EU-Datenschutzgrundverordnung: Anforderungen an die Auftragsverarbeitung

02.03.2018
2 Minuten Lesezeit

Bedient sich ein Unternehmen eines Dritten zur Verarbeitung von personenbezogenen Daten, liegt häufig eine Auftragsverarbeitung (AV) vor. Eine Auftragsverarbeitung ist zum Beispiel die Beauftragung eines externen Dienstleisters für den Newsletter oder für das E-Mail-Marketing. Ein weiteres Beispiel für die Auftragsverarbeitung ist das Outsourcing eines Rechenzentrums.

Die am 25. Mai 2018 wirksam werdende EU-Datenschutzgrundverordnung (EU-DSGVO) bringt eine Reihe inhaltlicher Neuerungen für die Auftragsverarbeitung.

Verantwortlicher und Auftragsverarbeiter

Zunächst werden einige Begrifflichkeiten innerhalb der EU Datenschutzgrundverordnung (EU-DSGVO) geändert. Die EU Datenschutzgrundverordnung spricht im Hinblick auf den externen Dienstleister von Auftragsverarbeiter, hinsichtlich der Auftraggeber von Verantwortlichen. Die Auftragsdatenverarbeitung heißt nach der EU-DSGVO Auftragsverarbeitung.

Entsprechend zu § 11 Bundesdatenschutzgesetz (BDSG) muss der Auftragsverarbeiter sorgfältig und unter besonderer Berücksichtigung der technischen und organisatorischen Maßnahmen ausgewählt werden. Nach Art. 29 EU-DSGVO darf der Auftragsverarbeiter die Daten nur auf Weisung des Verantwortlichen verarbeiten. Verstößt der externe Dienstleister dagegen, indem er beispielsweise den Zweck der Verarbeitung selbst bestimmt, wird er nach Art. 28 Abs. 10 EU-DSGVO selbst zum Verantwortlichen.

Datenverarbeitung außerhalb der EU

Die Verordnung findet nach Art. 3 EU-DSGVO Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Auftraggebers oder eines Auftragsverarbeiters in der Union erfolgt, „unabhängig davon, ob die Verarbeitung in der Union stattfindet“. Mit anderen Worten: Die EU-Datenschutzgrundverordnung ist auch für eine Datenverarbeitung außerhalb der EU relevant.

Was muss in einem Vertrag zur Auftragsverarbeitung geregelt werden?

Die inhaltlichen Anforderungen an einen Vertrag zur Datenverarbeitung im Auftrag orientieren sich sehr stark an den aus dem BDSG bereits bekannten Punkten. Nach Art. 28 Abs. 3 EU-DSGVO sind in einem Vertrag zur Auftragsverarbeitung zu regeln:

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten und Kategorien von betroffenen Personen
Umfang der Weisungsbefugnisse
Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
Sicherstellung von technischen und organisatorischen Maßnahmen
Subunternehmer
Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Was sollten Unternehmen beachten?

In der Übergangsphase sollten bestehende Prozesse und Verträge zur Datenverarbeitung im Auftrag überprüft werden. Neu abzuschließende Verträge sind so abzufassen, dass sie die Rechtslage nach der EU-Datenschutzgrundverordnung berücksichtigen.

Die Hamburger Anwaltskanzlei JOHANNES berät Unternehmen auf dem Gebiet Datenschutz-Compliance. Als Ansprechpartner für Fragen rund um die Auftragsverarbeitung steht Ihnen Rechtsanwalt Kay Ole Johannes gerne zur Verfügung.

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Kay Ole Johannes

Veröffentlicht von:

Rechtsanwalt Kay Ole Johannes

Gewerblicher Rechtsschutz • Handelsrecht & Gesellschaftsrecht • IT-Recht • Urheberrecht & Medienrecht • Wettbewerbsrecht

Patentrecht • Markenrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Kay Ole Johannes

Post von der H.J. Jäger GmbH erhalten? Erste-Hilfe-Tafel

„ Drei Peitinger Geschäftsfrauen warnen vor einem möglichen Betrug: Der Vertrag für eine Anzeige an exklusiver Stelle auf einer Erste-Hilfe-Tafel "deutet auf eine Abzocke hin ". So konnte man es ... Weiterlesen
Rechnung von der H.J. Jäger GmbH erhalten? Erste-Hilfe-Tafeln

„Ergotherapeut Dominik L. ist sich ziemlich sicher: Er und mindestens fünf weitere Selbstständige aus Barsinghausen sind Betrügern aufgesessen. Sie haben bei der Firma H.J. Jäger GmbH Anzeigen auf ... Weiterlesen
Abmahnungen der Kanzlei rka Rechtsanwälte – so reagieren Sie richtig!

Die Kanzlei rka Rechtsanwälte Reichelt Klute GbR ist eine Kanzlei, die im Bereich Filesharing-Abmahnungen tätig ist. Abgemahnt wurden beispielsweise angebliche Urheberrechtsverstöße an PC-Spielen ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Kay Ole Johannes

Weitere

Beiträge zum Thema

Auftragsverarbeitung: Datenschutz bei der Verarbeitung personenbezogener Daten

17.01.2023

Auftragsverarbeitung: Was ist das? Eine Auftragsverarbeitung – früher Auftragsdatenverarbeitung genannt – liegt ... Weiterlesen
EU-Datenschutzgrundverordnung: Wer ist bei Auftragsverarbeitung verantwortlich?

03.03.2018

Werden Daten im Auftrag verarbeitet, ist grundsätzlich der für die Verarbeitung Verantwortliche und nicht der ... Weiterlesen
Auftragsverarbeitung und Auftragsverarbeitungsvertrag Art. 28 DSGVO

26.08.2021

Auftragsverarbeitung Bei einer Auftragsverarbeitung verarbeitet ein Dienstleister (Auftragsverarbeiter bzw. ... Weiterlesen