Adv Vertrag

Vorvertrag

Vorraussetzung ist ein schriftlicher Vertrag mit den folgenden Bestimmungen: Sprung zu Kann ich einen Mustervertrag für die Auftragsdatenverarbeitung verwenden? Bestelldatenverarbeitung: gesetzeskonformer ADV-Vertrag Umsetzung der EU-Datenschutzgrundverordnung (DSGVO): Was ist mit Ihren Aufträgen für die Bestelldatenverarbeitung (ADV)? Wie ein ADV-Vertrag aussieht, was sich durch die DSGVO darin verändert und wie er aussieht, hier nachlesen. Du hast dich noch nicht einmal mit der DSGVO auseinandersetzt? Ohne ADV-Vertrag zwischen Kunde und Auftragnehmer keine Bestelldatenverarbeitung.

Wofür steht die Verarbeitung der Auftragsdaten?

Unter Bestelldatenverarbeitung versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Merkmalen durch einen Dienstleistungserbringer (Auftragnehmer). Basis für diese Kooperation ist ein schriftlich abgeschlossener Vertrag (ADV-Vertrag). Für diese Bestelldatenverarbeitung sind aktuell 11 BDSG und 17 der EU-Datenschutzrichtlinie maßgebend. Sie werden jedoch in Zukunft durch Art. 28 DSGVO viel präziser geregelt.

Weshalb sollten Sie mit der Bestelldatenverarbeitung beginnen? Es besteht weiterhin die Verpflichtung, Verträge über die Bestelldatenverarbeitung (ADV) abzuschließen - die DSGVO wird dies nicht abändern. Bei Ihnen als Kunde hat sich kaum etwas geändert. In Ihrem eigenen Sinne müssen Sie nur sicherstellen, dass jeder vorhandene ADV-Vertrag an die DSGVO angepaßt wird oder dass Zusatzvereinbarungen getroffen werden und dass das zukünftige Datenschutzgesetz bei jedem neuen ADV-Vertrag bereits berücksichtigt wird.

Entsprechen Ihre abgeschlossenen ADV-Verträge nicht den Vorgaben der DSGVO, kann dies - je nachdem, welcher Wert größer ist - eine Geldstrafe von 10 Mio. EUR oder 2% Ihres Gesamtumsatzes im Vorjahr nach sich ziehen (§ 83 Abs. 4). Bei Ihrem Dienstleister hingegen verändert sich bereits viel mehr: Die DSGVO verpflichtet ihn, das in ganz Europa gültige Datenschutzgesetz in gleicher Weise wie Sie zu befolgen.

Das Auftragsdatenverarbeitungssystem, wie Sie es aus dem Datenschutzgesetz (BDSG) gewohnt sind, wird in absehbarer Zeit ohne den Einsatz von "Daten" zurechtkommen müssen: Die Verarbeitung der Auftragsdaten wird zur Auftragsbearbeitung. Ein ADV-Vertrag wird daher in der Folgezeit nur noch als AV-Vertrag bezeichnet. Aus dem Auftragnehmer wird der Verarbeiter. Bestelldatenverarbeitung: Ein ADV-Vertrag bildet den gesetzlichen Rahmenbedingungen für die Verarbeitung der Informationen durch einen Dienstanbieter.

Wofür steht ein ADV-Vertrag? Der ADV-Vertrag ist ein Vertrag über die Verarbeitung von personenbezogenen Informationen im Namen des Kunden. Dieser gebräuchliche Praxisbegriff zur Unterscheidung von der Bestelldatenverarbeitung wird es jedoch in Zukunft nicht mehr gibt ( "DSGVO", vgl. Artikel 4 Nr. 8). Gemäß der EU-Datenschutzverordnung (DSGVO) muss jedes Unternehmertum einen ADV-Vertrag abschliessen, der es ermöglicht, persönliche Angaben im Namen eines Dienstleisters zu verarbeit.

Wozu ADV-Vertrag? Kunden oder zuständige Personen dürfen persönliche Informationen prinzipiell nicht an "Dritte" weitergegeben. Auch die Übermittlung von Informationen an einen anderen als den Corporate-Server, z.B. einen Cloud-Provider oder Rechenzentrumsbetreiber, ist generell nicht zulässig. Der Lösungsansatz: ein ADV-Vertrag. Das bedeutet, dass der Verarbeiter der Auftragsdaten gesetzlich als Teil des zuständigen Betriebes - und nicht als Dritter - klassifiziert ist.

