Haufe.de Shop
Service & Support
Sie verwenden eine veraltete Browser-Version. Dies kann unter Umständen zu Einschränkungen in der Funktion sowie Darstellung führen. Daher empfehlen wir Ihnen, einen aktuellen Browser wie z.B. Microsoft Edge zu verwenden.
Anmelden
  • Personal
  • Steuern
  • Finance
  • Immobilien
  • Controlling
  • Öffentlicher Dienst
  • Recht
  • Arbeitsschutz
  • Sozialwesen
  • Sustainability
  • Themen
  • Haufe
  • haufe.de
  • Versicherungs Glossar
  • HR-Management
  • Neues Lernen
  • Arbeitsrecht
  • Entgelt
  • Personalszene
  • Rechtsprechung
  • Gesetzgebung & Politik
  • Finanzverwaltung
  • Steuerwissen & Tipps
  • Taxulting
  • Buchführung & Kontierung
  • Jahresabschluss & Bilanzierung
  • Steuern & Finanzen
  • Wirtschaft & Politik
  • Verwaltung
  • Wohnungswirtschaft
  • Investment
  • Marktanalysen
  • Projekte & Deals
  • Controllerpraxis
  • Rechnungslegung
  • Personal & Tarifrecht
  • Entgelt
  • Sozialrecht
  • Haushalt & Finanzen
  • Digitalisierung & Transformation
  • Kanzleimanagement
  • Arbeits- & Sozialrecht
  • Familien- & Erbrecht
  • Wirtschaftsrecht
  • Miet- & Immobilienrecht
  • Verkehrsrecht
  • allg. Zivilrecht
  • Strafrecht & öffentl. Recht
  • Prozessrecht
  • Sicherheit
  • Gesundheit & Umwelt
  • Recht & Politik
  • Leistungen Sozialversicherung
  • Versicherungen & Beiträge
  • SGB-Recht Kommunal
  • Strategie
  • Umwelt
  • Soziales
  • Debatte

Auftragsverarbeitung: Grundlagen der Vertragsgestaltung und -kontrolle

Anmelden und Beitrag in meinem Produkt lesen

Sie haben den Artikel bereits bewertet.
Dr. Felix Sühlmann-Faul

Zusammenfassung

 
Überblick

Die Vergabe von Aufträgen zur Verarbeitung von Daten ist in der Datenschutz-Grundverordnung detailliert geregelt. Vorgeschrieben für die Auftragsvergabe ist ein schriftlicher Vertrag, der bestimmte Bestandteile erhalten muss.

 
Gesetze, Vorschriften und Rechtsprechung

Art. 28 DSGVO

1 Hinweise zur vertraglichen Regelung

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, müssen die Beauftragten Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) korrekt durchgeführt werden. Diese sind in Art. 32 DSGVO definiert. Die Verarbeitung muss im Einklang mit den Anforderungen der DSGVO erfolgen und den Schutz der Rechte der betroffenen Person gewährleisten.

Zu den technischen Maßnahmen gehören z. B.:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
  • Wiederherstellung von Daten und Zugängen nach Zwischenfällen
  • Regelmäßige Überprüfung und Evaluierung der Wirksamkeit der TOM

Zu den organisatorischen Maßnahmen gehören z. B.:

  • Zugriffskontrollen und -beschränkungen
  • Sensibilisierung und Schulung der Mitarbeiter
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
  • Datenschutz-Folgenabschätzungen bei Hochrisikoverarbeitungen
  • Benennung eines Datenschutzbeauftragten[1]

Als "Verantwortlicher" gilt nach der Definition des Art. 4 DSGVO Nr. 8 die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Verantwortliche ergreifen in Abhängigkeit von Quantität (z. B. Umfang) und Qualität (schwerer der Risiken für betroffene Personen) der zu verarbeitenden Daten geeignete technische und organisatorische Maßnahmen. Diese müssen regelmäßig überprüft und aktualisiert werden.

Sind mehrere Personen für die Datenverarbeitung zuständig, gelten sie als "gemeinsam Verantwortliche". Durch Art. 26 DSGVO soll sichergestellt werden, dass Betroffene ihre Rechte bei allen an einer Datenverarbeitung beteiligten Stellen ausüben können.[2]

Der Auftragsverarbeitende darf keine weiteren Auftragsverarbeitenden hinzuziehen, ohne vorherige schriftliche Genehmigung des Verantwortlichen. Falls eine allgemeine schriftliche Genehmigung vorliegt, muss der Auftragsverarbeitende den Verantwortlichen über geplante Änderungen informieren, damit diese Einspruch erheben kann.[3] Die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeitenden erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments, das den Auftragsverarbeitenden in Bezug auf den Verantwortlichen bindet. In diesem Vertrag oder Rechtsinstrument werden die Bedingungen, Pflichten und Rechte der Verantwortlichen festgelegt.[4]

[1] Art. 28 Abs. 1 DSGVO
[2] Art. 24, 26 DSGVO.
[3] Art. 28 Abs. 2 DSGVO.
[4] Art. 28 Abs. 3 DSGVO.

