Zusammenfassung
Die Vergabe von Aufträgen zur Verarbeitung von Daten ist in der Datenschutz-Grundverordnung detailliert geregelt. Vorgeschrieben für die Auftragsvergabe ist ein schriftlicher Vertrag, der bestimmte Bestandteile erhalten muss.
1 Hinweise zur vertraglichen Regelung
Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, müssen die Beauftragten Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) korrekt durchgeführt werden. Diese sind in Art. 32 DSGVO definiert. Die Verarbeitung muss im Einklang mit den Anforderungen der DSGVO erfolgen und den Schutz der Rechte der betroffenen Person gewährleisten.
Zu den technischen Maßnahmen gehören z. B.:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
- Wiederherstellung von Daten und Zugängen nach Zwischenfällen
- Regelmäßige Überprüfung und Evaluierung der Wirksamkeit der TOM
Zu den organisatorischen Maßnahmen gehören z. B.:
- Zugriffskontrollen und -beschränkungen
- Sensibilisierung und Schulung der Mitarbeiter
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Datenschutz-Folgenabschätzungen bei Hochrisikoverarbeitungen
- Benennung eines Datenschutzbeauftragten
Als "Verantwortlicher" gilt nach der Definition des Art. 4 DSGVO Nr. 8 die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Verantwortliche ergreifen in Abhängigkeit von Quantität (z. B. Umfang) und Qualität (schwerer der Risiken für betroffene Personen) der zu verarbeitenden Daten geeignete technische und organisatorische Maßnahmen. Diese müssen regelmäßig überprüft und aktualisiert werden.
Sind mehrere Personen für die Datenverarbeitung zuständig, gelten sie als "gemeinsam Verantwortliche". Durch Art. 26 DSGVO soll sichergestellt werden, dass Betroffene ihre Rechte bei allen an einer Datenverarbeitung beteiligten Stellen ausüben können.
Der Auftragsverarbeitende darf keine weiteren Auftragsverarbeitenden hinzuziehen, ohne vorherige schriftliche Genehmigung des Verantwortlichen. Falls eine allgemeine schriftliche Genehmigung vorliegt, muss der Auftragsverarbeitende den Verantwortlichen über geplante Änderungen informieren, damit diese Einspruch erheben kann. Die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeitenden erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments, das den Auftragsverarbeitenden in Bezug auf den Verantwortlichen bindet. In diesem Vertrag oder Rechtsinstrument werden die Bedingungen, Pflichten und Rechte der Verantwortlichen festgelegt.
2 Welche Punkte müssen geregelt werden?
In Art. 28 DSGVO ist ein Vertrag mit dem Auftragsverarbeiter vorgeschrieben. Der Vertrag ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
Gem. Art. 28 Abs. 3 DSGVO muss ein Vertrag für die Auftragsverarbeitung folgende Punkte beinhalten:
- Den Gegenstand und die Dauer der Verarbeitung
- Die Art und den Zweck der Verarbeitung
- Die Art der personenbezogenen Daten
- Die Rechte und Pflichten des Verantwortlichen gegenüber dem Auftragsverarbeiter
Darüber hinaus müssen folgende Punkte geregelt werden:
- Der Auftragsverarbeiter darf nur auf dokumentierte Weisung des Verantwortlichen tätig werden
- Die Einhaltung der Vertraulichkeit gem. Art. 28 Abs. 3 Buchst. b (die zur Verarbeitung befugten Personen haben sich zur Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht)
- Die Rückgabe oder Löschung der Daten nach Auftragsende
- Technische und organisatorische Maßnahmen zur Datensicherheit gem. Art. 32 DSGVO (s. oben)
- Unterauftragsverarbeiter und damit verbundene Bedingungen
- Unterstützung des Verantwortlichen bei Einhaltung der Betroffenenrechte
3 Sorgfältige Auswahl des Auftragnehmers
Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Zu beachten ist, dass § 62 BDSG und § 63 BDSG zu den ergänzenden Bestimmungen der DSGVO gehören, die für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden gilt. Die §§ 62 und 63 regeln die Verantwortlichkeiten und Pflichten bei Auftrags- und gemeinsamer Verarbeitung, um die Rechte der Betroffenen zu wahren.
§ 62 BDSG regelt die Voraussetzungen, wenn ein Verantwortlicher einen Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt.
- Der Verantwortliche muss durch einen Vertrag oder ein anderes Rechtsinstrument sicherstellen, dass der Auftragsverarbeiter die Datenschutzvorschriften einhält.
- Der Vertrag muss Vorgaben zur Weisungsgebundenheit, Vertraulichkeit, Unterstützung bei Betroffenenrechten, Datenlöschung nach Auftrag und technisch-organisatorischen Maßnahmen enthalten.
- Unterauftragsverarbeiter dürfen...