DS-GVO sicher umsetzen
Im Datenschutz werden nicht selten auch Daten im Auftrag für einen Verantwortlichen verarbeitet. Was das genau bedeutet, haben wir bereits in vorherigen Datenschutz-Blog-Beiträgen für Sie zusammengefasst. In diesem Blog soll es diesmal um die Frage gehen: Was gehört in einen Auftragsverarbeitungsvertrag (AV-Vertrag)?
Warum benötigt man einen Auftragsverarbeitungsvertrag im Datenschutz?
Der sogenannte AV-Vertrag kommt immer dann ins Spiel, wenn personenbezogene Daten durch Dritte im Auftrag des Verantwortlichen verarbeitet werden. Das kann an unterschiedlichsten Stellen der Fall sein, so zum Beispiel, wenn Daten vernichtet, durch externe Dienstleister bearbeitet werden aber auch, wenn zum Beispiel E-Mail-Programme oder Cloud-Lösungen genutzt werden.
Grundsätzlich sollte man immer prüfen, ob eine Auftragsverarbeitung bei der Verarbeitung der personenbezogenen Daten vorliegt. Um sicher zu stellen, dass diese Verarbeitung den Vorgaben der Datenschutzgrundverordnung (DS-GVO) entspricht, sollte man die entsprechenden Verarbeitungen genau unter die Lupe nehmen und im Zweifel durch den (externen) Datenschutzbeauftragten prüfen lassen.
Punkte des Auftragsverarbeitungsvertrags
Wer eine Auftragsverarbeitung nutzt, der sollte diese und den damit zusammenhängenden AV-Vertrag mindestens auf folgende Punkte hin prüfen und diese auch im Vertrag festhalten:
- Gegenstand und Dauer des Auftrags
- Umfang und Zweck der Auftragsverarbeitung
- Art der Daten, die Verarbeitet werden
- Kreis der Betroffenen bzw. betroffene Personengruppen
- Ort der Verarbeitung (inkl. Staaten)
- getroffene technische und organisatorische Maßnahmen (TOM)
- Berichtigung, Löschung und Sperren von Daten
- Pflichten des Auftragsnehmers inkl. Kontrollen
- Mögliche Unterauftragsverhältnisse/Subunternehmer
- Kontrollrechte des Auftraggebers
- Mitwirkungspflichten des Auftragsnehmers
- mögliche Weisungsbefugnisse
- Rückgabe überlassener Datenträger
- Löschungen nach Ende des Auftrages
Auftragsverarbeitung Gegenstand und Dauer des Auftrags
Bevor man eine Auftragsverarbeitung plant, sollte man prüfen, ob die Verarbeitung grundsätzlich gesetzlich zulässig ist, wie es bei jeder Verarbeitung von personenbezogenen Daten notwendig ist. Ein wichtiger Punkt im AV-Vertrag ist zum Beispiel genau festzuhalten was genau die Auftragsverarbeitung umfasst und wie lange diese andauern soll. Dabei kann man beispielsweise unterscheiden zwischen unbefristet, befristet, per Einzelauftrag oder sogar einmalig festgelegten AV-Verträge.
Darüber hinaus sollten auch Umfang und Zweck der Verarbeitung mit dem Dienstleister festgehalten werden und welche Art der Daten verarbeitet werden sollen. Diese sollte man möglichst genau festlegen, um mögliche Schwachstellen des Vertrags zu vermeiden. Personenbezogene Daten besonderer Kategorien müssen dabei gesondert betrachten und vor allem besonders geschützt werden.
Betroffene Personengruppen festlegen
Legen Sie in einem AV-Vertrag mit einem Dienstleister auch immer den Kreis der Betroffenen fest, orientieren Sie sich dabei zum Beispiel auch am Verfahrensverzeichnis. Zusätzlich ist es wichtig, den Ort der Verarbeitung und mögliche Staaten zu dokumentieren, in denen die Auftragsverarbeitung erfolgt. Gerade in Zeiten von Cloudlösungen und im Zusammenhang mit beispielsweise den neuen Standard-Vertrags-Klauseln sollte hier genau geprüft werden, wo die Daten verarbeitet werden.
