Allgemeine Aspekte
In diesem Beitrag erklären wir, welche Anforderungen die Datenschutzgrundverordnung an die Inhalte eines Auftragsverarbeitungsvertrags oder eines sonstigen Rechtsinstruments stellt. Doch zuvor möchten wir noch verschiedene allgemeine Aspekte reflektieren. Zunächst sei darauf hingewiesen, dass der Vertrag zwar im Wesentlichen die in Art. 28 DSGVO aufgezählten Bestandteile beinhalten soll, dass Auftragsverarbeiter und Verantwortlicher aber dennoch die Möglichkeit haben sollen, in der Vereinbarung exakt zu beschreiben und genaue Anweisungen dazu zu geben, wie sie die wesentlichen Elemente umsetzen werden. Der Auftragsverarbeitungsvertrag sollte also nicht nur die Vorgaben der Datenschutzgrundverordnung wiedergeben, sondern konkrete Ausführungen dazu beinhalten, wie die DSGVO in dem jeweiligen spezifischen Fall eingehalten werden und auf welcher Ebene das Sicherheitsniveau angesiedelt ist, wenn es um die Verarbeitung der personenbezogenen Daten geht, um deren Sicherheit es ja geht. Der Vertrag wird also keineswegs nur der Form halber abgeschlossen, sondern soll vielmehr die Möglichkeit bieten, die Details der Verarbeitung zu bestimmen.
Verträge den Erfordernissen anpassen
Zugleich soll der Vertrag insbesondere die beiden folgenden Themen in den Fokus nehmen:
- Besondere Pflichten und Aufgaben, die der Auftragsverarbeiter bei der Verarbeitung erfüllen muss
- Berücksichtigung der Risiken für Freiheiten und Rechte der Betroffenen
Grundsätzlich ist es von zentraler Bedeutung, dass der Vertrag zwischen Auftragsverarbeitern und Verantwortlichen die konkreten Rahmenbedingungen der betreffenden Datenverarbeitung berücksichtigt. Dazu ein Beispiel: Ein Auftragsverarbeiter wurde mit einer Verarbeitung beauftragt, die nur wenige Risiken mit sich bringt. In solch einem Fall ist es nicht notwendig, dass der Auftragsverarbeiter sehr strenge Schutzvorkehrungen ergreift oder besondere Verfahren anwendet. Selbstverständlich muss man als Verarbeiter bei jeder Auftragsverarbeitung die Vorgaben der Datenschutzgrundverordnung erfüllen – aber die ergriffenen Maßnahmen und die angewandten Verfahren sollen schon der betreffenden Situation angepasst sein.
Risiken beachten
Fest steht aber auf alle Fälle, dass in jedem Vertrag alle Bestandteile, die in Art. 28 Abs. 3 DSGVO aufgeführt werden, berücksichtigt werden sollen. Zugleich sollte der Vertrag den Auftragsverarbeitern eine Hilfestellung bieten, damit sie die Risiken verstehen, die sich aus der Auftragsverarbeitung für die Freiheiten und Rechte der Betroffenen ergeben. Oftmals ist es so, dass der Verantwortliche die Risiken, die die Verarbeitung mit sich bringt, besser kennt als der Auftragsverarbeiter, denn ihm sind die näheren Umstände der Verarbeitung besser vertraut.
Erforderliche Vertragsinhalte
Für die erforderlichen Vertragsinhalte oder die Inhalte eines anderen Rechtsinstruments interpretiert der Europäische Datenschutzausschuss Art. 28 Abs. 3 DSGVO dahingehend, dass folgende Elemente erforderlich sind:
- Was ist der Gegenstand der Auftragsverarbeitung? Dabei könnte es sich beispielsweise um Mitschnitte von Kundengesprächen handeln, die zur Qualitätskontrolle aufgenommen werden. Wichtig ist hier, dass der Verarbeitungsgegenstand präzise genug formuliert wird, damit es eindeutig ist, worum es bei der Verarbeitung hauptsächlich geht.
- Wichtig ist auch die Verarbeitungsdauer. Entweder wird der exakte Zeitraum angegeben oder die Kriterien, nach denen er definiert wird. Eine Möglichkeit wäre, die Vertragslaufzeit der Auftragsverarbeitung anzugeben.
- Ein weiterer Punkt ist die Verarbeitungsart: Geht es bei der Verarbeitung beispielsweise um Fotoaufnahmen, Tonaufnahmen, Interviews?
- Auch der Verarbeitungszweck ist erforderlich: Zutrittskontrollen oder spätere Abrechnungen sind Beispiele dafür. Die Zwecke sollten möglichst umfassend und genau erklärt werden, damit sie für Dritte nachvollziehbar sind. Etwa für die Aufsichtsbehörden, die so Inhalte und Risiken der Datenverarbeitung durch den Auftragsverarbeiter nachvollziehen können.
- Angegeben werden muss auch die Art der verarbeiteten personenbezogenen Daten. Hier sollten die Angaben sehr detailliert sein. Passend zum obigen Beispiel könnten die Mitschnitte von Kundengesprächen als „Aufnahmen von Beratungsgesprächen mit Bestandskunden zu deren bestehenden Telefonverträgen" beschrieben werden. Es würde nicht ausreichen, würde man hier angeben, es handele sich beispielsweise um besondere Kategorien von personenbezogenen Daten nach Art. 9 DSGVO.
- Werden personenbezogene Daten besonderer Kategorien verarbeitet, sollen Vertrag beziehungsweise Rechtsinstrument die Information enthalten, welche Daten verarbeitet werden. Das können beispielsweise Informationen über Diagnosen von Patienten oder über Mitgliedschaften in politischen Parteien sein.
- Auch die Kategorien der betroffenen Personen sind anzugeben – seien es zum Beispiel Mitarbeitende oder Patienten.
- Rechte des Verantwortlichen: zum Beispiel das Recht, Prüfungen der Verarbeitung durchzuführen
- Pflichten des Verantwortlichen: Hier kann die Verpflichtung genannt werden, dem Auftragsverarbeiter die zu verarbeitenden Daten zu übergeben oder ihm Weisungen zur Verarbeitung der Daten zu geben und diese auch zu dokumentieren. So kann während der kompletten Auftragsdatenverarbeitung sichergestellt werden, dass der Verarbeiter den Pflichten nachkommt, die ihm die DSGVO auferlegt, dass die Datenverarbeitung überwacht wird oder dass Inspektionen durchgeführt werden.
Ergänzungen können nötig sein
Die Datenschutzgrundverordnung benennt die Elemente, die in allen Verträgen immer auszuführen sind. Doch diese sollen je nach sachlichem Zusammenhang, Kontext und Verarbeitungsrisiken ergänzt werden – auch durch zusätzliche Anforderungen an die Verarbeitung.
Sie wünschen mehr Infos zu den Vertragsinhalten?
Wir erklären Ihnen sehr gern, welche Anforderungen Auftragsverarbeitungsverträge im Allgemeinen und im Einzelfall erfüllen müssen. Rufen Sie uns gern unter Telefon 09122 6937302 an oder schicken Sie uns Ihre Nachricht. Wir freuen uns darauf, diese Fragen mit Ihnen zu besprechen.
Ihr Team von Datenschutz Prinz
Mehr zum Thema Auftragsverarbeitung:
- Rolle und Auswahl der Auftragsverarbeiter
- Vereinbarungen mit dem Auftragsverarbeiter
- Verarbeitung nur nach dokumentierter Weisung