Dr. Stefan Drewes, Sebastian Wilfling
 

Rz. 67

Dieser Vertragsentwurf basiert auf einer Vorlage, die der Europäische Datenschutzausschuss (EDSA) gebilligt hat (siehe die Stellungnahme, abrufbar unter https://edpb.europa.eu/our-work-tools/our-documents/stanovisko-vyboru-cl-64/opinion-142019-draft-standard-contractual_en, sowie die Vorlage, abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file2/dk_sa_standard_contractual_clauses_january_2020_en.pdf). Eine weitergehende Verwendung von Dokumenten, veröffentlicht auf der Homepage des EDSA, ist bei Beachtung der Nutzungsbedingungen zulässig, vgl. https://edpb.europa.eu/about-edpb/legal-notices/copyright_de.

Zu 1 Präambel Ziff. 3:

Der Verantwortliche muss hier bestimmen, wo die erforderlichen Festlegungen zum Umfang der Datenverarbeitung (Gegenstand, Zweck, Art der Daten und Dauer) getroffen werden: in der Leistungsvereinbarung oder nach den Festlegungen in Anhang A.
Zu 5 Sicherheit der Datenverarbeitung: Siehe dazu Rdn 71 ff.

Zu 9 Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten Ziff. 1:

Der Verantwortliche muss auch einen beim Auftragsverarbeiter eingetretenen Datenverlust innerhalb von 72 Stunden der Aufsichtsbehörde melden, sofern der Verlust zu einem Risiko für die Betroffenen führt. Daher muss der Dienstleister rechtzeitig einen Verdacht auf einen Datenverlust an den Verantwortlichen melden. Zu Einzelheiten siehe Rdn 76 ff.

Zu B.1 Bedingungen für den Einsatz von Unterauftragsverarbeitern durch den Auftragsverarbeiter:

Die Variante 1 ist zu wählen, wenn der Verantwortliche maßgeblichen Einfluss auf die Auswahl der Unterauftragsverarbeiter nehmen will.
Die Variante 2 ist in der Praxis üblich, da sie dem Auftragsverarbeiter hinreichenden Spielraum bei der Einbeziehung der Unterauftragsverarbeiter eröffnet und gleichzeitig dem Verantwortlichen eine Einflussnahme sichert.
Die Variante 3 ist in der Praxis eher unüblich, da kaum ein Dienstleister ohne Einbeziehung von Unterauftragsverarbeiter die geschuldeten Datenverarbeitungen erbringen kann.

Zu B.2 Zugelassene Unterauftragsverarbeiter:

Sofern zu Beginn der Datenverarbeitung bekannt ist, welche Unterauftragsverarbeiter einbezogen werden, sind diese hier anzuführen.

Zu C.3 Technische und organisatorische Sicherheitsmaßnahmen des Auftragsverarbeiters:

Das Verfahren zur Auswahl der geeigneten IT-Sicherheitsmaßnahmen unter Berücksichtigung der Datenverarbeitung beschreibt die Aufsichtsbehörde Niedersachen: https://lfd.niedersachsen.de/download/140223/Prozess_zur_Auswahl_angemessener_Sicherungsmassnahmen_ZAWAS_.pdf
Eine Übersicht zu IT-Sicherheitsmaßnahmen hat das Landesamt für Datenschutzaufsicht Bayern veröffentlicht: https://www.lda.bayern.de/media/checkliste/baylda_checkliste_tom.pdf

Zu C.6 Übermittlung von personenbezogenen Daten in Drittländer:

Ein Export von personenbezogenen Daten an Stellen außerhalb der EU/des EWR setzt die Einhaltung besonderer Anforderungen des 5. Kapitels der DSGVO voraus. Sofern nicht das Datenschutzniveau im Empfängerland von der EU-Kommission als angemessen bewertet worden ist, werden in der Praxis häufig die Standardvertragsklauseln der EU-Kommission vereinbart. Siehe hierzu Rdn 138 ff.

Zu C.7 Verfahren für die Überprüfung von Auftragsverarbeitern:

In der Praxis wollen Auftragsverarbeiter häufig eine Beteiligung an den eigenen Kosten für die Durchführung des Audits. Aus Sicht der Aufsichtsbehörden handelt es sich um Gemeinkosten, die nicht vom Auftragsverarbeiter gesondert geltend gemacht werden können, siehe dazu https://www.datenschutz-bayern.de/datenschutzreform2018/aki06.html.

Dieser Inhalt ist unter anderem im Deutsches Anwalt Office Premium enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge