In der EU-Datenschutz-Grundverordnung wird die Auftragsdatenverarbeitung europaweit einheitlich geregelt. Obwohl sich die neuen Regelungen inhaltlich an der bisherigen Gesetzgebung des BDSG orientieren, gibt es doch einige Unterschiede, die zu beachten sind.
Was ändert sich mit der EU-DSGVO?
Neu ist, dass eine Datenverarbeitung im Auftrag auch außerhalb der EU stattfinden kann. Nach Art. 3 EU-DSGVO findet sie „Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“
Was muss in einem Vertrag zur Auftragsdatenverarbeitung beachtet werden?
Nach Art. 28 Abs. 3 EU-DSGVO sind folgende Punkte zu regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien von betroffenen Personen
- Umfang der Weisungsbefugnisse
- Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
- Sicherstellung von technischen & organisatorischen Maßnahmen
- Hinzuziehung von Subunternehmern
- Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
- Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
- Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
- Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
- Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
Welche neuen Pflichten hat der Auftragsverarbeiter?
Gemäß Art. 30 Abs. 2 DSGVO müssen Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den für die Verarbeitung Verantwortlichen durchführen. Dieses Verzeichnis, das inhaltlich dem aus dem BDSG bekannten Verfahrensverzeichnis ähnelt, musste bislang nur von Auftraggebern geführt werden. Die bekannten Meldepflichten aus dem BDSG bestehen darüber hinaus grundsätzlich fort
Achtung: Grundsätzlich haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter gegenüber dem Betroffenen gemeinsam!
Nächste Artikel-Empfehlung
NIS 2 Richtlinie: Wie bereiten Unternehmen sich am besten vor?
e-Book: Die DSGVO kommt!
Was sich ändert und was Unternehmen jetzt beachten müssen, erfahren Sie in unserem e-Book
Bleiben Sie informiert.
...mit unserem Newsletter 1x im Monat
- Neue Trends aus der Arbeitswelt
- Aktuelle Urteile verständlich erklärt
- Tipps zu Steuern & Finanzen
- Experten-Interviews, Studien u.v.m
