Datenschutz-Grundverordnung: Das müssen Sie bei Verträgen zur Auftragsverarbeitung beachten

Datenschutz-Grundverordnung: Das müssen Sie bei Verträgen zur Auftragsverarbeitung beachten

Beitrag als PDF herunterladen

Im 09.11.2017 wurde das „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen″ im Bundesgesetzblatt veröffentlicht. Wir haben bereits darüber berichtet, dass dieses Gesetz die Möglichkeit eröffnet, zukünftig auch die Dienstleister der Kanzel auf den § 203 Strafgesetzbuch zu verpflichten.

Doch diese Verpflichtung alleine ist lange nicht ausreichend. Es gilt vielmehr, einen Vertrag zur Auftragsverarbeitung mit den sog. „Auftragsverarbeitern“ zu schließen. In Vorbereitung auf das In-Kraft-Treten der DSGVO am 25.05.2018 sollten diese Verträge bereits den neuen gesetzlichen Anforderung genügen. Nicht zuletzt für die Einrichtung einer De-Mail-Kommunikation sind diese Verträge relevant.

Der Gesetzgeber sieht vor, dass im Falle einer Auftragsdatenverarbeitung nach Art. 28 DSGVO bereits unter anderem folgende Punkte zu beachten sind:

Bevor der erste Datensatz zum Dienstleister übergeben wird, oder der erste Mitarbeiter eines Dienstleisters die Kanzlei betritt oder sich im Rahmen der Fernwartung auf einen PC aufschaltet, muss es bereits einen ausführlichen Vertrag mit dem jeweiligen Dienstleister geben.

Vor Abschluß dieses Vertrages kommt es darauf an, den Auftragnehmer sorgfältig auszuwählen, u. a. muss dieser hinreichende Garantien zum Datenschutzniveau bieten, z. B. in Form von Zertifikaten oder qualifizierten Selbstauskünften.

Es muss in der Kanzlei Kriterien für die Auswahl der Auftragnehmer geben, u. a. in Bezug auf geeignete technische und organisatorische Maßnahmen.

Bei Abschluss eines Vertrages zur Auftragsverarbeitung sollten Sie prüfen, ob diese Bestimmungen enthalten sind:

  • die Weisung des Verantwortlichen gegenüber dem Auftragsverarbeiter,
  • die Verpflichtung der Mitarbeiter beim Auftragsverarbeiter zur Vertraulichkeit,
  • die Maßnahmen nach Art. 32 (Sicherheit der Verarbeitung, technisch-organisatorische Maßnahmen),
  • Regelungen zu Subdienstleistern,
  • die Unterstützung des Auftraggebers bei der Beantwortung von Anträgen von betroffenen Personen,
  • die Unterstützung des Verantwortlichen bei der Einhaltung der in der DSGVO genannten Pflichten wie Meldung von Datenschutzpannen, Benachrichtigung der Betroffenen und ggf. der Durchführung von Datenschutz-Folgenabschätzungen,
  • Löschung oder Rückgabe von Daten nach Beendigung des Auftrages,
  • Unterstützung des Verantwortlichen bei Überprüfungen — einschließlich Inspektionen,
  • unverzügliche Information, falls eine Weisung des Verantwortlichen gegen die DS-GVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

Ein neuer Aspekt der DSGVO ist, dass bei Verstoß gegen die vertraglichen Regelungen zur Auftragsverarbeitung oder gegen sonstige datenschutzrechtliche Regelungen der Auftragsverarbeiter mit in die Haftung gerät!

Ein weiterer neuer Aspekt ist, dass der Einsatz und Wechsel von Subunternehmern zukünftig schriftlich zu genehmigen ist. Insbesondere für den Wechsel von Subunternehmern wird sich deshalb vermutlich ein Verfahren etablieren, das im Zuge einer allgemeinen Genehmigung eine schriftliche Benachrichtigung mit Sonderkündigungsrecht vorsieht.

Bei der regelmäßigen Kontrolle der Auftragsverarbeiter durch die Kanzlei darf die Kontrolle der Unterauftragnehmer nicht vergessen werden. Gerade bei Berufsgeheimnisträgern wird die jährliche Kontrolle empfohlen. Grundlage für den Nachweis beim Auftragsverarbeiter kann u.a. eine Zertifizierung oder die Einhaltung einer genehmigten Verhaltensregel sein. Die Möglichkeit von Vor-Ort-Audits sollte nicht außer Acht gelassen werden, in der Regel werden aber Selbstauskünfte auf Grundlage von Checklisten erfolgen.

Der Auftragsverarbeiter arbeitet nach Weisung der Kanzlei und ist verpflichtet, dieser seine Sicherungsmaßnahmen nachzuweisen und sie bei Verstößen und Datenpannen umgehend zu benachrichtigen. Selbstverständlich muss der Auftragsverarbeiter der Kanzlei auch die Kontaktdaten seines Datenschutzbeauftragten mitteilen.

Tipp für die Praxis: Ein möglicher Anhalt für die Gestaltung eines Vertrags zur Auftragsverarbeitung ist das Muster der GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.).


Dies könnte Sie auch interessieren:

Beitrag als PDF herunterladen

One Response

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.