Datenschutzrechtliche Standard-Situationen Schritt für Schritt meistern: Dabei unterstützen die ESCHE-Datenschutz-Checklisten.
Nicht nur auf Datenverarbeitungsdienstleistungen spezialisierte Unternehmen, werden Auftragnehmer eine Auftragsdatenverarbeitung. Häufig erhalten Unternehmen in der Kooperation mit anderen Unternehmen Daten, um diese für Zwecke des anderen Unternehmens zu verarbeiten. Dies trifft besonders häufig in Konzernkonstellationen, in denen z. B. interne Dienstleistungen zentralisiert werden, zu.
Werden Daten einer anderen verantwortlichen Stelle nach deren Weisung verarbeitet, bestehen für beide Parteien – Auftraggeber und Auftragnehmer – zahlreiche gesetzliche Pflichten und organisatorische Herausforderungen. Die folgende Darstellung gibt einen Überblick über die für den Auftragnehmer wesentlichen rechtlichen und organisatorischen Aufgaben.
Phase 1: Vorbereitung der Auftragsdatenverarbeitung
- Abgrenzung Auftragsdatenverarbeitung/Funktionsübertragung
- Verpflichtung der mit Datenverarbeitung betrauten Personen auf das Datengeheimnis
- Prüfung, ob ein betrieblicher Datenschutzbeauftragter zu bestellen ist und ggf. Bestellung eines betrieblichen Datenschutzbeauftragten
- Einbindung des betrieblichen Datenschutzbeauftragten
- Sicherstellung der technischen und organisatorischen Maßnahmen nach dem Bundesdatenschutzgesetz
- Bestandsaufnahme bzgl. eigener Dienstleister und Auftragnehmer, welche der Auftragnehmer einsetzt, um seine Pflichten gegenüber dem Auftraggeber zu erfüllen
- Vorausschauende Gestaltung von Verträgen mit eigenen Auftragnehmern, die bei Übernahme eines Auftrags Unterauftragnehmer werden
- Ggf. Kontrolle und Dokumentation der Einhaltung der technischen und organisatorischen Maßnahmen zur Datensicherheit beim Unterauftragnehmer
- Sicherstellung eines angemessenen Datenschutzniveaus im Falle einer Datenverarbeitung in einem Drittstaat
- Gestaltung eines Auftragsdatenverarbeitungsvertrages
- Ggf. Vorbereitung eines Standard-Auftragsverarbeitungsvertrages, wenn für eine Vielzahl von Kunden Auftragsdatenverarbeitungen durchgeführt werden
- Individuelle Gestaltung eines Auftragsdatenverarbeitungsvertrages im Einzelfall nach Maßgabe des BDSG unter Berücksichtigung der gesetzlich vorgeschriebenen Vertragsinhalte
- Etwaige Anpassung der Verträge mit Unterauftragnehmern zur Harmonisierung dieser Verträge mit den Bestimmungen des zu schließenden Auftragsdatenverarbeitungsvertrages
- Implementierung eines Risikomanagements für Datenverluste, Hackerangriffe etc.,
- Versicherungsschutz (Cyberangriffe etc.)
Phase 2: Durchführung der Auftragsdatenverarbeitung
- Umsetzung der Inhalte des Auftragsdatenverarbeitungsvertrages, insbesondere
- Umsetzung der Weisungen des Auftraggebers
- Prüfung und Anpassung der eigenen technischen und organisatorischen Maßnahme zur Datensicherheit
- Ggf. Information des Auftraggebers über Verstöße des Auftragnehmers oder der von ihm beschäftigten Personen an den Auftraggeber
- Ggf. Erfüllung von Informationspflichten bei Zweifeln an der Rechtmäßigkeit der Datenverarbeitung
- Ggf. Erfüllung von Meldepflichten bei Datenverlusten etc. gegenüber dem Auftraggeber
- Ggf. Information des Auftraggebers bzgl. Auskunftsverlangen von Betroffenen
- Ggf. Mitteilung von Änderungen in Bezug auf Datenverarbeitungsprozesse und Ansprechpartner, ggf. Anpassung des Auftragsdatenverarbeitungsvertrages
- Ggf. Mitteilung über neue bzw. geplante Unterauftragsverhältnisse des Auftragnehmers, ggf. Einholung der Zustimmung des Auftraggebers und/oder Vertragsanpassung
- Mitwirkung bei vertraglich vereinbarten Kontrollen des Auftraggebers
Phase 3: Beendigung der Auftragsdatenverarbeitung
- Beendigung des Auftragsdatenverarbeitungsvertrages
- Sichere Rückübertragung personenbezogener Daten gewährleisten
- Überlassene Datenträger zurückgeben
- Löschung der personenbezogenen Daten
Autoren: Dr. Frank Bongers und Dr. Karsten Krupna