Checkliste 3: Vertrag zur Auftragsverarbeitung

Die nachstehende Checkliste fasst die nach Art. 28 DSGVO zwingend vorgeschriebenen wesentlichen Vertragsinhalte eines Auftragsverarbeitungsvertrags zusammen. Dies sind natürlich nur Mindestinhalte, die um weitere Regelungen ergänzt werden sollten, etwa zu wirtschaftlichen Punkten. Zudem kann es sich nach wie vor empfehlen, spezifisch datenschutzrechtliche Vorgaben in einer gesonderten Anlage zu einem Hauptvertrag zu regeln.

• Vertragsgegenstand: Gegenstand der Auftragsverarbeitung
• Zweckbestimmung: Zwecke der Auftragsverarbeitung
• Festlegung der Daten: Art der personenbezogenen Daten, die verarbeitet werden
• Zeitbestimmung: Dauer der Auftragsverarbeitung
• Betroffene Personen: Kategorien von betroffenen Personen, deren Daten Gegenstand der Auftragsverarbeitung sind
• Weisungsgebundenheit: Der Auftragsverarbeiter darf nur auf dokumentierte Weisung des Verantwortlichen verarbeiten
• Informationspflicht: Auftragsverarbeiter muss Verantwortlichen bei Ausnahmen von der Weisungspflicht aufgrund von Rechtsvorschriften unterrichten (wenn nicht die einschlägige Rechtsvorschrift eine solche Mitteilung verbietet)
• Vertraulichkeit: Gewährleistung des Auftragsverarbeiters, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
• Datensicherheit: Der Auftragsverarbeiter muss alle nach Art. 32 DSGVO vorgeschriebenen Maßnahmen ergreifen
• Unterauftragsverarbeiter: Auftragsverarbeiter darf keine weiteren Unterauftragsverarbeiter ohne vorherige gesonderte oder allgemeine Zustimmung des Verantwortlichen einsetzen; bei allgemeiner Zustimmung Informationspflicht des Auftragsverarbeiters über vorgesehene Änderung im Einzelfall und Einspruchsrecht des Verantwortlichen
• Unterstützung bei Transparenzpflichten: Regelungen dazu, wie der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung seiner Pflichten in Bezug auf Betroffenenrechte nach Art. 12 bis Art. 22 DSGVO unterstützt
• Rückgabe oder Löschung: Auftragsverarbeiter muss alle personenbezogenen Daten nach Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen löschen oder zurückgeben, sofern keine Rechtspflichten entgegenstehen
• Nachweispflichten: Der Auftragsverarbeiter unterstützt den Verantwortlichen beim Nachweis der Einhaltung der Vorschriften zur Auftragsverarbeitung und stellt dem Verantwortlichen hierfür erforderliche Informationen zur Verfügung
• Kontrollen: Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen und Inspektionen bezüglich der Einhaltung der Vorgaben der DSGVO oder sonstiger Datenschutzbestimmungen der EU oder ihrer MitgliedsstaatenUnterrichtung bei Verstößen: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder sonstige Datenschutzbestimmungen der EU oder ihrer Mitgliedsstaaten verstößt

Die DSGVO gilt ab dem 25. Mai 2018. Zu diesem Zeitpunkt müssen Unternehmen die Vorgaben des neuen Datenschutzrechts EU-weit ummgesetzt haben. Die Schaffung eines datenschutzkonformen Vertragsmmanagement ist dabei eines der Teilprojekte der Implementierung  der DSGVO. Da Auftragsverarbeitungsverträge nicht  einseitig  geändert werden können, sollten  Unternehmen zeitnah ihre Dienstleister wegen erforderlichen Vetragsänderungen kontaktieren.

Weitere Checklisten und Arbeitshilfen  zur Umsetzung der DSGVO können Sie hier abrufen.

Verfasst von Tim Wybitul (aus der Sozietät ausgeschieden)