Auftragsverarbeiter2018-09-11T04:02:30+00:00

Pflichten der Veranwortlichen und Auftragsverarbeiter

Begriffsbestimmung siehe Artikel 4 Nr. 7 + 8 DSGVO
Gemeinsames erarbeiten der Artikel 24 – 34 DSGVO
Auftragsverarbeiter Artikel 28 DSGVO

Um die vertraglichen Pflichten des Auftragsverarbeiters zu erfüllen ist der Abschluss eines Vertrags zur Auftragsverabeitung nach Artikel 28 DSGVO sehr unverzichtbar. Ohne einen Auftragsverarbeitungsvertrag besteht keine Rechtsgrundlage zur Auftragsverarbeitung. In diesem (AV) muss eine Regelung enthalten sein, welche den Auftragsverarbeiter dazu verpflichtet, nur nach Weisung des Verantwortlichen personenbezogene Daten zu verarbeiten. Der Auftragnehmer muss gewährleisten, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden.

Technische und organisatorische Maßnahmen

Es ist vertraglich festzulegen, dass alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Datensicherheit erfüllt sind. Die vorzunehmenden technischen und organisatorischen Maßnahmen (TOM) sind detailiert zu beschreiben, denn diese geben möglicherweise Auskunft über das Vorliegen eines Pflichtverstosses. Weiterhin hat der Auftragsverarbeiter nach Artikel 28 Abs. 1 DSGVO Garantien zu bieten, um nachzuweisen, dass die Datenverarbeitung durch TOMs nach DSGVO rechtmäßig erfolgt. Hierbei sind auch die Rechte der Betroffenen zu berücksichtigen.

Hinreichende Garantien können nach Artikel 28 Abs. 5 DSGVO im Wege der Einhaltung genehmigter Verhaltensregelung gemäß Artikel 40 DSGVO oder  mittels eines genehmigten Zertifizierungsverfahrens gem. Artikel 42 DSGVO, beispielsweise durch eine ISO Zertifizierung, nachgewiesen werden.

Inanspruchnahme von weiteren Auftragsverarbeitern, wie beispielsweise Subunternehmer

Nur mit einer schriftlichen Genehmigung des Verantwortlichen ist es erlaubt weitere Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten zu beauftragen. Ergeben sich im Zuge der Auftragsverarbeitung Änderungen, die nicht vertraglich festgehalten sind, ist der Verantwortliche darüber in Kenntnis zu setzen und der Auftragsverarbeitungsvertrag ggf. anzupassen.

Zwischen Auftragsverarbeitern und weiteren Auftragsverarbeitern ist ebenfalls ein Auftragsverarbeitungsvertrag abzuschließen, welcher den Anforderungen des Artikel 28 DSGVO genügt.

Anträge von betroffenen Personen

Wie schon im Artikel „Betroffene“ beschrieben, haben betroffene Personen gegenüber dem Verantwortlichen Ansprüche auf Auskunft,  Berichtigung und Löschung von Daten, Einschränkung der Verarbeitung,  Datenübertragbarkeit und Widerspruch. Um diesen Anspruch des Betroffenen geltend machen zu können, ist der Auftragsverarbeiter verpflichtet, die verantwortliche Stelle bei der Beatwortung der Belange des Betroffenen zu unterstützen.

Der Auftragsverarbeiter ist gemäß Artikel 28 Abs. 3 lit. f DSGVO vertraglich zu verpflichteten, den Verantwortlichen dabei zu unterstützen, dessen Pflichten aus Artikel 32 bis 36  DSGVO einzuhalten.

