Auftragsverarbeitung nach Art. 28 DS-GVO
Gesetzesgrundlage der DSGVO 28 – Auftragsverarbeiter
Die bereits aus dem Bundesdatenschutzgesetz bekannte Auftragsverarbeitung findet sich auch in der Datenschutzgrundverordnung (DS-GVO) wieder.
Auftragsverarbeiter ist nach der Legaldefinition des Art. 4 Nr. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Die Verarbeitung personenbezogener Daten im Auftrag ist in Artikel 28 ff. DS-GVO geregelt.
Für den Auftragsverarbeiter ergeben sich aus der DS-GVO eine Vielzahl neuer Pflichten und Verantwortungen.
So hat der Auftragsverarbeiter künftig die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DS-GVO für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen. Das Verzeichnis muss der Aufsichtsbehörde auf Anfrage nach Art. 30 Abs. 4 DS-GVO, z. B. bei Kontrollen, zur Verfügung gestellt werden.
Zur rechtssicheren Gestaltung des Vertrags wird die Verwendung der Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO empfohlen https://www.lfd.niedersachsen.de/download/127630 (PDF Download).
Text-Beispiel Vorlage:
Hinweis:
Diese Formulierungshilfe ist nicht abschließend und bezieht sich in erster Linie auf die Fallgestaltung einer Auslagerung von klassischen IT-Dienstleistungen z. B. für die Lohnabrechnung oder Finanzbuchhaltung. Je nach konkretem Anwendungsfall müssen gegebenenfalls weitere Inhalte hinzukommen, können solche weggelassen oder müssen modifiziert werden, um dem gegebenen Sachverhalt gerecht zu werden (z. B. bei Berufsgeheimnisträgern, bei Dienstleistungen zur Wartung, Datenlöschung oder -konvertierung, bei der externen Datenarchivierung
Die konkrete Ausgestaltung ist an den jeweiligen Sachverhalt anzupassen. Diese Formulierungshilfe stellt keine Standard-vertragsklauseln im Sinne von Art. 28 Abs. 8 DS-GVO dar.
Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO1
Auftragsverarbeiter (Auftragnehmer):
_____________________________________________________________________
1. Gegenstand und Dauer der Vereinbarung
Der Auftrag umfasst Folgendes:
_____________________________________________________________________
(Gegenstand des Auftrags, konkrete Beschreibung der Dienstleistungen)
Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten für den Verantwortlichen im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.
Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäi-schen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht.
Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddaten-schutzklauseln, genehmigte Verhaltensregeln).
Dauer des Auftrags
Der Vertrag beginnt am ……………………………… und endet am ………………………………
oder
wird auf unbestimmte Zeit geschlossen. Kündigungsfrist ist ………………………………….
Der Verantwortliche kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestim-mungen dieses Vertrages vorliegt, der Auftragsverarbeiter eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragsverarbeiter Kontrollrechte des Verantwortlichen vertrags-widrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.
2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen:
(nähere Beschreibung, ggf. Verweis auf Leistungsverzeichnis als Anlage etc.)
Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DS-GVO):
____________________________________________________________________________
Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15
DS-GVO):
_____________________________________________________________________________
Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO):
______________________________________________________________________________
3. Rechte und Pflichten sowie Weisungsbefugnisse des Verantwortlichen
Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wah-rung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Verantwortli-che verantwortlich. Gleichwohl ist der Auftragsverarbeiter verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Verantwortlichen gerichtet sind, unverzüglich an diesen weiter-zuleiten.
Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Verantwortlichem und Auftragsverarbeiter abzustimmen und schriftlich oder in einem dokumentier-ten elektronischen Format festzulegen.
Der Verantwortliche erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
Der Verantwortliche ist berechtigt, sich wie unter Nr. 5 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragsverarbeiter ge-troffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.
Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregel-mäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
Der Verantwortliche ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragsverarbeiters vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
4. Weisungsberechtigte des Verantwortlichen, Weisungsempfänger des Auftragsverarbeiters
Weisungsberechtigte Personen des Verantwortlichen sind:
________________________________________________________________________
(Vorname, Name, Organisationseinheit, Telefon)
Weisungsempfänger beim Auftragsverarbeiters sind:
________________________________________________________________________
(Vorname, Name, Organisationseinheit, Telefon)
Für Weisung zu nutzende Kommunikationskanäle:
________________________________________________________________________
(genaue postalische Adresse/ E-Mail/ Telefonnummer)
Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertrags-partner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalen-derjahre aufzubewahren.
5. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der ge-troffenen Vereinbarungen und nach Weisungen des Verantwortlichen, sofern er nicht zu einer ande-ren Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehör-den); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen An-forderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht we-gen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).
Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezoge-nen Daten werden ohne Wissen des Verantwortlichen nicht erstellt.
Der Auftragsverarbeiter sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezoge-nen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Verantwortlichen verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt wer-den.
Die Datenträger, die vom Verantwortlichen stammen bzw. für den Verantwortlichen genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert.
Der Auftragsverarbeiter hat über die gesamte Abwicklung der Dienstleistung für den Verantwortli-chen insbesondere folgende Überprüfungen in seinem Bereich durchzuführen:
Das Ergebnis der Kontrollen ist zu dokumentieren.
Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Verant-wortlichen, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderli-chen Datenschutz-Folgeabschätzungen des Verantwortlichen hat der Auftragsverarbeiter im notwen-digen Umfang mitzuwirken und den Verantwortlichen soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben dem Verantwortli-chen unverzüglich an folgende Stelle weiterzuleiten:
Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine vom Verantwortlichen erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Verantwort-lichen nach Überprüfung bestätigt oder geändert wird.
Der Auftragsverarbeiter hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Verantwortliche dies mittels einer Wei-sung verlangt und berechtigte Interessen des Auftragsverarbeiters dem nicht entgegenstehen.
Unabhängig davon hat der Auftragsverarbeiter personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Weisung des Verant-wortlichen ein berechtigter Anspruch des Betroffenen aus Art. 16, 17 und 18 DS-GVO zugrunde liegt.
Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch den Verantwortli-chen erteilen.
Der Auftragsverarbeiter erklärt sich damit einverstanden, dass der Verantwortliche – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Da-tensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Verantwortlichen beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbei-tungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO).
Der Verantwortliche kann die Einhaltung eines genehmigten Zertifizierungsverfahrens gem. Art. 42 DS-GVO durch den Auftragsverarbeiter als Faktor heranziehen, um die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen zu beurteilen.
Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auf-tragsverarbeiters) ist nur mit Zustimmung des Verantwortlichen gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kon-trollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen.
Der Auftragsverarbeiter bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen daten-schutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für die-sen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Verantwortlichen obliegen:
____________________________________________________________________________
(z. B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB etc.)
Der Auftragsverarbeiter verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezo-genen Daten des Verantwortlichen die Vertraulichkeit zu wahren. Diese besteht auch nach Beendi-gung des Vertrages fort.
Der Auftragsverarbeiter sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mit-arbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhält-nisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). Der Auftragsverarbeiter überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.
Beim Auftragsverarbeiter ist als Beauftragte(r) für den Datenschutz Herr/Frau
_____________________________________________________________________________
(Vorname, Name, Organisationseinheit, Telefon)
bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Verantwortlichen unverzüglich mitzutei-len.
oder
Ein betrieblicher Datenschutzbeauftragter ist beim Auftragsverarbeiter nicht bestellt, da die gesetzli-che Notwendigkeit für eine Bestellung nicht vorliegt.
Sofern einschlägig:
Der Auftragsverarbeiter verpflichtet sich den Verantwortlichen über den Ausschluss von genehmig-ten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren.
6. Mitteilungspflichten des Auftragsverarbeiters bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten
Der Auftragsverarbeiter teilt dem Verantwortlichen unverzüglich Störungen, Verstöße des Auf-tragsverarbeiters oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Best-immungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverlet-zungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Verantwortlichen nach Art. 33 und Art. 34 DS-GVO. Der Auftragsverarbeiter sichert zu, den Verantwortlichen erforderli-chenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Verantwortlichen darf der Auftragsverarbeiter nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.
7. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)
(Hinweis: Hier sind verschiedene Regelungsalternativen möglich. Die Parteien können ein absolutes Unterauftragsverbot vereinbaren, es kann aber auch ein Verbot mit Genehmigungsvorbehalt im Ein-zelfall geregelt werden. Auf letztere Möglichkeit bezieht sich der unten stehende Formulierungsvor-schlag.)
Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Verantwortlichen ist dem Auftragsverarbeiter nur mit Genehmigung des Verantwortlichen gestattet, Art. 28 Abs. 2 DS-GVO, welche auf einem der o. g. Kommunikationswege (Ziff. 4) mit Ausnahme der mündlichen Gestattung erfolgen muss. Die Zustimmung kann nur erteilt werden, wenn der Auftragsverarbeiter dem Verant-wortlichen Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Au-ßerdem muss der Auftragsverarbeiter dafür Sorge tragen, dass er den Subunternehmer unter beson-derer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Verantwortlichen auf Anfrage zur Verfügung zu stellen.
Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Vo-raussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
Der Auftragsverarbeiter hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Verantwortlichem und Auftragsverarbeiter auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragsverarbeiters und des Subunternehmers deutlich voneinander abgegrenzt werden. Wer-den mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Verantwortliche berechtigt sein, im Bedarfsfall an-gemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen o-der durch von ihm beauftragte Dritte durchführen zu lassen.
Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektro-nischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).
Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.
Der Auftragsverarbeiter hat die Einhaltung der Pflichten des/der Subunternehmer(s) wie folgt zu überprüfen:
Das Ergebnis der Überprüfungen ist zu dokumentieren und dem Verantwortlichen auf Verlangen zu-gänglich zu machen.
Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragsverarbeiter im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.
Zurzeit sind für den Auftragsverarbeiter die in Anlage ……… mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort ge-nannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Verantwortliche einverstan-den.
Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Ver-antwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).
(Hier haben die Vertragsparteien einen Gestaltungsspielraum: Entweder werden dem Auftragsverar-beiter allgemein Befugnisse eingeräumt, Subunternehmer zu beauftragen oder dies wird von einer Einzelgenehmigung abhängig gemacht. Einigt man sich auf eine allgemeine Befugnis des Auftragsver-arbeiters zur Beauftragung von Subunternehmern, ist jede Subbeauftragung vorher durch den Auf-tragsverarbeiter dem Verantwortlichen anzuzeigen. Der Verantwortliche hat dann von Gesetzes we-gen ein Recht auf Einspruch gegen diese Änderung (Art. 28 Abs. 2). Das Recht des Verantwortlichen zum Einspruch ist im Vertrag ausdrücklich zu erwähnen. Da das Gesetz die Folgen dieses Einspruchs nicht regelt, wird empfohlen, hierzu vertragliche Regelungen zu finden. Wird keine Regelung getrof-fen, ist die Bestellung des Unter-Auftragsverarbeiters, gegen den Einspruch erhoben wurde, nicht möglich.)
8. Technische und organisatorische Maßnahmen (insbesondere Art. 28 Abs. 3 Satz 2 lit. c und e DS-GVO)
Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Niveau der Sicherheit der Verar-beitung gewährleistet. Dazu werden einerseits mindestens die Schutzziele von Art. 32 Abs. 1 DS-GVO wie Vertraulichkeit, Verfügbarkeit und Integrität der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird (Art. 28 Abs. 3 lit. c).
Die Formulierung in Art. 32 Abs. 1 DS-GVO „diese Maßnahmen schließen unter anderem Folgendes ein“ verdeutlicht andererseits, dass die dort vorgenommene Aufzählung nicht abschließend ist. Für die Auftragsverarbeitung sind auch technische und organisatorische Maßnahmen umzusetzen, die in Kapitel III der DS-GVO genannten Rechte der betroffenen Personen wahren (Art. 28 Abs. 3 lit. e).
Diese Maßnahmen sollen u. a. sicherstellen, dass Daten nur für den Zweck verarbeitet und ausgewer-tet werden können, für den sie erhoben werden (Zweckbindung), dass Betroffene, Verantwortliche und Kontrollinstanzen u. a. erkennen können, welche Daten für welchen Zweck in einem Verfahren erhoben und verarbeitet werden, welche Systeme und Prozesse dafür genutzt werden (Transparenz) und dass den Betroffenen die ihnen zustehenden Rechte auf Benachrichtigung, Auskunft, Berichti-gung, Sperrung und Löschung jederzeit wirksam gewährt werden (Intervenierbarkeit). Entsprechend sind auch die Maßnahmenbereiche zu berücksichtigen, die vorrangig der Minimierung der Eingriffsin-tensität in die Grundrechte Betroffener dienen.
