Auftragsdatenverarbeitung Muster §11BDSG - Art. 28 DSGVO

Auftragsdatenverarbeitung? Was ist das und wozu braucht man einen Vertrag zur Auftragsdatenverarbeitung?

Immer wenn personenbezogene Daten durch einen Dritten im Auftrag verarbeitet weAuftragsdatenverarbeitungsvertrag - Muster - § 11 BDSG - Art. 28 DSGVOrden, stellt sich die Frage, auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt. Damit die Daten von dem Auftraggeber zu dem Auftragnehmer (z.B. Cloud-Anbieter oder Rechenzentrums-Betreiber) übertragen werden dürfen, muss entweder eine Einwilligung des von der Datenverarbeitung Betroffenen i.S.d. § 4 BDSG bestehen oder die Datenübertragung wird auf anderem Wege "legalisiert". An diesem Grundsatz wird sich auch durch die Einführung der EU-Datenschutzgrundverordnung nichts ändern.

Mittel der Wahl zur Legalisierung einer Datenübertragung an Dritte ist der Abschluss eines sog. Auftragsdatenverarbeitungsvertrages. Unter Auftragsdatenverarbeitung versteht man die weisungsgebundene Datenverarbeitung durch Externe, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. Das Bundesdatenschutzgesetz enthält hierfür Regelungen in § 11 BDSG. Die ab Mai 2018 gültige EU-Datenschutzgrundverordnung, die die Regelungen des BDSG bzgl der Auftragsdatenverarbeitung komplett ersetzen wird regelt die Auftragsdatenverarbeitung in Art. 28 DSGVO.

Die Auftragsdatenverarbeitung in Fachkreisen auch als ADV bezeichnet. Ein Auftragsdatenverarbeitungsvertrag wird dementsprechend als ADV-Vertrag abgekürzt.

Meist unterhalten Unternehmen eine Vielzahl von Auftragsdatenverarbeitungsverhältnissen, insbesondere in den Bereichen IT und Personalverwaltung. Da es in der Praxis meist unmöglich ist, sich von allen durch den Datenverarbeitungsprozess Betroffenen eine rechtskonforme Einwilligung i.S.d. § 4 BDSG zu "organisieren", sollten diese Datenverarbeitungsprozesse über einen ADV-Vertrag "legalisiert" werden,.

MERKE: Liegt ein Auftragsdatenverarbeitungsverhältnis vor, muss vor Beginn der Auftragsdatenverarbeitung ein entsprechender Vertrag zwischen den Beteiligten abgeschlossen werden.

Was muss in einem Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) alles geregelt sein?

§ 11 BDSG schreibt vor, dass die nachfolgenden 10 Punkte zwingend in einem Vertrag zur Auftragsdatenverarbeitung geregelt werden müssen:

  • der Gegenstand und die Dauer des Auftrags,
  • der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
  • Regelungen zu Zugriffsberechtigungen und zur Löschung und Sperrung von Daten,
  • die Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • Regelungen zur Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Was ändert sich am Vertragsinhalt, wenn die EU-Datenschutzgrundverordnung ab Mai 2018 die Regelungen zur Auftragsdatenverarbeitung des § 11 BDSG ablösen wird?

Die EU-Datenschutzgrundverordnung, die abseits der Datenverarbeitung im Gesundheitswesen gem. Sozialgesetzbuche (SGB) ab Mai 2018 allein maßgebliche Rechtsgrundlage für den Bereich der Auftragsdatenverarbeitung werden wird, nimmt den Auftragnehmer zur Einhaltung des Datenschutzrechts weitaus stärker in die Pflicht als dies noch in § 11 BDSG der Fall ist.

Während das BDSG vorsieht, dass ausschließlich der Auftraggeber für den outgesourcten Datenverarbeitungsprozess verantwortlich ist, wird durch die DSGVO der Auftragnehmer für die Verarbeitung der Daten mitverantwortlich gemacht.

Die DSGVO enthält dementsprechend u.a. in den nachfolgend aufgelisteten Artikeln neue Regelungen zu selbstständigen datenschutzrechtlichen Pflichten, die sich u.a. auch an den Auftragnehmer, den sog. "Auftragsverarbeiter" richten:

  • Art. 27 Abs. 1 DSGVO:  Die Pflicht zur Bestellung eines „Repräsentanten“ trifft auch den Auftragsverarbeiter.
  • Art. 30 Abs. 2 DSGVO:  Der Auftragsverarbeiter ist zur Führung von Verfahrensverzeichnissen verpflichtet.
  • Art. 31 DSGVO:  Die Pflicht zur Zusammenarbeit mit der Datenschutzaufsicht trifft auch den Auftragsverarbeiter.
  • Art. 32 Abs. 1 DSGVO:  Die Pflicht zu technischen und organisatorischen Maßnahmen der Datensicherheit gilt auch für den Auftragsverarbeiter.
  • Art. 37 Abs. 1 DSGVO:  Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten trifft auch den Auftragsverarbeiter.
  • Art. 44 DSGVO: Die Beschränkungen für den Datentransfer in Drittländer sind auch vom Auftragsverarbeiter zu beachten.

Das bereits in § 11 BDSG verankerte Weisungsrecht des Auftraggebers gegenüber dem Auftragnehmer bleibt aber unverändert bestehen. Art. 29 der EU-DSGVO legt fest, dass der Auftragnehmer weiterhin grundsätzlich verpflichtet bleibt, im Rahmen der Datenverarbeitung ausschließlich auf Weisung des Verantwortlichen zu handeln:

Bildquelle: businessman thinking of problem stasique fotolia.com

GDPR+1 European Data Privacy Congress - BOOK NOW

Ihre Berater:

RA Marcus Dury LL.M.

RAin Sandra Dury - Datenschutzauditorin

RA Michael Pfeiffer

anwalt sidebar mk new small

Newsletter Anmeldung:

captcha 
Ihre E-Mail-Adresse wird nicht an Dritte weitergegeben. Eine Abmeldung ist jederzeit möglich. Weitere Infos finden Sie in unserer Datenschutzerklärung.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754 oder auf www.shop.ruw.de

 

*Wichtiger Hinweis:

Alle Leistungen, außer der Bearbeitung von Filesharing-Fällen für Verbraucher i.S.d. § 13 BGB, richten sich ausschließlich an Unternehmer i.S.d. § 14 BGB, nicht an Verbraucher i.S.d. § 13 BGB! Alle Preisangaben außerhalb des Bereichs der Abwehr von urheberrechtlichen Abmahnung wegen Filesharings erfolgen daher als Netto-Preise.

© 2019 DURY Rechtsanwälte