Auftragsverarbeitung, Art. 28 DSGVO

auftragsdatenverarbeitungAuftragsverarbeitung liegt regelmäßig dann vor, wenn Dritte in einen Datenverarbeitungsvorgang eingeschaltet werden (z.B. beim Outsourcing). Diese Dritte sind sorgfältig auszuwählen. Der Auftrag ist dem Dritten zwingend schriftlich zu erteilen. Er muss eine Vielzahl gesetzlich genau vorgegebener Angaben beinhalten. Verstöße gegen die zwingenden gesetzlichen Vorschriften können zu Bußgeldern führen.

Begriff und Grundsätze der Auftragsverarbeitung

Eine Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) liegt vor, wenn personenbezogene Daten im Auftrag nicht vom Verantwortlichen selbst, sondern durch andere Stellen verarbeitet, § Art. 4 Nr. 8 Datenschutz-Grundverordnung (DSGVO). Einzelheiten zur Auftragsverarbeitung im Datenschutzrecht regelt Art. 28 DSGVO.

Beispiel: Ein Arzt beauftragt eine Abrechnungsunternehmen mit dem Inkasso und übermittelt diesem hierzu Patientendaten.

Es wird also ein Dritter für den Auftraggeber tätig. Der Dritte verarbeitet die ihm überlassenen Daten im vereinbarten Umfang. Damit überhaupt eine Auftragsverarbeitung vorliegt, muss der Dritte unselbstständig handeln. Sind ihm die Aufgaben zur selbstständigen Erledigung übertragen, handelt der Dritte nicht als Auftragsverarbeiter. Er ist vielmehr selbst verantwortliche Stelle i.S.d. der DSGVO.

Soweit eine Auftragsdatenverarbeitung nach § 11 BDSG gegeben ist, bleibt der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich. Die Rechte des Betroffenen sind regelmäßig ihm gegenüber geltend zu machen.

Auftragsverarbeiter: Qualifikation und Anforderungen

Der Auftragsverabeiter ist gem. Art. 28 DSGVO unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.

Bei der Datenverarbeitung darf der Auftragsverarbeiter die Daten zudem nur im Rahmen der Weisungen des Verantwortlichen verarbeiten.

Beispiel: Das Ärzte-Abrechnungsunternehmen darf mit den Patientendaten nur Rechnungen Mahnungen etc. erstellen. Eine Weitergabe an ein Pharmaunternehmen zu Forschungs- oder Werbezwecken ist unzulässig.

Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Verantwortlichen gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er diesen unverzüglich darauf hinzuweisen.

Form und Inhalt der Auftragserteilung zur Datenverarbeitung

Aufträge zur Datenverarbeitung müssen zwingend die folgenden Anforderungen erfüllen. Werden diese nicht erfüllt, so können gem. Art. 83 Abs. 4 lit. a DSGVO  Bußgelder von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes verhängt werden. 

Angesichts dieser Sanktionen sollte in Fällen der Auftragsdatenverarbeitung die formalen und inhaltlichen Vorgaben genau beachtet werden.

Der Vertrag über die Auftragsverarbeitung ist gem. Art. 28 Abs. 9 DSGVO 

schriftlich (auch in einem elektronischen Format)

abzufassen, wobei gem. Art. 28 Abs. 3 DSGVO insbesondere vorzusehen ist, dass der Auftragsverarbeiter:

  1. die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet
  2. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  3. alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
  4. die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
  5. angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
  6. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;
  7. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht
  8. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen - einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Download Vertrag Auftragsverarbeitung

 

425,00 EUR (357,14 EUR ohne MwSt.)
+
In den Warenkorb

 

Ähnliche Beiträge

Unverbindliche Anfrage

Kontaktieren Sie uns kostenfrei und unverbindlich bei Fragen zu Wirtschaftsrecht und Steuerrecht. Wir melden uns kurzfristig zurück.

Achtung! Bei Fristabläufen oder anderem sofortigen Handlungsbedarf kontaktieren Sie uns für eine Bearbeitung am selben Tag bitte ausschließlich telefonisch Montag bis Freitag vor 17 Uhr: +49 30 39 88 53 860