Sie haben festgestellt, dass eine Auftragsverarbeitung vorliegt. Die Inhalte eines Auftragsverarbeitungsvertrags erhalten Sie im Überblick in diesem Artikel. Erstmal ist es wichtig einen Auftragsverarbeitungsvertrag zu schließen.
Insbesondere damit Sie und Ihre Dienstleister zu jedem Zeitpunkt wissen, was, wie zu tun ist, schließen Sie schriftlich einen Auftragsverarbeitungsvertrag für jede Auftragsverarbeitung ab.
Der Vertrag wird zwischen Auftraggeber und Auftragnehmer geschlossen.
Liegt ein Auftragsverarbeitungsverhältnis vor, schließen Sie einen Vertrag.
Zur Erinnerung eine Auftragsverarbeitung haben Sie immer dann, wenn:
- einer über den Zweck und Mittel der Auftragsverarbeitung entscheidet und
- der andere weisungsgebunden ist.
Die gesetzliche Regelung in Art. 28 DSGVO sieht vor, dass die Auftragsverarbeitung schriftlich erteilt wird.
An einen Auftragsverarbeitungsvertrag werden bestimmte Anforderungen gestellt. Sogenannte Mindestanforderungen die der Vertrag erfüllen soll, damit er gültig ist. Sind gewisse Punkte nicht im Auftragsverarbeitungsvertrag enthalten, ist der Vertrag nicht gültig. Damit wäre es so, als hätten Sie gar keinen Vertrag geschlossen.
Inhalte Auftragsverarbeitungsvertrag im Überblick
Inhalte Auftragsverarbeitungsvertrag
Ein Auftragsverarbeitungsvertrag soll folgende Inhalte immer enthalten. Einerseits entspricht er damit den gesetzlichen Regelungen und Anforderungen. Andererseits wissen auch Sie, was der Dienstleister mit Ihren Daten macht, bzw. weißt der Dienstleister, wie er mit Ihren Daten umgehen kann und darf. Der Auftraggeber macht dem Auftragnehmer Vorgaben.
Gegenstand des Auftragsverarbeitungsvertrags
Hier bestimmt der Auftraggeber um was es geht. Was genau soll bei der Verarbeitung im Auftrag passieren. Am besten wird die Tätigkeit des Dienstleisters genau beschrieben.
Achtung: Hierbei geht es NUR um die Auftragsverarbeitung der personenbezogenen Daten.
Dauer der Auftragsverarbeitung
Auch die Dauer soll aufgenommen werden. Bei Projekten Beginn und Ende, oder bei einer längeren Zusammenarbeit lediglich der Beginn der Tätigkeit.
Das Ende müssen Sie nicht zwingend eintragen.
Man darf sich auch auf einen Hauptvertrag beziehen, zum Beispiel ein Dienstleistungsvertrag.
Umfang und Zweck der Datenverarbeitung
Der Gegenstand des Vertrags wird unter diesem Punkt noch einmal genauer bestimmt. Es geht um die einzelnen Verarbeitungsschritte der Tätigkeit.
Die Fragen sind: Was passiert bei der Verarbeitung der personenbezogenen Daten? In welchem Umfang werden die erhaltenen personenbezogenen Daten verarbeitet? Zudem muss der Zweck der Verarbeitung dem Verantwortlichen zugeordnet werden können.
Art der Daten
Welche Art von Daten werden in der Auftragsverarbeitung verarbeitet? Sind es Kontaktdaten von Lieferanten, Kunden oder Beschäftigten… Vielleicht auch Bankdaten oder Gesundheitsdaten…
Kategorien der betroffenen Personen
Kategorisieren Sie die personenbezogenen Daten aus der Verarbeitung mit Überbegriffen. Zum Beispiel Angestellte oder Kunden. Hier ist ersichtlich, wer von der Verarbeitung der personenbezogenen Daten betroffen ist.
Technische und organisatorische Maßnahmen
Die Umsetzung der technischen und organisatorischen Maßnahmen ist gesetzlich nicht direkt vorgeschrieben. Sie ergeben sich vielmehr aus den Vorgaben der Sicherheit der Verarbeitung.
Der Auftragnehmer gibt dem Auftraggeber eine Übersicht zu den von ihm getroffenen Maßnahmen. Diese sollten u.a. Regelungen zur
- Zutrittskontrolle,
- Zugangskontrolle,
- Zugriffskontrolle,
- Weitergabekontrolle,
- Eingabekontrolle,
- Auftragskontrolle,
- Verfügbarkeitskontrolle und
- Trennungsgebot
- Verschlüsselung enthalten.
Sehen Sie sich hierzu auch gerne die Checkliste zu den technischen und organisatorischen Maßnahmen, oder unseren Artikel zu TOMs an.
Regelungen zu Berichtigungen, Löschung und Sperrung von Daten
Berichtigungen, Löschungen und Sperrung von personenbezogenen Daten dürfen nur auf Weisung des Auftraggebers erfolgen. Die Regelung der Weisung im Rahmen der Auftragsverarbeitung muss im Vertrag erwähnt sein.
