Hauptinhalt

Auftragsverarbeitung

Vertrag zur Auftragsdatenverarbeitung © SMI

Die Datenschutz-Grundverordnung regelt die Auftragsverarbeitung insbesondere in den Artikeln 28 und 29. Die Öffnungsklauseln der Datenschutz-Grundverordnung erlauben es (vgl. Artikel 6 Absatz 1 Buchstabe c und e in Verbindung mit Absatz 3 Satz 3 Datenschutz-Grundverordnung), durch eine Rechtsvorschrift allgemeine Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung aufzustellen. Daher können Regelungen, die das „Ob“ der Auftragsverarbeitung bestimmen, also die Frage betreffen, ob in bestimmten Fällen eine Auftragsverarbeitung zulässig ist, auch weiterhin zulässig sein (vgl. z. B. § 80 SGB X). Im Hinblick auf die Frage, wann von einer Auftragsverarbeitung ausgegangen werden muss und das „Wie“ der Auftragsverarbeitung, also die spezifischen Anforderungen an die Ausgestaltung der Auftragsverarbeitung, sind die Artikel 28 und 29 Datenschutz-Grundverordnung dagegen abschließend. Der bisherige § 7 des Sächsischen Datenschutzgesetzes wurde daher nicht in das neue Sächsische Datenschutzdurchführungsgesetz übernommen.

  • Der Mindestinhalt eines Vertrages zur Auftragsverarbeitung ist umfassender.
  • Der Vertrag zur Auftragsverarbeitung kann nicht nur schriftlich sondern auch in einem elektronischen Format geschlossen werden.
  • Weisungen des Verantwortlichen an den Auftragsverarbeiter sind zu dokumentieren.
  • Der Auftragsverarbeiter hat ein eigenes Verzeichnis von Verarbeitungstätigkeiten zu erstellen.
  • Will der Auftragsverarbeiter Subunternehmen als weitere Auftragsverarbeiter bei der Erbringung der vereinbarten Dienstleistung einsetzen, so bedarf dies der vorherigen (schriftlichen oder elektronischen) Genehmigung durch den Verantwortlichen. Später beabsichtigte Änderungen bei den eingesetzten Subunternehmen muss der Auftragsverarbeiter vorher mitteilen, wobei der Verantwortliche dann bei Bedarf Einspruch gegen die geplante Einbeziehung des neuen Subunternehmens einlegen kann.
  • Der Spielraum bei der Kontrolle des Auftragsverarbeiters durch den Verantwortlichen vergrößert sich. Es ist z. B. nicht mehr zwingend eine Vorort-Kontrolle erforderlich, sondern es kann auch auf Zertifizierungen zurückgegriffen werden.
  • Auftragsverarbeiter haben künftig Dokumentationspflichten und gegenüber dem Verantwortlichen eine Unterstützungsfunktion.
  • Aufsichtsbehörden können Sanktionen direkt gegenüber dem Auftragsverarbeiter verhängen.
  • Verantwortlicher und Auftragsverarbeiter haften gegenüber betroffenen Personen gesamtschuldnerisch auf Schadenersatz bei Datenschutzverstößen. Der Auftragsverarbeiter kann daher von betroffenen Personen direkt in Anspruch genommen werden.
  • Eine allgemeine Pflicht zur Meldung eines Auftragsverarbeiters aus dem nichtöffentlichen Bereich an die zuständige Kontroll- bzw. Aufsichtsbehörde (vgl. der bisherige § 7 Absatz 3 Sächsisches Datenschutzgesetz) entfällt.

Vorhandene Verträge zur Auftragsverarbeitung sind daraufhin zu überprüfen, ob sie die Vorgaben der Datenschutz-Grundverordnung erfüllen. Ist dies nicht der Fall, sind sie anzupassen. Auf welche Weise dies erfolgt, ob mit einer einvernehmlichen Vertragsänderung oder etwa im Wege einer außerordentlichen Kündigung aus wichtigem Grund, ist eine zivilrechtliche Frage, die im Einzelfall zu bewerten und zu entscheiden ist.

zurück zum Seitenanfang