Übersicht zur Auftragsverarbeitung
Wer ist Auftragsverarbeiter?
Auftragsverarbeiter = natürliche oder juristische Person die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Grundsätzlich unterscheidet man:
- Auftragsverarbeitung nach Art. 28 DSGVO
- Gemeinsame Verantwortung nach Art. 26 DSGVO
- „normale“ Übermittlung von einem an einen anderen Verantwortlichen
Pflichten des Auftragsverarbeiters:
- Abschluss eines AV-Vertrages
- Sicherheit der Verarbeitung
- Führen eines Verzeichnisses von Verarbeitungstätigkeiten (für Auftragsverarbeitungen)
- Meldung von Datenschutzverletzungen an den Verantwortlichen
Auftragsverarbeiter haftet für Verletzungen der Auftragsverarbeiter-Pflichten und bei Nichtbefolgung der Anweisungen des Verantwortlichen.
Daumenregel zur Abgrenzung von Auftragsverarbeitung
Wenn fremde Fachleistungen anderer Art (also nicht im Schwerpunkt Datenverarbeitung) in Anspruch genommen werden , handelt es sich nicht um Auftragsverarbeitung.
Wer über Zwecke und Mittel der Verarbeitung entscheidet, ist (ggfls. gemeinsam mit anderen Stellen) Verantwortlicher.
Anforderungen an Auftragsverarbeitungen nach Art. 28 DSGVO
- Prüfpflicht des Verantwortlichen im Hinblick auf technische- und organisatorische Maßnahmen
- Schriftlicher oder elektronischer Vertrag
- Nicht zwingend elektronische Signatur erforderlich, Abschluss per E-Mail kann genügen
- Anforderungen an den Vertragsinhalt nach Art. 28 vgl. Muster AV im Vorlagenbereich
Weisungsgebundenheit (Art. 28 Abs. 3 Satz 2 Buchst. a DSGVO)
Der Auftragsverarbeiter verarbeitet die Daten nur auf dokumentierte Weisung des Verantwortlichen. Deshalb muss der Dienstleister auch auf die Erteilung von Weisungen des Verantwortlichen bestehen.
Vertraulichkeit (Art. 28 Abs. 3 Satz 2 Buchst. b DSGVO)
Alle zur Datenverarbeitung eingesetzten Personen des Auftragsverarbeiters müssen zur Vertraulichkeit verpflichtet sein oder einer gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragsverarbeiter muss die entsprechenden gesetzlichen oder sonstigen Verschwiegenheitsverpflichtungen des eingesetzten Personals jederzeit nachweisen können.
Technische und organisatorische Sicherungsmaßnahmen (Art. 28 Abs. 3 Satz 2 Buchst. c DSGVO)
Der Auftragsverarbeiter muss sich verpflichten, alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zu ergreifen.
Dazu zählen unter anderem:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Datenverarbeitung auf Dauer sicherzustellen
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu diesen Daten nach einem Zwischenfall rasch wiederherzustellen, sowie
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Das Ausmaß der Sicherungsmaßnahmen ist unter Berücksichtigung des Standes der Technik und der betroffenen Daten risikoangemessen zu bestimmen
Pflichten des Auftragsverarbeiters
Auch der Auftragsverarbeiter unterliegt Dokumentationspflichten. Insbesondere muss er gemäß Art. 30 Abs. 2 DSGVO ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Verarbeitungstätigkeiten führen, das folgende Angaben enthält:
- den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten,
- die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 U Abs. 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien sowie
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.
Das Verzeichnis von Verarbeitungstätigkeiten ist schriftlich zu führen, was auch „in einem elektronischen Format“ erfolgen kann (Art. 30 Abs. 3 DSGVO). Es muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden (Art. 30 Abs. 4 DSGVO).
Darüber hinaus muss der Auftragsverarbeiter die Weisungen des Verantwortlichen dokumentieren (Art. 28 Abs. 3 Satz 2 Buchst. a DSGVO) und dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellen (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO).
Nach Beendigung der Auftragsverarbeitung ist die Rückgabe bzw. Löschung der Daten gemäß Art. 28 Abs. 3 Satz 2 Buchst. g DSGVO zu dokumentieren.
Mit Blick auf seine Pflicht zur Unterstützung des Verantwortlichen (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO) sollte der Auftragsverarbeiter auch Prozesse für die Durchsetzung der Betroffenenrechte (Art. 28 Abs. 3 Satz 2 Buchst. e DSGVO) und hinsichtlich der Melde- und gegebenenfalls Benachrichtigungspflicht bei Datenschutzverletzungen (Art. 33, 34 DSGVO) dokumentieren.
Klarheit und Schutz ohne sinnlose Hürden
Sprechen Sie uns an oder vereinbaren einen 15 Minuten Expertengespräch mit Achim Barth.
Tel: +49 0711 40070720
info@barth-datenschutz.de
Seminare & Vorträge
Vorträge oder Ein-Tages-Seminare sind für kleine Unternehmen sinnvoll.
Achim Barth bietet Ihnen Online-Seminare oder kommt in Ihr Unternehmen und gibt Ihnen und Ihren Angestellten eine Mitarbeiterschulung.
Anhand der Programme Microsoft Teams und SharePoint Online erkläre ich Ihnen in meinem Praxishandbuch minutiös Prozesse und Systeme, mit denen Sie die geforderten Standards erfüllen.
Crypta-Seminarraum
Der Seminar- und Besprechungsraum „Crypta“ befindet sich in Winterbach, in der Brunnengasse 3. Ausgestattet mit moderner Tagungstechnik:
- Interaktives Whiteboard, Clickshare, professionelles Audio & Video
- Professionelle Raumakustik und -beleuchtung
- Raumbelüftung mit ProActive Air: Vergleichbar mit Bergluft dank virenbefreiter, sauberer Luft