DSGVO - Teil 3 - Auftragsdatenverarbeitungsvereinbarung

Bis zum 25. Mai 2018 haben Dienstleister und auftraggebende Unternehmen noch Zeit, sich auf die Änderungen der Datenschutz-Grundverordnung (DSGVO) einzustellen. Mit diesem Gesetz vereinheitlicht die Europäische Union den Datenschutz in Unternehmen, Behörden und Organisationen. Da es einen Bestandschutz für laufende Verträge nicht gibt, müssen bis zu diesem Stichtag auch alle geltenden Vertragsverhältnisse angepasst werden!

Joint Control - Vereinbarungen zwischen mehreren Verantwortlichen

Die Verordnung führt mit dem „Verantwortlichen für die Datenverarbeitung“ einen neuen Begriff für den Auftraggeber ein. Dieser erteilt dem Auftragsverarbeitendem (dem früheren Auftragsdatenverarbeiter) den Auftrag und Weisungen. Der Auftraggeber bleibt auch künftig erster Ansprechpartner für alle von Datenschutzverletzungen Betroffenen. In einem schriftlich festgehaltenen „Joint Control“ müssen zwei oder mehr für die Datenverarbeitung Verantwortliche den Zweck und die Mittel für die personenbezogene Verarbeitung von Daten festlegen. Entsteht ein moralischer oder finanzieller Schaden, so haben betroffene Personen den Verantwortlichen gegenüber Anspruch auf Schadenersatz. Verstößt der Auftragsverarbeiter allerdings gegen die Weisungen seines Auftraggebers, so geht die Verantwortlichkeit auf ihn über – und damit auch die Pflicht auf Schadenersatz.

Mit zertifizierten Auftragsdatenverarbeitern auf der sicheren Seite

Der Auftraggeber hat sich vor Beginn der Auftragsdatenverarbeitung davon zu überzeugen, dass er einen geeigneten Dienstleister ausgewählt hat. Auch während der Leistungserbringung muss er die Einhaltung des Datenschutzes kontrollieren. Können Auftragnehmer eine Auditierung vorweisen, zum Beispiel eine Zertifizierung nach ISO 9001 oder ISO 27001, so dürften Auftraggeber auf der sicheren Seite sein.

Bei einer Überprüfung bzw. einer Zertifizierung müssen Auftragnehmer (Auftragsdatenverarbeiter) genau darlegen, welche Maßnahmen sie im Sinne des Datenschutzes ergriffen haben. Sie müssen gewährleisten, dass

  • Unbefugte keinen Zutritt zu bestimmten Räumen erhalten 
  • Datenverarbeitungsanlagen vor unberechtigtem Zugang von außen (Hacker) oder
  • von innen (unberechtigte Personen) geschützt sind
  • die Zugriffe auf Daten kontrolliert und dokumentiert werden
  • Informationen zur Eingabe und Weitergabe von Daten aufgezeichnet werden
  • Datensätze nach Speicherung nicht unbefugt gelöscht, verändert oder kopiert werden können
  • Datenträger vor Beschädigung und Verlust geschützt werden
  • nach Ende des Auftrages Daten zurückgegeben oder nachweislich gelöscht werden (Löschkonzept)
  • die Weisungen des Auftraggebers eingehalten werden
  • Daten, die für unterschiedliche Zwecke erfasst wurde, getrennt werden.

Inhaltlich orientiert sich die Europäische Datenschutzgrundverordnung an den Regelungen des Bundesdatenschutzgesetzes. Für Dienstleister, die Daten im Auftrag verarbeiten, ergeben sich dennoch neue Pflichten. Künftig müssen sie ein genaues Verzeichnis über die Verarbeitungstätigkeiten für den Verantwortlichen der Verarbeitung führen.

Die rechtskonforme Ausgestaltung der Verträge zur Auftragsdatenverarbeitung sowie die datenschutzrechtliche Ausführung der Arbeiten werden besonders wichtig, denn die Geldstrafen für Verstöße wurden empfindlich erhöht. Es drohen Geldbußen bis zu einer Summe von zehn Millionen Euro bzw. bis zu zwei Prozent vom weltweit erzielten jährlichen Umsatz.

Fazit

Plant Ihr Unternehmen, Geschäftsprozesse an externe Dienstleister auszugliedern, so müssen die vertraglichen Regelungen zwingend nach der neuen DSGVO gestaltet werden. Der Auftraggeber bleibt verantwortlich für den Umgang mit personenbezogenen Daten und muss seinen Dienstleister prüfen und kontrollieren. Verstößt dieser gegen Ihre Weisungen, so ist er den Betroffenen gegenüber jedoch schadenersatzpflichtig. Auch die neue Europäische Verordnung zum Datenschutz enthält umfangreiche Regularien, die ein professioneller Dienstleister jedoch meistern sollte.
Der angehängte Mustervertrag „AVV DSGVO blanco“, hilft Ihnen bei der Umsetzung der Verordnung.

Bitte wenden Sie sich bei Fragen des Datenschutzes an den BVI-Datenschutzbeauftragten:

Reinhold Okon
Rosenstraße 1
85757 Karlsfeld
E-Mail: info@dsb-okon.de