Vertrag zur Auftragsverarbeitung nach DSGVO
Auftragsverarbeitung personenbezogener Daten
Wenn es um den Datenschutz geht, wird’s bürokratisch. Der Vertrag zur Auftragsverarbeitung nach DSGVO regelt den Umgang mit Unternehmens- und Mitarbeiterdaten und ist die Basis für die Zusammenarbeit mit externen Dienstleistern wie der Personalvermittlung.
Was ist eine Auftragsverarbeitung?
Nach Art. 28 Abs. 1 DSGVO handelt es sich bei der Auftragsverarbeitung um das Verarbeiten personenbezogener Daten durch einen Dienstleister im Auftrag eines Verantwortlichen. Unter Verarbeiten versteht man dabei gem. Art. 4 Nr. 2 DSGVO das Erheben, Erfassen, Ändern oder Speichern von personenbezogenen Daten. Der Auftragsverarbeiter handelt dabei gemäß den Weisungen des Verantwortlichen.
Warum braucht es einen Vertrag zur Auftragsverarbeitung?
Ganz einfach: Ein Vertrag sorgt für Klarheit und schützt sowohl Auftraggeber als auch den Dienstleister. Die inhaltlichen Anforderungen an einen AV-Vertrag sind festgelegt; sie ergeben sich aus Art. 28 Abs. 3 DSGVO. Der Vertrag regelt Befugnisse und Weisungen, sowie Gegenstand und Zweck der Verarbeitung. Rechte und Pflichten der jeweiligen Auftragsverarbeitung werden dabei präzise definiert. Auftragsverarbeitung-Verträge geben Unternehmen Sicherheit: Kommt es im Umfeld des Auftragsverarbeiter zum Datenschutzverstoß, liegt die Verantwortung in dessen Aufgabenbereich. Aber Obacht: Auch bei einer Auftragsverarbeitung bleibt der Auftraggeber der Verantwortliche im Sinne der DSGVO.
Wer braucht einen Vertrag zur Auftragsverarbeitung nach DSGVO?
Der Auftragnehmer gilt im Rahmen einer Auftragsverarbeitung im Sinne der DSGVO nicht als Dritter. Er ist vielmehr der verlängerte Arm des Auftraggebers. Darum ist keine weitere Rechtsgrundlage für die Verarbeitung des Auftragsverarbeiter notwendig. Je weisungsgebundener ein Dienstleister ist, desto größer ist die Wahrscheinlichkeit, dass Unternehmen im Sinne der DSGVO Verantwortliche bleiben. Dann müssen sie einen AV-Vertrag schließen.
Was gehört in den Vertrag zur Auftragsverarbeitung nach DSGVO?
DSGVO-konforme Verträge müssen folgende Inhalte festhalten:
• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten
• Kategorien betroffener Personen
• Rechte und Pflichten des Verantwortlichen
• Umfang der Weisungsbefugnisse
• Verpflichtung zur Vertraulichkeit der zur Verarbeitung befugten Person
• Sicherstellung von technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter
• Anforderungen an die Hinzuziehung von Subunternehmern
• Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
• Unterstützung des Verantwortlichen bei der Sicherheit der Verarbeitung
• Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen und der Datenschutz-Folgenabschätzung
• Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
• Pflicht des Auftragsverarbeiters, den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
• Regelung wie der Nachweis der Einhaltung der genannten Pflichten erfolgt (Quelle: datenschutzexperte.de/ )
Abzugrenzen ist die Auftragsverarbeitung von der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO. In diesem Fall handelt es sich um eine bloße Übermittlung von einem Verantwortlichen zum anderen. Hierfür ist keine gesonderte Vereinbarung erforderlich. Allerdings benötigt man einen Erlaubnistatbestand für die Übermittlung sowie für die Verarbeitung der Daten bei dem anderen Verantwortlichem.
Datenschutz hat seine Tücken, ist aber ein wichtiges Thema. Ein guter Personalvermittler und Dienstleister weiß um die Relevanz des Themas. Auch das ist ein Indiz für dessen Souveränität.
Hinweis: Aus Gründen der Lesbarkeit verzichten wir in diesem Text auf das Gendern.