1. Allgemeine Anforderungen
Rz. 38
Inhaltlich muss der Vertrag Bestimmungen
▪ |
zum Gegenstand und zur Dauer der Verarbeitung, |
▪ |
zur Art und zum Zweck der Verarbeitung, |
▪ |
zur Art der personenbezogenen Daten, |
▪ |
zu den Kategorien betroffener Personen und |
▪ |
zu den Pflichten und Rechten des Verantwortlichen |
beinhalten (Art. 28 Abs. 3 S. 1 Hs. 2 DSGVO).
Rz. 39
Die Darlegung der vorgenannten Kriterien innerhalb des Vertrages muss in einer Art und Weise erfolgen, die es der Aufsichtsbehörde ermöglicht, das Vorliegen einer ordnungsgemäßen Verpflichtung des Auftragsverarbeiters zu überprüfen und festzustellen, ob tatsächlich eine Auftragsverarbeitung und nicht etwa eine rechtfertigungsbedürftige Übermittlung, etwa in Form der Begründung einer "gemeinsamen Verantwortung" vorliegt.
Rz. 40
Die Beschreibung des Gegenstands der Verarbeitung referiert auf die dem Auftragsverarbeiter übertragenen Aufgabenstellungen. Sie kann daher grundsätzlich durch Verweis auf die dem Auftragsverhältnis zugrunde liegende Leistungsvereinbarung oder auch ein Service Level Agreement der Parteien erfolgen. Natürlich kann Gegenstand des Auftrags zum Datenumgang durch den Auftragsverarbeiter auch innerhalb der Auftragsverarbeitungsvereinbarung selbst niedergelegt werden. Die Dauer der Verarbeitung bezeichnet die Laufzeit der vorgesehenen Verarbeitung durch den Auftragsverarbeiter. Sie wird in der Regel der Laufzeit der Leistungsvereinbarung entsprechen und kann sowohl "einmalig", als auch auf bestimmte Zeit, aber auch unbefristet zwischen den Parteien vereinbart werden. Wichtig ist, dass dem Verantwortlichen in jedem Fall die Möglichkeit verbleiben muss, die Auftragsverarbeitung "ohne Angabe von Gründen“ jederzeit zu beenden. Der Auftragsverarbeiter muss in diesem Fall in der Lage sein – unbeschadet der sich ggf. aus der Leistungsvereinbarung (dem Dienstleistungsvertrag) ergebenden Schadensersatzansprüche – die Verarbeitung unverzüglich einzustellen und die ihm überlassenen Daten wahlweise zu löschen oder an den Verantwortlichen herauszugeben. Die Geltendmachung von Zurückbehaltungsrechten muss vor dem Hintergrund der alleinigen Verantwortlichkeit des Auftraggebers ebenso vertraglich ausgeschlossen sein."
Rz. 41
Das Erfordernis der Festlegung der Arten und Zwecke der von der Auftragsverarbeitung umfassten Verarbeitungen dient der Prüfung der "Verantwortlichkeit" des Auftraggebers. Die Festlegung muss hinreichend deutlich zum Ausdruck bringen, dass der Auftraggeber allein über die Zwecke der Verarbeitung und ihre wesentlichen Mittel entscheidet. Die Zweckbestimmung muss "angemessen ausführlich" sein und deutlich machen, dass ihre Festlegung allein durch den Verantwortlichen (den Auftraggeber) erfolgt. Ob es ausreichend ist, die Zwecke der Verarbeitung in Form einer einfachen listenmäßigen Aufstellung im Vertrag zu erfassen, ist zumindest fraglich, da über eine solche Aufstellung die genaue Verarbeitungsunterstützung durch den Auftragsverarbeiter im konkreten Fall kaum nachvollzogen werden kann. Es ist vielmehr zu fordern, dass für jeden Verarbeitungszweck, die zu seiner Erreichung angewandten Mittel (bspw. Versenden von Zahlungsaufforderungen, Vorauswahl geeigneter Bewerber/-innen, Überwachung von Zahlungseingängen, Erfassung der Arbeitszeiten, IT-Supportleistungen usw.), die im Rahmen seiner Verfolgung (potentiell) betroffene Art von betroffenen Personen (bspw. Kunden des Auftraggebers, Schuldner, Mitarbeiter des Verantwortlichen, Lieferanten des Verantwortlichen, Dienstleister usw.) sowie die Kategorien der im Rahmen der jeweiligen Zweckverfolgung verarbeiteten Daten (Name, Vorname, Geburtsdatum, Anschrift, akad. Grad/Anrede, Bankdaten, wie Kontoinhaber, Kreditinstitut, BLZ, Kontonummer), usw.) dargestellt werden.
Rz. 42
Die Rechte des Verantwortlichen ergeben sich spiegelbildlich aus den in Art. 28 Abs. 3 S. 2 lit. a) bis h) DSGVO normierten Pflichten des Auftragsverarbeiters, erschöpfen sich hierin aber nicht. Zum einen steht es den Parteien des Auftragsverarbeitungsvertrages frei, über die Pflichten des Auftragsverarbeiters hinaus weitere Pflichten und damit Rechte des Verantwortlichen zu normieren. Zum anderen kann sich aus der Sicherstellung der Verantwortlichkeit des Auftraggebers die Notwendigkeit der Normierung konkreter Rechte ergeben, wie etwa des Rechts auf jederzeitige Beendigung der Auftragsverarbeitung ohne Angabe von Gründen oder auch die Festlegung von Vertragsstrafen für den Fall der Verletzung von Pflichten durch den Auftragsverarbeiter. Neben der regelmäßigen Kontrolle durch den Verantwortlichen kann letzteres ebenso zu einer weiteren Absicherung der Auftragsverarbeitung beitragen.
2. Besondere Anforderungen
a) Handlung auf dokumentierte Weisung
Rz. 43
Gem. Art. 28 Abs. 3 S. 2 lit. a) DSGVO ist im Vertrag festzuhalten, dass der Auftragsverarbeiter die ihm überla...