Legal Stuff 037 – Auftragsverarbeitung gem. DSGVO

itunes_subscribe_button

bkeulfn

Nicht nur neue Begriffe, auch inhaltlich ist einiges neu bei der Auftrags(daten)verarbeitung. Der Fokus liegt mehr ais bisher bei der Auswahl eines zuverlässigen Dienstleisters (das muss man natürlich dokumentieren). Und damit der Dienstleister wirklich geeignet ist, muss er hinreichende Datenschutzmaßnahmen haben – und der Auftraggeber sicher sein können, dass diese umgesetzt werden.

Wie bisher braucht man einen wirksamen Vertrag (muss aber nicht mehr schriftlich sein), der folgendes enthält:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • die Art der personenbezogenen Daten
  • die Kategorien betroffener Personen
  • die Pflichten und Rechte des Verantwortlichen

Der Vertrag muss vorsehen, dass der Auftragnehmer

  1. die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
  2. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  3. alle gemäß DSGVO erforderlichen Maßnahmen ergreift;
  4. die datenschutzrechtlichen Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
  5. angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seinen datenschutzrechtlichen Pflichten nachzukommen;
  6. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht,
  7. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Der Dienstleister muss den Auftraggeber sofort informieren, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

 

Beitragsbild: Sicherheitskonzept: Red Shield mit Schlüsselloch auf digitale Hintergrund© maxkabakov

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.