Pflichten des Auftragnehmers
Hierbei handelt es sich um Hinweis zu den gesetzlichen Regelungen. Also auch darauf, dass Verpflichtungen zur Vertraulichkeit bestehen, oder Regelungen bezüglich des Datenschutzbeauftragten im Unternehmen des Auftragnehmers.
Wichtige Inhalte eines Auftragsverarbeitungsvertrags sind beispielsweise die Meldung einer Datenpanne an den Auftraggeber, oder die Nachweise zur Einhaltung der Sicherheit der Verarbeitung (vgl. Kontrollmöglichkeiten des Auftraggebers).
Unterauftragsverhältnisse
In diesem Bestandteil eines Auftragsverarbeitungsvertrags wird die Zusammenarbeit mit Unterauftragnehmern des Dienstleisters (Auftragnehmer) geregelt. Es ist möglich, dass es einer gesonderten Information bedarf, oder aber gar nicht erst erwünscht ist.
Kontrollrechte und Duldungspflichten
Damit der Auftraggeber den Auftragnehmer kontrollieren kann, zählen zu den Inhalten eines Auftragsverarbeitungsvertrags auch die Regelungen bzüglich der Kontrollrechte und damit einhergehend auch die Duldungspflichten des Auftragnehmers. Dem Auftraggeber soll es dadurch möglich sein, im Hinblick auf den Datenschutz die ergriffenen Maßnahmen des Auftragsverarbeiters zu prüfen. Denn schließlich sind diese in gewisser Weise auch seine Maßnahmen.
Mitteilungs- und Informationspflichten
Bei Verstößen gegen Datenschutzvorschriften (z.B. Datenpannen) bestehen Mitteilungs-, bzw. Informationspflichten seitens des Auftragsverarbeiters (und auch dessen Unterauftragnehmern!).
Gängig sind unverzügliche Mitteilungen, aber auch Fristen von 24, oder 48 Stunden zusammen mit Details über die Verletzung des Schutzes personenbezogener Daten. Diese Details benötigt der Verantwortliche im übrigen für die Beurteilung der Risiken einer Datenpanne.
Weisungen
Wichtig ist, dass der Auftragsverarbeiter und seine Mitarbeiter weisungsgebunden handeln. Im allgemeinen sind Weisungen durch den Auftraggeber möglich.
Über die Details der Verarbeitung von personenbezogenen Daten bestimmt die Verantwortliche Stelle. Die Verarbeitung findet i.d.R. durch den Auftragsverarbeiter statt.
Rückgabe und Löschung
Für das Ende des Vertrags ist eine Regelung hinsichtlich Löschung und der Rückgabe der Daten erforderlich. Der Auftragsverarbeiter hat dann keinen Rechtsgrundlage mehr für die Verarbeitung, bzw. der Auftraggeber auch keine für die Weitergabe durch Dritte.
Inhalte des Auftragsverarbeitungsvertrags
Ein Auftragsverarbeitungsvertrag ohne diese Punkte ist wie keinen zu haben und damit ein bußgeldbewehrter Tatbestand. Alle diese Bestandteile sind wichtig und auch notwendig.
Wenn auch gerne manch einer auf gewisse Punkte im Vertrag verzichten möchte. Beachten Sie: fehlen zwingende Inhalte, liegt auch keine Auftragsverarbeitungsvertrag vor.
Die Folge ist, eine unerlaubte Datenweitergabe an Dritte des Auftraggebers. Sowie auf der Seite des Auftragnehmers die unerlaubte Datenverarbeitung der Daten des Auftraggebers.
Formvorschriften des Auftragsverarbeitungsvertrags
Eine Formvorschrift für einen Auftragsverarbeitungsvertrag gibt es nicht, aber wie sagt man so schön: „Papier ist geduldig“. Schreiben Sie es nieder. Das bringt Rechtssicherheit für Auftraggeber und Auftragnehmer.
Sie dürfen einen Auftragsverarbeitungsvertrag auch elektronisch abschließen, was immer mehr gang und gäbe ist. Es kommt auch mittlerweile immer öfter vor, dass die Auftragsverarbeitungsverträge in die Nutzungsbedingungen mit integriert werden, durch einen einfachen Klick, stimmen Sie diesen dann zu.
Eine Schriftform ist nicht erforderlich, aber dennoch empfehlenswert.
Zusammenfassung zu den Inhalten eines Auftragsverarbeitungsvertrags
Der Auftragsverarbeitungsvertrag soll alle Inhalte aus Art. 28 DSGVO enthalten. Haben Sie keinen geschlossen, obwohl eine Auftragsverarbeitung vorliegt, handelt es sich um einen Straftatbestand. Prüfen Sie zudem auch Ihre Verträge regelmäßig, ob diese den gesetzlichen Anforderungen entsprechen.
Über die Risiken der Auftragsverarbeitung informieren wir Sie in Teil 3 zum Auftragsverarbeitungsvertrag.
