Hauptinhalt

Zulässigkeit der Auftragsverarbeitung

Anders als § 7 Sächsisches Datenschutzgesetz enthält Artikel 28 Datenschutz-Grundverordnung keine ausdrückliche Befugnis zur Auftragsverarbeitung, sondern nur spezifische Bestimmungen, die bei einer Auftragsverarbeitung einzuhalten sind. Es kann jedoch davon ausgegangen werden, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen und den Auftragsverarbeiter ein einheitlicher Vorgang der Datenverarbeitung ist. Wenn der Verantwortliche eine Befugnis zur Datenverarbeitung hat, dann kann er die Verarbeitung grundsätzlich auch auf einen Auftragsverarbeiter übertragen. Spezialgesetzliche Vorschriften, verfassungsrechtliche Grenzen und Zuständigkeitsregelungen sind jedoch zu beachten. Ein Prüfschema, wie eine öffentliche Stelle die grundsätzliche Zulässigkeit einer Auftragsverarbeitung prüfen sollte, finden Sie nachfolgend.

Die Datenschutz-Grundverordnung verlangt, dass Grundlage einer Auftragsverarbeitung ein Vertrag oder ein anderes Rechtsinstrument des Staates ist.

Grundlage wird in aller Regel ein Dienst- oder Werkvertrag sein. Mit dem anderen Rechtsinstrument des Staates sind alle sonstigen, außer den vertraglichen, Rechtsgrundlagen gemeint. So könnte z. B. eine Auftragsverarbeitung auch über eine Rechtsverordnung festgelegt werden (wenn es eine entsprechende gesetzliche Ermächtigung gibt).

Überwiegend werden Auftragsverarbeitungen auf vertraglichen Regelungen basieren. Die vertragliche Regelung kann anders als bisher (Schrifterfordernis, vgl. § 7 Absatz 2 Satz 2 Sächsisches Datenschutzgesetz) auch in einem elektronischen Format geschlossen werden (vgl. Artikel 28 Absatz 9 Datenschutz-Grundverordnung).

Artikel 28 Absatz 3 Datenschutz-Grundverordnung legt detailliert fest, welcher Mindestinhalt in den Vertrag aufgenommen werden muss. Die dortigen Festlegungen gehen über die bisherigen Regelungen in § 7 Absatz 2 Sächsisches Datenschutzgesetz hinaus. Im Vertrag sind Festlegungen zu treffen

  • zum Gegenstand der Verarbeitung (z. B. Verweis auf die Leistungsvereinbarung des Vertrag; Darstellung der konkreten Aufgaben),
  • zur Dauer der Verarbeitung (Beispiele: Laufzeit des Vertrages, Befristung, einmalige Ausführung),
  • zum Zweck der Verarbeitung (z. B. Verweis auf die Leistungsvereinbarung, Beschreibung des Zwecks),
  • zur Art der Verarbeitung (z. B. automatisierte Verarbeitung, Erheben, Erfassen, Ordnen),
  • zur Art der verarbeiteten personenbezogenen Daten (z. B. Adressdaten, Personenstammdaten, Telekommunikationsdaten, Daten aus öffentlichen Verzeichnissen)
  • zu den Kategorien betroffener Personen (z. B. Antragsteller, Beschäftigte, Ansprechpartner etc.),
  • zu den Pflichten und Rechten des Verantwortlichen (z. B. Ausgestaltung des Weisungsrechts oder der Kontrollmöglichkeiten, vgl. auch die nachfolgenden Regelungen).

Darüber hinaus hat der Vertrag dahingehend Regelungen zu enthalten, dass der Auftragsverarbeiter

  • die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten darf, es sei denn, er ist durch andere Vorschriften zur Verarbeitung verpflichtet,
  • gewährleistet, dass sich die Mitarbeiter, die die Daten verarbeiten, zur Vertraulichkeit verpflichten oder einer angemessenen gesetzlichen Verschwiegenheit unterliegen,
  • technische und organisatorische Maßnahmen für die Sicherheit der Verarbeitung ergreift,
  • die Bedingungen für die Inanspruchnahme eines weiteren Auftragsverarbeiters eingehalten werden,
  • den Verantwortlichen bei der Erfüllung der diesem obliegenden Beantwortung von Anträgen zur Wahrnehmung von Betroffenenrechten unterstützt,
  • den Verantwortlichen bei der Gewährleistung der Sicherheit der Verarbeitung sowie den Melde- und Benachrichtigungspflichten bei Datenschutzverstößen unterstützt,
  • nach Erbringung der Verarbeitungsleistungen die personenbezogenen Daten löscht oder zurückgibt,
  • dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellt und Überprüfungen zulässt.

Nach überwiegender Ansicht sind die in der Datenschutz-Grundverordnung festgelegten Mindestinhalte eines Vertrages Voraussetzung dafür, dass die Auftragsverarbeitung rechtmäßig erfolgt. Die Datenschutz-Grundverordnung enthält keine Übergangsregelungen für bestehende Verträge.

Daher sind alle vorhandenen Verträge zur Auftragsdatenverarbeitung daraufhin zu überprüfen, ob sie den Regelungen des Artikels 28 der Datenschutz-Grundverordnung entsprechen. Ist dies, nicht der Fall, ist eine Anpassung der Verträge erforderlich.

Musterverträge

Ein Mustervertrag wird auf der Internetseite des Sächsischen Datenschutzbeauftragten zur Verfügung gestellt.

zurück zum Seitenanfang