Auftragsdatenverarbeitung Subunternehmer

Vertragsdatenverarbeitung Subunternehmer

immer der Auftraggeber im Rahmen der Auftragsdatenverarbeitung ist und Kontrollrechte gegenüber dem Subunternehmer ausübt. Damit ist das System für nachträgliche Änderungen im Einsatz von Subunternehmern geeignet. Auftragsdatenverarbeitung: gesetzeskonformer ADV-Vertrag Umsetzung der EU-Datenschutzgrundverordnung (DSGVO): Was ist mit Ihren Aufträgen für die Auftragsdatenverarbeitung (ADV)? Wie ein ADV-Vertrag aussieht, was sich durch die DSGVO darin verändert und wie er aussieht, hier nachlesen. Du hast dich noch nicht einmal mit der DSGVO auseinandersetzt?

Ohne ADV-Vertrag zwischen Kunde und Auftragnehmer keine Auftragsdatenverarbeitung. Die Auftragsdatenverarbeitung - was ist das?

Unter Auftragsdatenverarbeitung versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Merkmalen durch einen Dienstleistungserbringer (Auftragnehmer). Das Dienstleistungsunternehmen ist an die Anweisungen des Kunden verpflichtet. Basis für diese Kooperation ist ein schriftlich abgeschlossener Arbeitsvertrag (ADV-Vertrag). Für diese Auftragsdatenverarbeitung sind aktuell 11 BDSG und 17 der EU-Datenschutzrichtlinie maßgebend.

Sie werden jedoch in Zukunft durch Art. 28 DSGVO viel präziser geregelt. Weshalb sollten Sie mit der Auftragsdatenverarbeitung beginnen? Es besteht weiterhin die Verpflichtung, Verträge über die Auftragsdatenverarbeitung (ADV) abzuschließen - die DSGVO wird dies nicht abändern. Bei Ihnen als Kunde hat sich kaum etwas geändert. In Ihrem eigenen Sinne müssen Sie nur sicherstellen, dass jeder vorhandene ADV-Vertrag an die DSGVO angepaßt wird oder dass Zusatzvereinbarungen getroffen werden und dass das zukünftige Datenschutzgesetz bei jedem neuen ADV-Vertrag bereits berücksichtigt wird.

Entsprechen Ihre abgeschlossenen ADV-Verträge nicht den Vorgaben der DSGVO, kann dies - je nachdem, welcher Wert größer ist - eine Geldstrafe von 10 Mio. EUR oder 2% Ihres Gesamtumsatzes im Vorjahr nach sich ziehen (§ 83 Abs. 4). Bei Ihrem Dienstleister hingegen verändert sich bereits viel mehr: Die DSGVO verpflichtet ihn, das in ganz Europa gültige Datenschutzgesetz in gleicher Weise wie Sie zu befolgen.

Auftragsdatenverarbeitung, wie Sie sie aus dem Datenschutzgesetz (BDSG) herleiten, wird in absehbarer Zeit ohne den Einsatz von "Daten" zurechtkommen müssen: Die Auftragsdatenverarbeitung wird zur Auftragsbearbeitung. Ein ADV-Vertrag wird daher in der Folgezeit nur noch als AV-Vertrag bezeichnet. Aus dem Auftragnehmer wird der Verarbeiter. Auftragsdatenverarbeitung: Ein ADV-Vertrag bildet den gesetzlichen Rahmenbedingungen für die Verarbeitung der Informationen durch einen Dienstanbieter.

Wofür steht ein Zusatzvertrag? Eine ADV-Vereinbarung ist ein Dienstleistungsvertrag über die Verarbeitung von Daten im Namen. Die operative Verarbeitung der Daten wird, wie oben dargestellt, mit Hilfe eines an die Weisungen des Auftraggebers gebundenen Dienstleistungsunternehmens von ihm geregelt. Kann oder darf der Unternehmer selbst entscheiden, so ist es zur Zeit noch eine Funktionsverlagerung. Dieser gebräuchliche Praxisbegriff zur Unterscheidung von der Auftragsdatenverarbeitung wird es jedoch in Zukunft nicht mehr gibt ( "DSGVO", vgl. Artikel 4 Nr. 8).

Gemäß der EU-Datenschutzverordnung (DSGVO) muss jedes Unternehmertum einen ADV-Vertrag abschliessen, der es ermöglicht, persönliche Angaben im Namen eines Dienstleisters zu verarbeit. Wozu ADV-Vertrag? Kunden oder zuständige Personen dürfen persönliche Informationen prinzipiell nicht an "Dritte" weitergegeben. Auch die Übermittlung von Informationen an einen anderen als den Corporate Server, z.B. einen Cloud-Provider oder Rechenzentrumsbetreiber, ist generell nicht zulässig.

Der Lösungsansatz: ein ADV-Vertrag. Das bedeutet, dass der Verarbeiter der Auftragsdaten gesetzlich als Teil des zuständigen Betriebes - und nicht als Dritter - klassifiziert ist. Mit dem ADV-Vertrag wird somit ein wirksames Mittel zur Sicherstellung der gesetzeskonformen Auftragsdatenverarbeitung geschaffen. Die reine Übermittlung von Daten an den Auftraggeber wird daher juristisch nicht als Informationsverarbeitung betrachtet - dies ist bereits heute der Fall (§ 3 IV 3 BDSG).

ADV-Vertrag: Was verändert sich nach DSGVO? Die ADV-Verträge müssen zukünftig nicht mehr nur in schriftlicher Form geschlossen werden, sondern können auch in digitaler Weise erfolgen (§ 28 Abs. 9 DSGVO). 11 BDSG legt zur Zeit noch die Regelungen zur Auftragsdatenverarbeitung fest und beharrt auf der schriftlichen Vertragsgestaltung. Sie als Kunde sind weiterhin vollumfänglich und nahezu alleinig für die Datenverarbeitung zuständig und haften auch für die Datenverarbeitung - auch wenn ein Dienstleistungsunternehmen als Contractor beteiligt ist.

Allerdings wird Art. 28 der EU-Datenschutzverordnung (DSGVO) diese Belastung ab dem Stichtag des Jahres 2018 auf beide Seiten verteilen: Mit der DSGVO rücken Kunden und Auftragnehmer immer näher zusammen, wenn es darum geht, die Zuständigkeit für den Datenschutz zu übertragen. Von wem stammt ein Bestelldatenverarbeiter und von wem nicht? Bestelldatenverarbeiter oder DSGVO-konforme Bestellverarbeiter können z.B. Fremdpersonalagenturen, Lohnbüros, Steuerberater, Marketingbüros, Call Center und Cloud Computing-Anbieter sowie Fremdinformatiker etc. sein.

26 DSGVO reguliert die Informationsverarbeitung im Namen des Auftraggebers als gemeinschaftliche, gleichwertige Aufgabe des Auftraggebers und des Auftragnehmers - die so genannte Mitkontrolle. Hierbei definieren zwei oder mehr für die Auftragsvergabe zuständige Stellen in transparenter Weise die Ziele und Mittel für die Datenverarbeitung persönlicher Art. Das BDSG ist sich dieser neuen Möglichkeiten der gegenseitigen Verantwortlichkeit nicht bewusst. Die betroffenen Personen können ihre Rechte jedoch gegenüber jedem für die Verarbeitung Verantwortlichen, einschließlich des Auftragnehmers oder Verarbeiters, durchsetzen.

ABER: Als Verantwortliche für die Datenverarbeitung sind Sie im Grunde weiterhin der erste Anlaufstelle für die betroffenen Personen und müssen sicherstellen, dass die Datenschutzbestimmungen beachtet werden - und nicht der Auftragnehmer oder Verarbeiter. Weitere Angaben zur Gemeinsamen Kontrolle, einschließlich einer Checkliste, hat der digitale Verband Bitkom in seiner PDF-Broschüre "Joint Controllership in the EU Data Protection Basic Regulation" zusammengefaßt.

Wenn es um die Auftragsdatenverarbeitung oder bald nur noch um die Auftragsabwicklung geht, ist es lohnenswert, ein Absatzreiter zu werden.

Darin steht: "Aufträge zur Instandhaltung oder zum Testen von IT-Systemen gelten nicht als Auftragsabwicklung, wenn der Vertragsgegenstand nicht die EDV, sondern ausschließlich Unterstützungsleistungen sind. "Nach DSGVO müßte daher kein ADV-Vertrag abgeschlossen werden. "Stattdessen müssen Wartungs- und Prüfaufgaben so gestaltet und reguliert werden, dass die Informationen entsprechend den Verpflichtungen des Sachbearbeiters nach 24 DSGVO ausreichend abgesichert sind.

Praktische Anwendungsbeispiele, die laut Bitkom keine Auftragsabwicklung wiedergeben sind:: Parametrisierung von Programmen, Programmentwicklung, Programmanpassung und -konvertierung, Fehlerbehebung und Test, Die Inhaltsanforderungen an einen Datenverarbeitungsauftrag im Sinne des EU-Datenschutzrechts richten sich in starkem Maße nach den in Deutschland bereits kommunizierten Vorgaben des BDSG. Die folgende Auflistung enthält jedoch der Übersichtlichkeit halber alle wesentlichen Aspekte, die in Zukunft mit Hilfe eines ADV-Vertrages geregelt werden müssen (§ 28 Abs. 1 BGB).

DSGVO): Betreuung des Kunden (Datenverantwortlichen) durch den Prozessor, wenn es um grösstmögliche Betriebssicherheit bei der Datenverarbeitung, Datenlöschung, Meldung von Datenverstössen, etc. geht. der DSGVO (vgl. Artikel 32 bis 36 DSGVO). Überprüfungsrechte des Kontrolleurs und Toleranzverpflichtungen des Verarbeiters. Für die Vertragsbestimmungen zwischen Verursacher und Verarbeiter kann die EU-Kommission einheitliche Vertragsklauseln vorsehen (§ 28 Abs. 7 DSGVO).