2 Welche Punkte müssen geregelt werden?

In Art. 28 DSGVO ist ein Vertrag mit dem Auftragsverarbeiter vorgeschrieben. Der Vertrag ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

Gem. Art. 28 Abs. 3 DSGVO muss ein Vertrag für die Auftragsverarbeitung folgende Punkte beinhalten:

  • Den Gegenstand und die Dauer der Verarbeitung
  • Die Art und den Zweck der Verarbeitung
  • Die Art der personenbezogenen Daten
  • Die Rechte und Pflichten des Verantwortlichen gegenüber dem Auftragsverarbeiter

Darüber hinaus müssen folgende Punkte geregelt werden:

  • Der Auftragsverarbeiter darf nur auf dokumentierte Weisung des Verantwortlichen tätig werden
  • Die Einhaltung der Vertraulichkeit gem. Art. 28 Abs. 3 Buchst. b (die zur Verarbeitung befugten Personen haben sich zur Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht)
  • Die Rückgabe oder Löschung der Daten nach Auftragsende
  • Technische und organisatorische Maßnahmen zur Datensicherheit gem. Art. 32 DSGVO (s. oben)
  • Unterauftragsverarbeiter und damit verbundene Bedingungen
  • Unterstützung des Verantwortlichen bei Einhaltung der Betroffenenrechte

3 Sorgfältige Auswahl des Auftragnehmers

Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen.[1] Zu beachten ist, dass § 62 BDSG und § 63 BDSG zu den ergänzenden Bestimmungen der DSGVO gehören, die für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden gilt. Die §§ 62 und 63 regeln die Verantwortlichkeiten und Pflichten bei Auftrags- und gemeinsamer Verarbeitung, um die Rechte der Betroffenen zu wahren.

§ 62 BDSG regelt die Voraussetzungen, wenn ein Verantwortlicher einen Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt.

  • Der Verantwortliche muss durch einen Vertrag oder ein anderes Rechtsinstrument sicherstellen, dass der Auftragsverarbeiter die Datenschutzvorschriften einhält.
  • Der Vertrag muss Vorgaben zur Weisungsgebundenheit, Vertraulichkeit, Unterstützung bei Betroffenenrechten, Datenlöschung nach Auftrag und technisch-organisatorischen Maßnahmen enthalten.
  • Unterauftragsverarbeiter dürfen...

Dieser Inhalt ist unter anderem im Versicherungs Glossar enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Top-Themen
Downloads
Shop
Haufe Fachmagazine
Themensuche A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #
Haufe Group
Haufe Onboarding Software
Haufe Fachwissen
Haufe HR Services
Haufe Digitale Personalakte
Haufe Akademie
Smartsteuer
Haufe Semigator
Schäffer-Poeschel
Lexoffice
Weiterführende Links
Haufe Group
Karriere in der Haufe Group
Haufe RSS Feeds
FAQ
Mediadaten
Presse
Newsletter
Sitemap
Kontakt

Kontakt & Feedback
Datenschutz

AGB
Impressum
Haufe Themenshops
Personal Software
Steuern Software
Rechnungswesen Produkte
Anwaltssoftware
Immobilien Lösungen
Controlling Software
Öffentlicher Dienst Produkte
Unternehmensführung-Lösungen
Haufe Shop Buchwelt
Alle Produkte & Lösungen

    Weitere Produkte zum Thema:

    × Profitieren Sie von personalisierten Inhalten, Angeboten und Services!

    Unser Ziel ist es, Ihnen eine auf Ihre Bedürfnisse zugeschnittene Website anzubieten. Um Ihnen relevante und nützliche Inhalte, Angebote und Services präsentieren zu können, benötigen wir Ihre Einwilligung zur Nutzung Ihrer Daten. Wir nutzen den Service eines Drittanbieters, um Ihre Aktivitäten auf unserer Website zu analysieren.

    Mit Ihrer Einwilligung profitieren Sie von einem personalisierten Website-Erlebnis und Zugang zu spannenden Inhalten, die Sie informieren, inspirieren und bei Ihrer täglichen Arbeit unterstützen.

    Wir respektieren Ihre Privatsphäre und schützen Ihre Daten. Sie können sich jederzeit darüber informieren, welche Daten wir erheben und wie wir sie verwenden. Sie können Ihre Einwilligung jederzeit widerrufen. Passen Sie Ihre Präferenzen dafür in den Cookie-Einstellungen an.

    Mehr Informationen Nein, Danke Akzeptieren