Auftragsverarbeitung gem. Art. 28 DS-GVO

Die DS-GVO regelt im Artikel 28 DS-GVO (Auftragsverarbeitung) die Verarbeitung personenbezogener Daten durch einen beauftragten Dienstleister.

Der Dienstleister verarbeitet in Ihrem Auftrag weisungsgebunden personenbezogene Daten. Sie müssen mit dem Dienstleister einen AV-Vertrag vereinbaren. Dabei sind alle Anforderungen des Artikel 28 DS-GVO zu berücksichtigen und umzusetzen. Sie müssen den Auftragsverarbeiter sorgfälltig vor Beauftragung auswählen (Artikel 28 Abs. 1 DS-GVO). Die Auswahl ist nachzuweisen.

Sollte der Dienstleister Prüfungs- und Wartungstätigkeiten (gilt auch bei Fernwartung) an Ihren IT-Systemen durchführen und eine Kenntnisnahme von personenbezogenen Daten ist nicht auszuschließen oder sogar erforderlich, so ist ebenfalls ein AV-Vertrag mit dem Dienstleister zu vereinbaren.

Hat der Dienstleister seinen Sitz im außereuropäischen Ausland, so kommen weitere Anforderungen an die Vertragsgestaltung hinzu (Maßnahmen zum Drittlandstransfer gemäß Artikel 44 ff. DS-GVO).

Ein Bestandteil des AV-Vertrags sind die technisch-organisatorischen Maßnahmen des Dienstleisters (Artikel 32 DS-GVO). Diese werden vom Auftragsverarbeiter oft sehr allgemein und ohne konkreten Bezug zur beabsichtigten Dienstleistung angegeben. Der Auftraggeber akzeptiert diese ggf. ohne ausreichende Prüfung. Dies birgt für den Auftraggeber ein nicht unerhebliches Risiko.

Der Auftraggeber und der Auftragsverarbeiter haften gemeinschaftlich gegenüber Betroffenen gemäß Artikel 82 DS-GVO. Weist der Auftragsverarbeiter nach, dass er seinen Pflichten aus dem Vertragsverhältnis nachgekommen ist, haftet der Auftraggeber allein und vollumfänglich.

Wir empfehlen Ihnen zur Vereinbarung eines AV-Vertrags die Verwendung von anerkannten Vertragsmustern (z. B. von den Aufsichtsbehörden oder der GDD e.V.).

Sollte der Dienstleister einen eigenen Vertragsentwurf vorlegen, sollte dieser immer auf Einhaltung aller im Artikel 28 DS-GVO geforderten Vertragsinhalte geprüft werden, insbesondere sind in jedem Fall die vorgelegten technisch-organisatorischen Maßnahmen des Auftragverarbeiters zu prüfen. Ggf. muss der Auftragsverarbeiter zu den einzelnen Vertragspunkten oder zu seinen technisch-organisatorischen Maßnahmen nachbessern.

Sollten die Vertragspartner einen AV-Vertrag vereinbaren, der nicht den Anforderungen des Artikel 28 DS-GVO entspricht, so ist mit einem Bußgeld zu rechnen.

Zur Gestaltung von AV-Verträgen beraten wir Sie. Wir prüfen AV-Verträge auf die Einhaltung der Vorgaben des Artikel 28 DS-GVO und prüfen die technisch-organisatorischen Maßnahmen.

Lesen Sie dazu auch:

Über uns, Datenschutz-Schulungen, Datenschutzorganisation, IT-Sicherheitsbeauftragter, Datenschutz, Fragebogen zur Videoüberwachung, Datenschutz-Management-System, Datenschutzbeauftragter, Webserver und Auftragsverarbeitung