Antworten:
Fachanwältin für gewerblichen Rechtsschutz, Rechtsanwältin Kanzlei Dr. Anke Reich, LL.M. Essen
Ein Auftragsverarbeitungsvertrag (vgl. Art. 28 Abs. 3 DSGVO) ist eine mögliche Grundlage für die Verarbeitung von personenbezogenen Daten (Art. 4 Nr. 1 und 2 DSGVO) durch einen Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) im Auftrag eines Verantwortlichen (Art. 4 Nr. 7 DSGVO) . Er bindet den Auftragsverarbeiter, der die personenbezogenen Daten nur auf Weisung des Verantwortlichen verarbeitet darf, d.h. der Auftragsverarbeiter entscheidet nicht selbst über Zweck und Mittel der Datenverarbeitung, sondern der Verantwortliche.
Beispiele für einen Auftragsverarbeitungsvertrag sind:
- Hoster von Internetauftritten und
- Daten- und Aktenvernichter.
Der Auftragsverarbeitungsvertrag ist vor Beginn der Datenverarbeitung schriftlich oder in einem elektronischen Format (Art. 28 Abs. 9 DSGVO) abzufassen.
Der Mindestinhalt eines Auftragsverarbeitungsvertrags ist in Art. 28 Abs. 3 DSGVO festgeschrieben. Es sind
- Gegenstand und Dauer der Verarbeitung,
- Art und Zweck der Verarbeitung,
- Art der personenbezogenen Daten,
- Kategorien betroffener Personen und
- Pflichte und Rechte des Verantwortlichen
festzulegen. Im Einzelnen ist insbesondere vorzusehen, dass
- der Auftragsverarbeiter die personenbezogenen Daten nur auf dokumentierte Weise des Verantwortlichen verarbeitet (Art. 28 Abs. 3 a) DSGVO),
- festgelegt ist, dass zur Datenverarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder eine gesetzliche Verschwiegenheitspflicht besteht (Art. 28 Abs. 3 b) DSGVO)
- der Auftragsverarbeiter den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, Anträgen von Betroffenen in Ausübung Ihrer Betroffenenrechte zu beantworten (Art. 28 Abs. 3 e) DSGVO) und
- festgelegt ist, dass der Verarbeiter dem Verantwortlichen alle nötigen Informationen zum Nachweis verschafft (Art. 28 Abs. 3 h) DSGVO).
3 passende Publikationen von Dr. Anke Reich
Eine Vereinbarung, die nach der DSGVO geschlossen werden muss, wenn ein Unternehmen personenbezogene Daten verarbeiten lässt. Beispiele sind Hosting, Büroservice, IT-Wartung etc. Die DSGVO schreibt vor, was im AVV zu regeln ist. Verantwortlich sind beide Vertragspartner.
1 passende Publikation von Dr. Thomas Lapp