Auftragsverarbeitung nach Art. 28 DSGVO

Die Regelungen zur Auftragsverarbeitung, die bereits im Bundesdatenschutzgesetz verankert waren, haben auch ihren Platz in der Datenschutz-Grundverordnung (DSGVO) gefunden.

Gemäß der Legaldefinition des Art. 4 Nr. 8 DSGVO bezeichnet der Begriff „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder eine andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Die exakten Vorgaben zur Verarbeitung personenbezogener Daten, im Auftrag eines Verantwortlichen, sind in den Artikeln 28 ff. der DSGVO festgelegt.

Für den eingesetzten Auftragsverarbeiter ergeben sich aus der DSGVO eine große Zahl an Pflichten und Verantwortlichkeiten.

Ein zentrales Element ist die Pflicht des Auftragsverarbeiters, ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO zu führen. Dieses Verzeichnis muss sämtliche Kategorien von Tätigkeiten der Verarbeitung umfassen, die im Auftrag eines Verantwortlichen durchgeführt werden. Im Falle von Überprüfungen oder Anfragen seitens der Aufsichtsbehörde muss das Verzeichnis gemäß Art. 30 Abs. 4 DSGVO zur Verfügung gestellt werden.

Weitere Themenpunkte die beachtet werden müsssen:

  • Vertragliche Vereinbarung:Abschluss eines schriftlichen Vertrags mit dem Verantwortlichen, der die datenschutzrechtlichen Anforderungen des Art. 28 DSGVO umsetzt.
  • Datenschutz und Vertraulichkeit:Gewährleistung der Vertraulichkeit der personenbezogenen Daten und Implementierung angemessener Sicherheitsmaßnahmen.
  • Unterauftragsverarbeitung:Informierung des Verantwortlichen über die Absicht, Subunternehmer einzusetzen, und Erlaubniserteilung durch den Verantwortlichen.
  • Unterstützung des Verantwortlichen:Unterstützung des Verantwortlichen bei der Erfüllung seiner Datenschutzpflichten, z. B. bei Datenschutz-Folgenabschätzungen und Konsultationen.
  • Datenlöschung und Rückgabe:Löschung oder Rückgabe der personenbezogenen Daten nach Beendigung des Auftrags.
  • Datenverarbeitung nur nach Anweisung:Datenverarbeitung nur nach den dokumentierten Anweisungen des Verantwortlichen, es sei denn, es besteht eine rechtliche Verpflichtung zur Verarbeitung.
  • Dokumentation:Führung von Aufzeichnungen über alle Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Verantwortlichen durchgeführt werden.
  • Datenschutzbeauftragter:Benachrichtigung des Verantwortlichen, falls er der Ansicht ist, dass eine Anweisung gegen Datenschutzvorschriften verstößt.
  • Zusammenarbeit mit Aufsichtsbehörden:Unterstützung des Verantwortlichen bei der Zusammenarbeit mit den Aufsichtsbehörden.
  • Rückverfolgbarkeit:Unterstützung des Verantwortlichen bei der Einhaltung seiner Pflichten zur Datensicherheit, Meldung von Datenschutzverletzungen und Durchführung von Datenschutz-Folgenabschätzungen.

 

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger und Datenschutzauditor

————————————————————————————————————————-

Quellen und Links:

BayLDA – Das Bayerische Landesamt für Datenschutzaufsicht
https://www.lda.bayern.de/de/index.html

Datenschutz-Grundverordnung (DSGVO)
https://dejure.org/gesetze/DSGVO

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen