INHALT DES VERTRAGES
Die Vorgaben zur vertraglichen Gestaltung in Art. 28 Abs. 3 DSGVO erinnern sehr stark an die Vorgaben des § 11 Abs. 2 BDSG nach der BDSG Novelle 2 im Jahr 2009. Es empfiehlt sich trotzdem, bestehende Vereinbarungen zu Auftragsdatenverarbeitungen zu überprüfen, inwieweit eine Anpassung an die Vorgaben zur Auftragsverarbeitung geboten erscheint. Nachfolgende Übersicht dient zur Orientierung der vorgegebenen Regelungsinhalte:
- Gegenstand und Dauer der Verarbeitung:
| Art. 28 Abs. 3 Satz 1 DSGVO
|
- Art und Zweck der Verarbeitung:
| Art. 28 Abs. 3 Satz 1 DSGVO
|
- Art der personenbezogenen Daten:
| Art. 28 Abs. 3 Satz 1 DSGVO
|
- Kategorien von betroffenen Personen:
| Art. 28 Abs. 3 Satz 1 DSGVO
|
- nur auf dokumentierte Weise (auch bezogen auf Drittstaat) Art. 29 DSGVO: Der Auftragsverarbeiter oder eine ihm [...] unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten, [...]
| Art. 28 Abs. 3 Satz 2 lit. a DSGVO |
- Gewährleistung, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben. Art. 24 Abs. 1 DSGVO – technische und organisatorische Maßnahmen zur Einhaltung der Vorgaben aus dieser Verordnung
| Art. 28 Abs. 3 Satz 2 lit. b DSGVO |
- technische und organisatorische Maßnahmen nach Art. 32:
| Art. 28 Abs. 3 Satz 2 lit. c DSGVO
|
- Unterstützung des den für die Verarbeitung Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen im Hinblick auf die Beantwortung von Anträgen auf der Wahrnehmung der Betroffenenrechte über Nachweis der hinreichenden Garantien aus Art. 28 Abs. 1
| Art. 28 Abs. 3 Satz 2 lit. e DSGVO
|
- Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters
| Art. 28 Abs. 3 Satz 2 lit. d DSGVO
|
- [...] dem für die Verarbeitung Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellen und Überprüfen – einschließlich Inspektionen –, die vom für die Verarbeitung Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beitragen.
| Art. 28 Abs. 3 Satz 2 lit. h DSGVO
|
- Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem für die Verarbeitung Verantwortlichen ohne unangemessene Verzögerung.
| Art. 33 Abs. 2 DSGVO |
- Nach Wahl des für die Verarbeitung Verantwortlichen Rückgabe oder Löschung aller personenbezogenen Daten (sofern keine Verpflichtung zur Speicherung der Daten besteht)
| Art. 28 Abs. 3 Satz 2 lit. g DSGVO
|
- Organisatorische Maßnahmen zur Wahrung der Vertraulichkeit auch durch den Auftragsverarbeiter
| Art. 32 Abs. 1 lit. b DSGVO
|
- Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt
| Art. 28 Abs. 3 Satz 3 DSGVO
|
- Unterstützung des für die Verarbeitung Verantwortlichen bei der Einhaltung der in Art. 32 - 36 DSGVO genannten Pflichten unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen [Abschnitte
Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezoge ner Daten, Datenschutz-Folgenabschätzung, Vorherige Konsultation]
| Art. 28 Abs. 3 Satz 2 lit. f DSGVO |
Des Weiteren sind insb. für öffentliche Stellen die Sondervorschriften zur Auftragsverarbeitung in Landesgesetzen zu achten.