Mit dem ADV-Vertrag wird somit ein wirksames Mittel zur Sicherstellung der gesetzeskonformen Verarbeitung von Auftragsdaten geschaffen. ADV-Vertrag: Was verändert sich nach DSGVO? Die ADV-Verträge müssen zukünftig nicht mehr nur in schriftlicher, sondern können auch in digitaler Weise geschlossen werden (§ 28 Abs. 9 DSGVO). 11 BDSG legt zur Zeit noch die Regelungen zur Bestelldatenverarbeitung fest und beharrt auf der schriftlichen Vertragsgestaltung.

Sie als Kunde sind weiterhin vollumfänglich und nahezu alleinig für die Datenverarbeitung zuständig und haften auch für die Datenverarbeitung - auch wenn ein Dienstleistungsunternehmen als Contractor beteiligt ist. Allerdings wird Art. 28 der EU-Datenschutzverordnung (DSGVO) diese Belastung ab dem Stichtag des Jahres 2018 auf beide Seiten verteilen:

Mit der DSGVO rücken Kunden und Unternehmer immer näher zusammen, wenn es darum geht, die Zuständigkeit für den Datenschutz zu übertragen. Bestelldatenverarbeiter oder DSGVO-konforme Bestellverarbeiter können z.B. Fremdpersonalagenturen, Lohnbüros, Steuerberater, Marketingbüros, Call Center und Cloud Computing-Anbieter sowie Fremdinformatiker etc. sein. 26 DSGVO reguliert die Verarbeitung von Informationen im Namen des Auftraggebers als gemeinschaftliche, gleichwertige Aufgabe des Auftraggebers und des Auftragnehmers - die so genannte Mitkontrolle.

Hierbei definieren zwei oder mehr für die Datenverarbeitung verantwortliche Personen in transparenter Weise die Ziele und Mittel für die Datenverarbeitung persönlicher Art. Die betroffenen Personen können ihre Rechte jedoch gegenüber jedem für die Datenverarbeitung Verantwortlichen, einschließlich des Auftragnehmers oder Verarbeiters, durchsetzen. ABER: Als Bearbeiter sind Sie im Grunde weiterhin der erste Anlaufstelle für die betroffenen Personen und müssen sicherstellen, dass die Datenschutzbestimmungen beachtet werden - und nicht der Auftragnehmer oder Verarbeiter.

Weitere Angaben zur Gemeinsamen Kontrolle, einschließlich einer Checkliste, hat der digitale Verband Bitkom in seiner PDF-Broschüre "Joint Controllership in the EU Data Protection Basic Regulation" zusammengefaßt. Wenn es um die Bestelldatenverarbeitung oder bald nur noch um die Bestellabwicklung geht, ist es lohnenswert, ein Absatzreiter zu werden. Wenn jedoch der Datenverkehr mit personenbezogenen Merkmalen Teil der Fernpflege ist, kann der Remote-Zugriff auf Ihre IT-Systeme sehr wohl als Auftragsabwicklung nach § 28 DSGVO eingestuft werden.

Das Bayerische Staatliche Amt für Datenschutzüberwachung (PDF) hat dies Ende Okt. 2016 argumentiert: Der digitale Verband Bitkom wird in seiner Richtlinie (PDF) "Begleitende Informationen zur Auftragsabwicklung" (Seite 22, Ziffer 1. 3 Instandhaltung und Inspektion) noch konkretisierter sein. Darin steht: "Aufträge zur Instandhaltung oder zum Testen von IT-Systemen gelten nicht als Auftragsabwicklung, wenn der Vertragsgegenstand nicht die EDV, sondern ausschließlich Unterstützungsleistungen sind.

"Nach DSGVO müßte daher kein ADV-Vertrag abgeschlossen werden. "Stattdessen müssen Wartungs- und Prüfaufgaben so gestaltet und reguliert werden, dass die Informationen entsprechend den Verpflichtungen des Sachbearbeiters nach 24 DSGVO ausreichend abgesichert sind. Praktische Anwendungsbeispiele, die laut Bitkom keine Auftragsabwicklung wiedergeben sind:: Parametrisierung von Programmen, Programmentwicklung, Programmanpassung und -konvertierung, Fehlerbehebung und Test, Die Inhaltsanforderungen an einen Vertrag über die Verarbeitung von Informationen im Sinne des EU-Datenschutzrechts richten sich in starkem Maße nach den in Deutschland bereits verbreiteten Gesichtspunkten des BDSG.

Überprüfungsrechte des Kontrolleurs und Toleranzverpflichtungen des Verarbeiters. Für die Vertragsbestimmungen zwischen Verursacher und Verarbeiter kann die EU-Kommission einheitliche Vertragsklauseln vorsehen (§ 28 Abs. 7 DSGVO).