Diese Pflichten beinhalten:

  • Ergreifung der technischen und organisatorischen Maßnahmen nach Art.32 DSGVO
  • Unverzügliche Meldung von Datenschutzverletzungen (innerhalb 72 Stunden) an  Aufsichtsbehörden nach Art.33 DSGVO
  • Benachrichtigung der von Datenschutzverletzungen betroffenen Personen nach Art.34 DSGVO
  • Unterstützung bei einer Datenschutzfolgenabschätzung nach Art.35 DSGVO
  • Konsultierung der Aufsichtsbehörde bei Verarbeitungen mit hohen Risiken nach Art.36 DSGVO

Lösch- und Rückgabepflichten nach der Auftragsbeendigung

Sofern nicht eine gesetzliche Verpflichtung besteht erhobene Daten länger aufzubewahren, muß der Auftragsverarbeitungsvertrag einen Passus enthalten, ob die zu verarbeitenden personenbezogenen Daten nach Beendigung des Auftragsverarbeitungsvertrasg gelöscht werden oder zurückzugeben sind.

Informationspflichten

Nach erteiltem Auftragsverarbeitungsvertrag, muss dem Verantwortlichen die Möglichkeit gegeben werden, die Auftragsverarbeitung überprüfen zu können. Diesen Passus kann man ebenfalls im AV festhalten. Diese Prüfung kann beispielsweise durch den externen Datenschutzbeauftragten des Verantwortlichen vorgenommen werden.

Verzeichnis von Verarbeitungstätigkeiten

Jeder Auftragsverarbeiter muss ein schriftliches oder elektronisches Verzeichnis über Verarbeitungstätigkeiten der Auftragsverarbeitung führen. Hierzu sieht Art. 30 Abs. 2 DSGVO  den erforderlichen Inhalt vor. Dieses Verzeichnis ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

Zusammenarbeit mit der Aufsichtsbehörde

Nach Artikel 31 DSGVO arbeiten der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. (Den Datenschutzbeauftrtagten bei der Datenschutzbehörde anmelden)

Bestellung des Datenschutzbeauftragten

Der Auftragsverarbeiter hat unter den Voraussetzungen des Art. 37 Abs. 1 DSGVO einen (internen oder externen) Datenschutzbeauftragten zu benennen.

Vertreter für Auftragsverarbeiter in Drittländern

Auftragsverarbeiter, die keine Niederlassung in der EU haben und personenbezogene Daten von EU- Bürgern verarbeiten, müssen gem. Art. 27 Abs. 1 DSGVO schriftlich einen Vertreter in der Union bestellen.

Übermittlungen von Daten an Drittländer und internationale Organisationen

Der Auftragsverarbeiter hat ebenfalls die Beschränkungen für Datenübermittlungen an Drittländer und internationale Organisationen gem. Art. 44 DSGVO zu beachten. Hiernach dürfen personenbezogene Daten nur dann übermittelt werden, wenn die Verarbeitung den Anforderungen der DSGVO genügt und im Empfängerland vergleichbare datenschutzrelevante Schutzmechanismen für Betroffene gelten.

Risiken und Haftung des Auftragsverarbeiters

Der Auftragsverarbeiter haftet nach Artikel 82 Abs. 1, Abs. 2 S. 2 DSGVO bei der Verletzung seiner Pflichten für die beim Betroffenen eingetretenen immateriellen und materiellen Schäden.

Geldbußen gegen Auftragsverarbeiter

Werden die Pflichten der Auftragsverarbeitung nicht erfüllt oder verletzt, drohen je nach Art und Schwere der Pflichtverletzung und unabhängig davon ob ein Schaden eintritt, Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Umsatzes des Konzerns im vorangegangenen Jahr, je nachdem, welcher Betrag höher ist!

Meldung an die Aufsichtsbehörde

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, ist eine Begründung für die Verzögerung beizufügen.

Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich, sodass dieser die weitern Schritte einleiten kann.

Titel
Auftragsverarbeiter
Artikel Name
Auftragsverarbeiter
Beschreibung
Um die vertraglichen Pflichten des Auftragsverarbeiters zu erfüllen ist der Abschluss eines Vertrags zur Auftragsverabeitung nach Artikel 28 DSGVO wichtig.
Autor
Name
DSB24
Logo
DJH Digital Marketing & Design erstellt professionelle Webseiten und Shops
DSB24 verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Wenn Sie auf der Seite weitersurfen stimmen Sie der Cookie-Nutzung zu. Ich stimme zu