Haben auch Dienstleister Zugriff auf personenbezogene Daten Ihrer Kunden oder Mitarbeiter, sollten Sie überprüfen ob eine Auftragsverarbeitung von Daten gegeben ist und gegebenenfalls mit diesen Unternehmen einen AV-Vertrag abschließen.
Die Auftragsverarbeitung von personenbezogenen Daten erfordert eine rechtliche Absicherung
Auftragsverarbeitung im Sinne der DSGVO bezeichnet das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen externen Dienstleister, dem Auftragnehmer, für einen anderen, dem „Auftraggeber“, beispielsweise für einen Online-Händler. Beispiele für typische Dienstleistungen, für die aus Sicht des Auftraggebers ein Auftragsverarbeitungsvertrag abzuschließen ist:
- Nutzung externer Serverkapazitäten
- Einbindung eines Callcenters
- Datenträgerentsorgung durch einen Dienstleister
- Backup-Sicherheitsspeicherung und andere Archivierungsleistungen durch einen externen Dienstleister
- Externe Leistungen der Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
- Nutzung des Angebotes von Google Analytics
- Beauftragung eines Marketing-Dienstleisters (z.B. für Mailing-Aktionen)
Bei der Klärung der Frage, ob ein Auftragsverarbeitungsvertag abzuschließen ist, kommt es auf die Weisungsgebundenheit des Auftragnehmers an. Je umfangreicher und detaillierter die Weisungen sind, die der Dienstleister vom Auftraggeber erhält, desto höher ist auch die Wahrscheinlichkeit, dass ein AV-Vertrag abzuschließen ist.
Diese Punkte muss ein rechtskonformer AV-Vertrag beinhalten
Die inhaltlichen Anforderungen an einen Vertrag zur Auftragsverarbeitung von Daten müssen sich an den in Deutschland bereits bekannten Punkten des BDSG und darüber hinaus am aktuellen europäischen Datenschutzrecht orientieren. Die nachfolgende Aufzählung enthält Punkte, die in einem AV-Vertrag nach Art. 28 Abs. 3 DSGVO zu regeln sind:
- Benennung der Vertragspartner
- Art & Zweck der Verarbeitung personenbezogener Daten
- Dauer der Verarbeitung personenbezogener Daten
- Art und Kategorien der personenbezogenen Daten
- Fixierung der Weisungsgebundenheit des Auftragsverarbeiters
- Verschwiegenheitspflicht
- Maßnahmen zur Datensicherheit
- Mitwirkungspflicht des Auftragsverarbeiters bei den Betroffenenrechten
- Regelung über Datenrückgabe bzw.-löschung
- Regelungen in Bezug auf die Zulässigkeit der Beschäftigung von Subdienstleistern.
Die eigentliche Grundlage für die Zusammenarbeit ist somit meistens in einem Hauptvertrag geregelt, der die Aufgabe beschreibt. Dieser Vertrag muss nun ggf. um einen schriftlichen Vertrag (AV-Vertrag) ergänzt werden, der die Vorgaben des Artikel 28 DSGVO berücksichtigt.
So erstellen Sie die erforderlichen AV-Verträge
Zuerst sollten Sie eine Übersicht über die vorhandenen Dienstleister erstellen, die für Ihr Unternehmen arbeiten. Danach gilt es zu prüfen, welcher Lieferant auf dieser Liste Zugang zu personenbezogenen Daten hat und diese gegebenenfalls verarbeitet. Falls mit solchen Dienstleistern noch kein AV-Vertrag geschlossen wurde, ist dies dringend erforderlich. Um den Verantwortlichen eine Orientierung zu geben, stellen Datenschutzbeauftragte der Länder oder andere Institutionen Formulierungshilfen zur Verfügung, die nun an den spezifischen Fall angepasst werden können. Deswegen sind in diesem Tool Quellen aufgelistet, die Ihnen das Finden der im Internet zur Verfügung gestellten, ggf. kostenfrei verwendbaren, Auftragsverarbeitungsverträge erleichtern.