Dr. Stefan Drewes, Sebastian Wilfling
Rz. 56
Der Inhalt eines Vertrags zur Auftragsverarbeitung ist nach Art. 28 Abs. 3 DSGVO vorgegeben. Durch den Vertrag muss sichergestellt werden, dass der Dienstleister die personenbezogenen Daten ausschließlich nach Weisung des Auftraggebers verarbeitet, die IT-Sicherheit gewährleistet und den Auftraggeber bei der Umsetzung seiner Verpflichtungen aus der DSGVO unterstützt.
Rz. 57
Die Einbeziehung von weiteren Dienstleistern (Subdienstleister) durch den Auftragsverarbeiter ist nur mit Zustimmung des Verantwortlichen zulässig. Diese Zustimmung wird – sofern vertraglich vorgesehen – fingiert, sofern der Auftragsverarbeiter den Verantwortlichen über die Einbeziehung eines weiteren Dienstleisters informiert und innerhalb einer vertraglich vorgesehenen Frist kein Widerspruch erfolgt. Der primäre Dienstleister haftet gegenüber dem Auftraggeber für jegliches Fehlverhalten der von ihm in die Leistungserbringung einbezogenen weiteren Auftragsverarbeiter.
Rz. 58
Nach der DSGVO muss weiterhin seitens des Auftraggebers ein eigenes Kontrollrecht hinsichtlich der Einhaltung der Vorgaben des AV-Vertrags beim Dienstleister bestehen. Der Dienstleister kann zwar entsprechende Zertifikate für die Einhaltung der Datenschutzanforderungen bereitstellen, wodurch aber das Kontrollrecht des Auftraggebers vor Ort nicht ausgeschlossen werden kann. Dieses Kontrollrecht für den Auftraggeber muss grundsätzlich auch beim Subdienstleister bestehen. Der Dienstleister muss sich daher ein entsprechendes Kontrollrecht auch für seine Kunden bei einbezogenen weiteren Dienstleistern ausbedingen.
Rz. 59
Die Pflicht zur Unterstützung des Auftraggebers durch den Dienstleister bei der Umsetzung von datenschutzrechtlichen Vorgaben muss ebenfalls vertraglich geregelt werden. Diese betrifft insbesondere den Verdacht eines Datenverlustes mit der sich daraus ergebenden Pflicht zur Information der Aufsichtsbehörde bzw. der Betroffenen.
Rz. 60
Die IT-Sicherheitsmaßnahmen des Auftragsverarbeiters müssen so ausgestaltet sein, dass sie im Hinblick auf die mit der Datenverarbeitung verbundenen Risiken für den Betroffenen angemessen sind. Dementsprechend ist zunächst eine Bewertung der vertraglich vereinbarten Datenverarbeitung hinsichtlich der mit ihr verbundenen Auswirkungen auf die Rechte und Freiheiten der Betroffenen erforderlich. Auf dieser Basis erfolgt eine entsprechende Zuordnung zu einer Schutzstufe, um auf dieser Basis den Umfang der IT-Sicherheitsmaßnahmen festzulegen. Zudem muss der Auftragsverarbeiter die allgemeinen Vorgaben von Art. 32 DSGVO beachten und entsprechende Maßnahmen zur IT-Sicherheit nach dem Stand der Technik vorsehen. Im Vertrag zur Auftragsverarbeitung – regelmäßig als Anlage – sind die so ermittelten technischen und organisatorischen Maßnahmen zur Gewährleistung der IT-Sicherheit zu vereinbaren. Dies erleichtert auch eine Überprüfung der Umsetzung von IT-Sicherheitsmaßnahmen durch den Auftraggeber im Rahmen eines Audits.
Rz. 61
Sofern Dienstleister mit Sitz außerhalb der EU/des EWR beauftragt werden, sind die besonderen Voraussetzungen des 5. Kapitels der DSGVO zu beachten. Siehe hierzu Rdn 138 ff.