Was ist ein Auftragsverarbeitungsvertrag?

2 Expertenantworten: Foto von Dr. Anke Reich Foto von Dr. Thomas Lapp

Antworten:

Foto von Dr. Anke Reich
Antwort von Dr. Anke Reich .
Fachanwältin für gewerblichen Rechtsschutz, Rechtsanwältin Kanzlei Dr. Anke Reich, LL.M. Essen

Ein Auftragsverarbeitungsvertrag (vgl. Art. 28 Abs. 3 DSGVO) ist eine mögliche Grundlage für die Verarbeitung von personenbezogenen Daten (Art. 4 Nr. 1 und 2 DSGVO) durch einen Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) im Auftrag eines Verantwortlichen (Art. 4 Nr. 7 DSGVO) . Er bindet den Auftragsverarbeiter, der die personenbezogenen Daten nur auf Weisung des Verantwortlichen verarbeitet darf, d.h. der Auftragsverarbeiter entscheidet nicht selbst über Zweck und Mittel der Datenverarbeitung, sondern der Verantwortliche.

Beispiele für einen Auftragsverarbeitungsvertrag sind:

  • Hoster von Internetauftritten und
  • Daten- und Aktenvernichter.

Der Auftragsverarbeitungsvertrag ist vor Beginn der Datenverarbeitung schriftlich oder in einem elektronischen Format (Art. 28 Abs. 9 DSGVO) abzufassen. 

Der Mindestinhalt eines Auftragsverarbeitungsvertrags ist in Art. 28 Abs. 3 DSGVO festgeschrieben. Es sind

  • Gegenstand und Dauer der Verarbeitung,
  • Art und Zweck der Verarbeitung,
  • Art der personenbezogenen Daten,
  • Kategorien betroffener Personen und
  • Pflichte und Rechte des Verantwortlichen

festzulegen. Im Einzelnen ist insbesondere vorzusehen, dass

  • der Auftragsverarbeiter die personenbezogenen Daten nur auf dokumentierte Weise des Verantwortlichen verarbeitet (Art. 28 Abs. 3 a) DSGVO),
  • festgelegt ist, dass zur Datenverarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder eine gesetzliche Verschwiegenheitspflicht besteht (Art. 28 Abs. 3 b) DSGVO)
  • der Auftragsverarbeiter den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, Anträgen von Betroffenen in Ausübung Ihrer Betroffenenrechte zu beantworten (Art. 28 Abs. 3 e) DSGVO) und
  • festgelegt ist, dass der Verarbeiter dem Verantwortlichen alle nötigen Informationen zum Nachweis verschafft (Art. 28 Abs. 3 h) DSGVO).

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

3 passende Publikationen von Dr. Anke Reich

Cover zu Messenger-Dienste im Unternehmen
Cover zu Besprechung des Beschlusses des AG Bad Hersfeld vom 20.03.2017 mit Anmerkung zu Pflichten und Gefahren bei der Nutzung von WhatsApp
Cover zu IP-Management
Foto von Dr. Thomas Lapp
Antwort von Dr. Thomas Lapp .
Rechtsanwalt und Mediator IT-Kanzlei dr-lapp.de Frankfurt am Main

Eine Vereinbarung, die nach der DSGVO geschlossen werden muss, wenn ein Unternehmen personenbezogene Daten verarbeiten lässt. Beispiele sind Hosting, Büroservice, IT-Wartung etc. Die DSGVO schreibt vor, was im AVV zu regeln ist. Verantwortlich sind beide Vertragspartner.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

1 passende Publikation von Dr. Thomas Lapp

Cover zu Transparenzgebot bei Online-AGB