Die Auftragsdatenverarbeitung – am 25.05.2018 tritt die Datenschutz-Grundverordnung in Kraft!

Die Auftragsdatenverarbeitung – am 25.05.2018 tritt die Datenschutz-Grundverordnung in Kraft!

In jedem Unternehmen, unabhängig von der Größe, werden Daten im Auftrag verarbeitet. Demnach entsteht immer eine Auftragsdatenverarbeitung. Am 25.05.2018 tritt die Datenschutz-Grundverordnung europaweit in Kraft. Doch was heißt das für Sie?

Was ist die Auftragsdatenverarbeitung?

Das Erheben, Verarbeiten oder Nutzen von personenbezogenen Daten durch einen Dienstleister, also des Auftragnehmers, wird als Auftragsdatenverarbeitung bezeichnet. Da der Dienstleister an die Weisung des Auftraggebers gebunden ist, muss hierfür ein schriftlicher Vertrag zwischen Auftragnehmer und Auftraggeber geschlossen werden. Dieser wird als ADV-Vertrag bezeichnet. Aktuell gelten für die Auftragsdatenverarbeitung § 11 BDSG sowie zum Teil auch Artikel 17 der EU-Datenschutzrichtlinie. Zukünftig wird Artikel 28 DSGVO die Auftragsdatenverarbeitung detaillierter regeln.

ADV-Vertrag – Was ist das und wann ist der Vertrag notwendig?

Der ADV-Vertrag ist ein Vertrag zur Datenverarbeitung im Auftrag. Er regelt also die betriebliche Datenverarbeitung mithilfe eines Dienstleisters, der seinem Auftraggeber weisungsgebunden ist. Nach der EU-Datenschutz-Grundverordnung (DSGVO) ist der Abschluss eines Vertrags zwingend notwendig, damit personenbezogene Daten im Auftrag verarbeitet werden können.

Aus Datenschutzgründen dürfen Auftraggeber personenbezogene Daten nicht ohne Zustimmung an „Dritte“ weitergeben. Schon die Übertragung von Daten auf einen externen Server, der kein Unternehmensserver ist, ist nicht erlaubt. Solche Server sind beispielsweise Server von Cloud-Anbietern. Um dies zu vermeiden, muss der ADV-Vertrag geschlossen werden. Die Auftragsdatenverarbeiter werden rechtlich wie ein Teil des verantwortlichen Unternehmens eingestuft und nicht als Dritter. Der ADV-Vertrag dient dazu, die Auftragsdatenverarbeitung gesetzeskonform zu gestalten. Rechtlich gesehen gilt die bloße Datenübermittlung an den Auftragnehmer nicht als Datenverarbeitung (§ 3 IV 3 BDSG).

DSGVO – das ändert sich!

Gemäß Art. 28, Abs. 9 DSGVO können die ADV-Verträge nicht mehr ausschließlich schriftlich, sondern  auch digital abgeschlossen werden. Aktuell werden die Regeln für die Auftragsdatenverarbeitung aber noch in § 11 BDSG vorgegeben und hiernach muss der Vertrag schriftlich geschlossen werden.

Derzeit sind Sie als Auftraggeber vollständig und nahezu allein verantwortlich. Die Haftung für die Verarbeitung der Daten liegt somit beim Auftraggeber. Dies wird jedoch ab dem 25.05.2018 in Artikel 28 der EU-Datenschutz-Grundverordnung (DSGVO) auf Auftragnehmer und Auftraggeber verteilt, so dass die Verantwortung zum Schutz der personenbezogenen Daten bei beiden Parteien liegt und nicht mehr nur beim Auftragggeber.

Inhalt des ADV-Vertrags

Die inhaltlichen Anforderungen des Vertrags zur Datenverarbeitung im Auftrag orientieren sich an den in Deutschland bereits bekannten Punkten des BDSG.
Nachfolgend haben wir Ihnen zusammengestellt, was nach Art. 28 Abs. 3 DSGVO im ADV-Vertrag enthalten sein muss:

  • Wer ist für die Datenverarbeitung verantwortlich?
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit (Art.24 und Art.28 Abs.3 DS-GVO)
  • Sicherstellung von technischen und organisatorischen Maßnahmen für den Datenschutz (TOMs: Zertifikate, Garantien Art. 28 Abs. 1 DSGVO)
  • Hinzuziehung von Subunternehmern
  • Unterstützung des Auftraggebers (für die Verarbeitung Verantwortlichen) durch den Auftragsverarbeiter, wenn es um die größtmögliche Sicherheit der Verarbeitung personenbezogener Daten geht, Löschung von Daten, Melden von Datenschutzverletzungen, etc. (vgl. Art. 32 bis 36 DSGVO).
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters.
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Grundsätzlich gilt: Je detaillierter der ADV-Vertrag, desto mehr Rechtssicherheit!

Den Kunden und Partnern der Netcontrol GmbH steht im Webcenter die „Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag des Arbeitgebers (Betrieb von StarFinder® DIGITAL ARCHIV)“ zum Download bereit. Wir bitten Sie, den Vertrag ausgefüllt und unterzeichnet an uns zu senden – selbstverständlich erhalten Sie einen von uns gegengezeichneten Vertrag für Ihre Unterlagen zur Verfügung.

Sie haben Fragen? Gerne können Sie uns kontaktieren!

Ich will mehr!

Kostenlose Online-Präsentation.StarFinder 30 Tage unverbindlich testen.Sonstiges





Einwilligungserklärung
Ich stimme der Einwilligungserklärung zu

Teilen Sie diesen Beitrag jetzt datenschutzfreundlich!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.