Hier sei noch auf die Auftragsverarbeitung hingewiesen. Diese liegt immer dann vor, wenn eine natürliche oder juristische Person; Behörde oder andere Stelle personenbezogene Daten, im Auftrag eines Verantwortlichen verarbeitet. Beispiele hierfür sind die externe Gehaltsabrechnung oder die Nutzung einer Software-Lösung in der Cloud.

Eine Auftragsverarbeitung liegt dann vor, wenn allein das verantwortliche Unternehmen entscheidet, welche Zwecke und Mittel für die Verarbeitung verwendet werden. Das bedeutet, dass der Auftragsverarbeiter weisungsabhängig den Auftrag erfüllt.

Bei der Auswahl des Auftragsverarbeiters ist darauf zu achten, dass dieser ausreichende Garantien dafür bietet, dass die Verarbeitung im Einklang mit den Datenschutzgesetzen steht, da der Auftraggeber für eventuelles Fehlverhalten mit haftet.

Ist der Auftragsverarbeiter gewählt, muss dessen Tätigkeit in einem Vertrag zwischen dem Auftraggeber und dem Auftragsverarbeiter präzise beschrieben und der Auftragsverarbeiter auf Verschwiegenheit und Einhaltung der Sicherheit der Verarbeitung verpflichtet werden.

Im Rahmen dieses Vertrages muss sich der Verantwortliche umfassende Kontrollrechte einräumen lassen, z.B. für unangekündigte Prüfungen vor Ort.

Auch das Ende dieser Vertragsbeziehung sollte im Vorfeld geklärt werden. Dabei ist insbesondere die Rückgabe von Materialien und die Löschung von Daten zu fixieren.

Die inhaltlichen Forderungen eines Vertrages zur Auftragsverarbeitung orientieren sich an den Vorgaben des Art. 28 Abs. 3 DSGVO. Sie dienen der Konkretisierung der Rahmenbedingungen der Auftragsverarbeitung:

 

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen & organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt