Auftragsverarbeitung

Die Auslagerung von Rechenprozessen an unternehmensfremde (externe) Dienstleister ist ein Vorgang, der datenschutzrechtlich einer Überprüfung nach dem Erfordernis einer Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO bedarf. Der Zuständigkeitsbereich eines externen Datenschutzbeauftragten umfasst die Überprüfung von Auftragsverhältnissen von Verantwortlichen (Auftraggebern), die sich externer Dienstleister zur Auftragsdurchführung bedienen. Der Gesetzgeber hat in Art. 28 DS-GVO die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters (Auftragnehmer) bei Vorliegen einer Auftragsverarbeitung geregelt. Unter anderem ist zwischen der verantwortlichen Stelle (Veranwortlicher) und dem Auftragsverarbeiter eine Vereinbarung zur Auftragsverarbeitung zwingend vorgesehen. Die Missachtung der Rechtspflicht zum Abschluss der notwendigen Vereinbarung ist gemäß Art. 83 Abs. 4 lit. a DS-GVO bußgeldbewehrt. Außerdem besteht eine gesamtschuldnerische Haftung zwischen dem Verantwortlichen und dem Auftragsverarbeiter nach Art. 82 Abs. 4 DS-GVO. Kennzeichnend für eine Vereinbarung zur Auftragsverarbeitung sind gesetzlich verankerte Kontrollbefugnisse des Verantwortlichen, die sicherstellen, dass dieser sich regelmäßig vom Bestand und der Einhaltung technisch-organisatorischer Maßnahmen beim Auftragsverarbeiter vergewissern kann. Der Gesetzgeber trägt hierdurch dem Umstand Rechnung, dass die für die Erhebung der personenbezogenen Daten verantwortliche Stelle, auch bei Durchführung einer Datenverarbeitung im Auftrag durch einen Dritten weiterhin verantwortlich für diese personenbezogenen Daten bleibt und Sorge dafür trägt, dass die Verarbeitung in datenschutzrechtlich zulässiger Weise stattfindet. Weitere Besonderheiten einer Auftragsverarbeitung müssen stets vorab geklärt und in der entsprechenden Vereinbarung gem. Art. 28 DS-GVO berücksichtigt werden. Bei Vereinbarungen mit ausländischen Auftragsverarbeitern ist zusätzlich das Datenschutzniveau des Staates, in dem der Auftragsverarbeiter die Datenverarbeitung durchführt, für die datenschutzrechtliche Einordnung von großer Bedeutung. Unvermeidbar sind auch datenschutzkonforme Regelungen über einzelne Rechte und Pflichten beider an der Auftragsverarbeitung beteiligten Unternehmen, die Kontrollrechte, Unterauftragsverhältnisse, Weisungsbefugnisse und Umgang mit den personenbezogenen Daten nach Beendigung des Vertragsverhältnisses zum Inhalt haben.

Unsere Kanzlei berät im Bereich der Auftragsverarbeitung zu folgenden Themengebieten:

 

  • Beurteilung, ob der Fall einer Auftragsverarbeitung gem. Art. 28 DS-GVO vorliegt
  • Gestaltung von datenschutzkonformen Vereinbarungen zur Auftragsverarbeitung
  • Prüfung der erforderlichen Angaben zum technisch-organisatorischen Datenschutz
  • Durchführung der Zuverlässigkeitsprüfung externer Dienstleister z. B. durch ein Datenschutz-Audit
  • Vor-Ort-Besuche, Begehung der IT- und TK-Infrastruktur zur Prüfung der datenschutzrechtlichen Zuverlässigkeit des externen Dienstleisters
  • Bei externen Dienstleistern in einem Drittstaat außerhalb der EU, datenschutzrechtliche Beurteilung der vorliegenden Fallgruppen zum Abschluss der erforderlichen Vereinbarungen zur Auftragsverarbeitung und/oder EU-Standardvertragsklauseln (Auswahl der Klauselsets)