Für Privatunternehmen wird der bisher gültige 11 BDSG bald Vergangenheit sein und für Privatunternehmen wird Art. 28 DSGVO maßgeblich sein. Als änderbares docx-Dokument bietet die Fachgesellschaft für Datenverarbeitung und -sicherheit einen Musterberatungsvertrag nach DSGVO als kostenloser Abruf in Deutsch und Englisch mit einem deutschsprachigen Praxishandbuch an, in dem beide Musterverträge nach BDSG und DSGVO punktuell verglichen werden.

Mit zunehmender Klarheit machen Sie die Absprachen über die Auftragsabwicklung im ADV-Vertrag und je genauer die Verpflichtungen darin festgelegt sind, um so mehr Verkehrssicherheit können sowohl Sie als auch der Verarbeiter haben. Welche Änderungen gibt es, welche nicht? Die ADV-Vereinbarung oder der AV-Vertrag muss nicht mehr ausschliesslich in schriftlicher Form erfolgen, sondern kann auch in einem elektronischen Datenformat erfolgen.

Zukünftig ist nicht nur der für die Datenverarbeitung Verantwortliche (Kunde), sondern auch der Auftragsbearbeiter gegenüber der betroffene Person unmittelbar haftbar, wenn er gegen seine Weisungspflicht ( 82 DSGVO) verstoßen hat, indem er die in der Datenverarbeitung des Kunden für eigene oder fremde Zweckbestimmungen verwendet. Für diesen Fall ist er selbst verantwortlich - mit allen Rechtsfolgen (§ 28 Abs. 10 DSGVO).

Auch außerhalb der EU kann die Verarbeitung der Auftragsdaten erfolgen (Art. 3 DSGVO). Bislang war die Auftragsabwicklung durch das BDSG auf die EU/EWR begrenzt ( 3 Abs. 8 S. 3 BDSG). Eine Einschränkung ist nach der Definition der DSGVO als Verarbeiter nicht mehr vorgesehen (§ 4 Abs. 8 DSGVO). Zukünftig müssen die Lohnverarbeiter ihre Verarbeitungsaktivitäten auch in schriftlicher oder elektronischer Form erfassen (Art. 30 Abs. 1).

DSGVO ) und diese Unterlagen an die Aufsicht, wenn sie dazu aufgefordert werden. Inwieweit es für Ihr Betrieb erforderlich ist, ein Bearbeitungsverzeichnis nach DSGVO zu führen, erfahren Sie im Artikel Bearbeitungsverzeichnis - Was tun? Die Verantwortlichen sind nach wie vor dazu angehalten, die Vertragsverarbeiter mit Bedacht auszusuchen. Die Rechte des Auftraggebers sind mit dem ADV-Vertrag zu vereinbar, ebenso wie die Verpflichtungen des Auftraggebers.

Die Bayerische Landesanstalt für Datenverarbeitung beschreibt diesen Aspekt auch als einen der wesentlichen Bausteine zur Erfüllung der DSGVO: ".... Vor allem die Vorlage der notwendigen Massnahmen zur Sicherung der Datenverarbeitung nach 32 DS-GVO. In diesem Zusammenhang ist zu erwähnen, dass die Datenverarbeitung nach 32 DS-GVO erfolgt. Der Verarbeiter darf einen Subunternehmer nur dann beauftragen, wenn die zuständige Person (Auftraggeber) dem in schriftlicher oder elektronischer Form zugestimmt hat.

Darüber hinaus muss der ADV-Vertrag zwischen dem Verarbeiter und dem Nachunternehmer dieselben Verpflichtungen wie der ADV-Vertrag zwischen dem Kontrolleur und dem Verarbeiter haben. Darüber hinaus ist der Verarbeiter dem für die Datenverarbeitung verantwortlichen Dritten gegenüber in vollem Umfang haftbar für Datenschutzverletzungen durch den Unterauftragnehmer. Wie im aktuellen 11 BDSG ist der Verarbeiter mit Bedacht und unter Beachtung der fachlichen und betrieblichen Massnahmen (TOMs) auszuwählen (Art. 28 Abs. 1).

Zum Nachweis solcher Sicherheiten können auch anerkannte Verhaltensvorschriften des Verarbeiters ausreichen ( 40 DSGVO) oder Bestätigungen ( 42 DSGVO). Die Auftragsverarbeitung darf der Verarbeiter nur im Auftrag des Kontrolleurs vornehmen (Art. 29 DSGVO). Weitere spannende Tips und Infos rund um die DSGVO - natürlich hier in unserem Weblog.

Mehr zum Thema