Technische und organisatorische Maßnahmen in der Auftragsverarbeitung
Die TOMs spielen im Datenschutz eine wichtige Rolle, da sie die personenbezogenen Daten vor dem Zugriff unbefugter Dritter schützen. Daher muss der Verantwortliche, welcher die Datenverarbeitung in Auftrag gibt, auch sicherstellen, dass entsprechende Maßnahmen vom Auftragnehmer getroffen werden. Diese sollten ebenfalls im AV-Vertrag festgehalten werden.
Nach Abschluss der Verarbeitung personenbezogener Daten müssen diese auch entsprechend von Löschfristen auch wieder gelöscht werden. Auch dafür muss es im AV-Vertrag entsprechende Regeln geben. Ebenso gilt dies für die Berichtigung und Sperrung von Daten im Datenschutz.
Pflichten und Kontrollen des Auftragnehmers
Der Auftragnehmer muss sich bei der Verarbeitung von personenbezogenen Daten ebenso an die Vorgaben im Datenschutz halten, wie der Verantwortliche, der ihn beauftragt. Diese muss er auch ausreichend kontrollieren und sicherstellen. Dazu kann beispielsweise die Bestellung eines (externen) Datenschutzbeauftragten gehören, genauso, wie die Umsetzung notwendiger technischer und organisatorische Maßnahmen, die auch dokumentiert werden.
Sollten Subunternehmer bestellt werden oder Unterauftragsverhältnisse bestehen, muss dies ebenfalls Teil des AV-Vertrags sein. Diese müssen benannt und auch genau festgelegt werden, welche Arbeit hier übernommen wird. Ob ein weiterer Vertrag zum Subunternehmer bestehen muss, sollte durch einen Fachmann eingeschätzt werden.
Kontrollrecht des Auftraggebers
Bevor die Auftragsverarbeitung übergeben wird, muss sich der Auftraggeber davon überzeugen, dass der Datenschutz entsprechend der gesetzlichen Vorgaben sichergestellt werden kann. Dies muss er auch in regelmäßigen Abständen im nötigen Umfang überprüfen. Dabei besteht für den Auftragnehmer eine Mitwirkungspflicht.
Diese Mitwirkungspflicht besteht auch bei Verstößen gegen den Datenschutz oder eine unrechtmäßige Datenverarbeitung. Im AV-Vertrag muss auch festgelegt werden, wie mögliche Weisungsbefugnisse in der Verarbeitung von personenbezogenen Daten festgelegt werden. Diese Weisungsbefugnisse betreffen vor allem den Auftraggeber.
Überlassene Datenträger im AV-Vertrag
Ein elementares Thema ist das Sicherstellen der Löschung von Daten bzw. die Rückgabe von Datenträgern nach Auftragssende. Es muss sichergestellt werden, dass alle Daten gesetzeskonform gelöscht oder die Datenträger an den Auftraggeber zurückgegeben werden.
Personenbezogene Daten dürfen nach Beendigung des AV-Vertrags nicht weiter beim Auftragnehmer verbleiben oder gar verwendet werden. Die vollständige Rückgabe bzw. Löschung der Daten sollte daher auch protokolliert werden.
Bestehende Verträge auf den Datenschutz hin prüfen
Bestehende AV-Verträge und Vorgänge im Unternehmen sollten immer wieder auf den Datenschutz und auf dessen Einhaltung hin geprüft werden. Gerade im Bereich der AV-Verträge ist es dabei wichtig, einen Fachmann in Form des (externen) Datenschutzbeauftragten zur Beratung hinzuzuziehen. Auftragsdatenverarbeitung findet in vielen Bereichen, teilweise sogar unbemerkt statt und muss daher bewertet und eingeschätzt werden.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.