muss sich daher ein entsprechendes Kontrollrecht auch für seine Kunden bei einbezogenen weiteren Dienstleistern ausbedingen.
Rz. 59
Die Pflicht zur Unterstützung des Auftraggebers durch den Dienstleister bei der Umsetzung von datenschutzrechtlichen Vorgaben muss ebenfalls vertraglich geregelt werden. Diese betrifft insbesondere den Verdacht eines Datenverlustes mit der sich daraus ergebenden Pflicht zur Information der Aufsichtsbehörde bzw. der Betroffenen.
Rz. 60
Die IT-Sicherheitsmaßnahmen des Auftragsverarbeiters müssen so ausgestaltet sein, dass sie im Hinblick auf die mit der Datenverarbeitung verbundenen Risiken für den Betroffenen angemessen sind. Dementsprechend ist zunächst eine Bewertung der vertraglich vereinbarten Datenverarbeitung hinsichtlich der mit ihr verbundenen Auswirkungen auf die Rechte und Freiheiten der Betroffenen erforderlich. Auf dieser Basis erfolgt eine entsprechende Zuordnung zu einer Schutzstufe, um auf dieser Basis den Umfang der IT-Sicherheitsmaßnahmen festzulegen. Zudem muss der Auftragsverarbeiter die allgemeinen Vorgaben von Art. 32 DSGVO beachten und entsprechende Maßnahmen zur IT-Sicherheit nach dem Stand der Technik vorsehen. Im Vertrag zur Auftragsverarbeitung – regelmäßig als Anlage – sind die so ermittelten technischen und organisatorischen Maßnahmen zur Gewährleistung der IT-Sicherheit zu vereinbaren. Dies erleichtert auch eine Überprüfung der Umsetzung von IT-Sicherheitsmaßnahmen durch den Auftraggeber im Rahmen eines Audits.
Rz. 61
Sofern Dienstleister mit Sitz außerhalb der EU/des EWR beauftragt werden, sind die besonderen Voraussetzungen des 5. Kapitels der DSGVO zu beachten. Siehe hierzu Rdn 138 ff.
b) Prüfung und Überwachung des Auftragnehmers
Rz. 62
Mit dem Abschluss des AV-Vertrages sind die Pflichten von Auftraggeber und Auftragnehmer nicht beendet. Aus dem AV-Vertrag resultieren für beide Beteiligten weitere Pflichten.
Rz. 63
Spätestens zu Beginn der Datenverarbeitung sollte sich der Auftraggeber im Rahmen seiner Rechenschaftspflichten nach Art. 24 DSGVO vom Auftragsverarbeiter bestätigen lassen, dass die vertraglich vereinbarten technischen und organisatorischen Maßnahmen zur Gewährleistung der IT-Sicherheit auch eingehalten werden. Diese Bestätigung sollte durch eine unabhängige Person, etwa den IT-Sicherheitsbeauftragten oder den Datenschutzbeauftragten des Auftragnehmers, erfolgen. Darüber hinaus ist im Rahmen der Rechenschaftspflicht vorzusehen, dass entsprechende Prüfungen beim Dienstleister stattfinden. Dies kann – abhängig von der Kritikalität der Datenverarbeitung – durch eine schriftliche Auskunft des Dienstleisters oder aber durch Vor-Ort-Kontrollen erfolgen. Dienstleister dürfen für eine entsprechende Unterstützung bei Durchführung der Kontrollen kein gesondertes Entgelt verlangen.
Rz. 64
Die Erteilung von konkreten Weisungen zur Verarbeitung der personenbezogenen Daten durch den Auftraggeber ist nicht nur bei Vertragsabschluss, sondern auch im Rahmen der Vertragsdurchführung wichtig. Der Auftragsverarbeiter muss wissen, welche Daten für welchen Zweck er verarbeiten soll. Dies ist insbesondere für die Haftung des Dienstleisters relevant. Der Auftragsverarbeiter ist datenschutzrechtlich im Innenverhältnis gegenüber dem Auftraggeber nicht verantwortlich, solange er die Datenverarbeitung gemäß den Weisungen des Auftraggebers durchführt. In diesem Fall verble...