Für Privatunternehmen wird der bisher gültige 11 BDSG bald Vergangenheit sein und für Privatunternehmen wird Art. 28 DSGVO maßgeblich sein. Mit dem BDSG (neu), das ebenfalls mit Wirkung zum Ablauf des Jahres 2018 in die Wege geleitet wird, hat 11 einen ganz anderen Inhalts. Als änderbares docx-Dokument bietet die Fachgesellschaft für Datenverarbeitung und -sicherheit einen Musterberatungsvertrag nach DSGVO als kostenloser Abruf in Deutsch und Englisch mit einem deutschsprachigen Praxishandbuch an, in dem beide Musterverträge nach BDSG und DSGVO punktuell verglichen werden.

Mit zunehmender Klarheit machen Sie die Absprachen über die Auftragsabwicklung im ADV-Vertrag und je genauer die Verpflichtungen darin festgelegt sind, um so mehr Verkehrssicherheit können sowohl Sie als auch der Verarbeiter haben. Welche Änderungen gibt es, welche nicht? Die ADV-Vereinbarung oder der AV-Vertrag muss nicht mehr ausschliesslich in schriftlicher Form erfolgen, sondern kann auch in einem elektronischen Datenformat erfolgen.

Zukünftig ist nicht nur der für die Datenverarbeitung verantwortliche Stelle (Kunde), sondern auch der Auftragsbearbeiter gegenüber der betroffene Person unmittelbar haftbar, wenn er gegen seine Weisungspflicht ( 82 DSGVO) verstoßen hat, indem er die in der Datenverarbeitung des Kunden für eigene oder fremde Zweckbestimmungen verwendet. Für diesen Fall ist er selbst verantwortlich - mit allen Rechtsfolgen (§ 28 Abs. 10 DSGVO).

Eine Auftragsdatenverarbeitung kann auch außerhalb der EU erfolgen (Art. 3 DSGVO). Bislang war die Auftragsabwicklung durch das BDSG auf die EU/EWR begrenzt ( 3 Abs. 8 S. 3 BDSG). Eine Einschränkung ist nach der Definition der DSGVO als Verarbeiter nicht mehr vorgesehen (§ 4 Abs. 8 DSGVO). Zukünftig müssen die Lohnverarbeiter ihre Verarbeitungsaktivitäten auch in schriftlicher oder elektronischer Form erfassen (Art. 30 Abs. 1).

DSGVO ) und diese Unterlagen an die Aufsicht, wenn sie dazu aufgefordert werden. Bislang waren nur öffentliche Auftraggeber dazu angehalten, ein Verarbeitungsregister zu unterhalten und es der Aufsicht auf Anfrage zur Verfuegung zu stellen. Darueber hinaus war es auch moeglich, dass die Vergabe von Auflaeufern erfolgt. Inwieweit es für Ihr Betrieb erforderlich ist, ein Bearbeitungsverzeichnis nach DSGVO zu unterhalten, erfahren Sie im Artikel Bearbeitungsverzeichnis - Was tun?

Die Verantwortlichen sind nach wie vor dazu angehalten, die Vertragsverarbeiter mit Bedacht auszusuchen. Es bestehen Kontrollbefugnisse, aber keine Kontroll- und Dokumentationsanforderungen, wie sie nach dem BDSG bestehen. Die Rechte des Auftraggebers sind mit dem ADV-Vertrag zu vereinbar, ebenso wie die Verpflichtungen des Auftraggebers. Die Bayerische Landesanstalt für Datenverarbeitung beschreibt diesen Aspekt auch als einen der wesentlichen Bausteine zur Erfüllung der DSGVO: ".... Vor allem die Vorlage der notwendigen Massnahmen zur Sicherung der Datenverarbeitung nach 32 DS-GVO. In diesem Zusammenhang ist zu erwähnen, dass die Datenverarbeitung nach 32 DS-GVO erfolgt.

Der Verarbeiter darf einen Subunternehmer nur dann beauftragen, wenn die zuständige Person (Auftraggeber) dem in schriftlicher oder elektronischer Form zugestimmt hat. Darüber hinaus muss der ADV-Vertrag zwischen dem Verarbeiter und dem Subunternehmer die gleichen Verpflichtungen wie der ADV-Vertrag zwischen dem Kontrolleur und dem Verarbeiter haben. Darüber hinaus ist der Verarbeiter dem für die Datenverarbeitung verantwortlichen Dritten gegenüber in vollem Umfang haftbar für Datenschutzverletzungen durch den Unterauftragnehmer.

Wie im aktuellen 11 BDSG ist der Verarbeiter mit Bedacht und unter Beachtung der fachlichen und betrieblichen Massnahmen (TOMs) auszuwählen (Art. 28 Abs. 1). Zum Nachweis solcher Sicherheiten können auch anerkannte Verhaltensvorschriften des Verarbeiters ausreichen ( 40 DSGVO) oder Bestätigungen ( 42 DSGVO).

Die Auftragsverarbeitung darf der Verarbeiter nur im Auftrag des Kontrolleurs vornehmen (Art. 29 DSGVO). Weitere spannende Tips und Infos rund um die DSGVO - natürlich hier in unserem Weblog.

Auch interessant

Mehr zum Thema