Beispiele für typische, bewährte technische und organisatorische Maßnahmen in den einzelnen Be-reichen können den „Hinweisen zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO“ (Ab-schnitte 6.7 bis 6.9) entnommen werden. Die Auflistung dort ist nicht vollständig oder abschließend. In Abhängigkeit von den konkreten Verarbeitungstätigkeiten können weitere oder andere Maßnah-men geeignet und angemessen sein.
Methodik der Risikobewertung
Für die auftragsgemäße Verarbeitung personenbezogener Daten wird folgende Methodik zur Risiko-beurteilung verwendet, welche die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten berücksichtigt:
…………………………………………………………………………………………………………………………………………………………….
Das im Anhang ……….. beschriebene Datenschutz- und Datensicherheitskonzept stellt die Auswahl der technischen und organisatorischen Maßnahmen passend zum Datensicherheitsrisiko unter Be-rücksichtigung der Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität, Zweckbindung, Transparenz und Intervenierbarkeit detailliert und unter besondere Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragsverarbeiter dar.
Das im Anhang ………. beschriebene Verfahren zur regelmäßigen Überprüfung, Bewertung und Evalu-ierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung wird als verbindlich festgelegt.
Folgende Möglichkeit für den Nachweis durch Zertifizierung bestehen:
Die Bewertung des Risikos samt der Auswahl der geeigneten technischen und organisatorischen Da-tensicherheitsmaßnahmen des Auftragsverarbeiters wurden am …… durch folgende unabhängige ex-terne Stellen auditiert/zertifiziert gemäß den Zertifizierungen nach Art. 42 :
…………………………………………………………………………………………………………………………………………………………….
Diese vollständigen Prüfunterlagen und Auditberichte können vom Verantwortlichen jederzeit einge-sehen werden.
Oder:
Der Auftragsverarbeiter hat bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Be-wertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur
Gewährleistung der Sicherheit der Verarbeitung durchzuführen (siehe Abschnitt 8) und das Ergebnis samt vollständigem Auditbericht dem Verantwortlichen mitzuteilen.
Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den an-gewandten Verfahren sind mit dem Verantwortlichen abzustimmen.
Soweit die beim Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen den Anforderungen des Verantwortlichen nicht genügen, benachrichtigt er den Verantwortlichen unverzüglich.
Die Datensicherheitsmaßnahmen beim Auftragsverarbeiter können im Laufe des Auftragsverhältnis-ses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Sicherheitsstandards nicht unterschreiten.
Wesentliche Änderungen sind vom Auftragsverarbeiter mit dem Verantwortlichen in dokumentierter Form (schriftlich, elektronisch) abzustimmen. Solche Abstimmungen sind für die Dauer dieses Vertra-ges aufzubewahren.
9. Verpflichtungen des Auftragsverarbeiters nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO
Nach Abschluss der vertraglichen Arbeiten hat der Auftragsverarbeiter sämtliche in seinen Besitz so-wie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungser-gebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen,
dem Verantwortlichen auszuhändigen.
oder
wie folgt datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen:
_______________________________________________________________________________
Die Löschung bzw. Vernichtung ist dem Verantwortlichen mit Datumsangabe schriftlich oder in ei-nem dokumentierten elektronischen Format zu bestätigen.
10. Vergütung
11. Haftung
Auf Art. 82 DS-GVO wird verwiesen.
Im Übrigen wird folgendes vereinbart:
12. Vertragsstrafe
Bei Verstoß des Auftragsverarbeiters gegen die Regelungen dieses Vertrages, insbesondere zur Einhal-tung des Datenschutzes, wird eine Vertragsstrafe von ………………. Euro vereinbart.
13. Sonstiges
Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungs-unterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.
Weitere Beispiele für mögliche Regelungen:
Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.
Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Verantwortlichen beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auf-tragsverarbeiter den Verantwortlichen unverzüglich zu verständigen.
Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Verantwortli-chen verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Ver-einbarung im Übrigen nicht.
Datum:
Unterschriften
____________________________________________________________________________
Verantwortlicher . . . . . . . . . . . Auftragsverarbeiter
No responses yet