Auftragsverarbeitung: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Admin (Diskussion | Beiträge) |
Admin (Diskussion | Beiträge) |
||
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
<pre>Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG</pre> | <pre>Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG</pre> | ||
− | Durch Vertrag, der Gegenstand, Dauer, Art, Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Rechte und Pflichten des Verantwortlichen geregelte weisungsgebundene, vertrauliche Verarbeitung von personenbezogenen Daten im Auftrag ohne weitere Auftragsverarbeitung und mit Regelung einer Löschungspflicht. | + | * Durch Vertrag, der Gegenstand, Dauer, Art, Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Rechte und Pflichten des Verantwortlichen geregelte weisungsgebundene, vertrauliche Verarbeitung von personenbezogenen Daten im Auftrag ohne weitere Auftragsverarbeitung und mit Regelung einer Löschungspflicht. |
− | Auftragsverarbeiter verarbeiten eigenverantwortlich Daten im Auftrag. Der Auftraggeber fordert ein Ergebnis, hat aber keinen Einfluss auf die Art der Verarbeitung (z. B. die benutzten Programme). Sofern der Auftraggeber einen Einfluss geltend machen kann, handelt es sich bei Auftraggeber und Auftragnehmer um „Gemeinsam Verantwortliche“. | + | * Auftragsverarbeiter verarbeiten eigenverantwortlich Daten im Auftrag. Der Auftraggeber fordert ein Ergebnis, hat aber keinen Einfluss auf die Art der Verarbeitung (z. B. die benutzten Programme). Sofern der Auftraggeber einen Einfluss geltend machen kann, handelt es sich bei Auftraggeber und Auftragnehmer um „Gemeinsam Verantwortliche“. |
− | Auch gemeinsam Verantwortliche müssen eine (schriftlichen) Vereinbarung treffen. Die EU-DSGVO schreibt vor, dass dort festgelegt wird, wer welche Pflichten der EU-DSGVO übernimmt. Dies gilt insbesondere gegenüber den Rechten der Betroffenen. Besonders die Informationspflicht gegenüber den Betroffenen auf Auskunft etc. muss klar geregelt sein. Den Betroffenen sind die wesentlichen Regelungen zur Verfügung zu stellen. Die Betroffenen können ihre Rechte aber dennoch gegenüber jedem einzelnen Verantwortlichen geltend machen. | + | * Auch gemeinsam Verantwortliche müssen eine (schriftlichen) Vereinbarung treffen. Die EU-DSGVO schreibt vor, dass dort festgelegt wird, wer welche Pflichten der EU-DSGVO übernimmt. Dies gilt insbesondere gegenüber den Rechten der Betroffenen. Besonders die Informationspflicht gegenüber den Betroffenen auf Auskunft etc. muss klar geregelt sein. Den Betroffenen sind die wesentlichen Regelungen zur Verfügung zu stellen. Die Betroffenen können ihre Rechte aber dennoch gegenüber jedem einzelnen Verantwortlichen geltend machen. |
− | + | * Auftragsverarbeiter müssen danach ausgewählt werden, ob sie hinreichend Garantien dafür bieten, dass sie im Einklang mit der EU-DSGVO verarbeiten. Hierzu sind geeignete [[technische und organisatorische Maßnahmen]] notwendig. Kommt es zu einem Verstoß, ist der Auftragsverarbeiter als Verantwortlicher haftbar. Der Verantwortliche muss eine Weisung zur Verarbeitung personenbezogener Daten erteilen. | |
− | + | * Vorgeschriebener Vertragsinhalt (A28, EWG 81) ist mindestens: | |
+ | ** Verarbeitung nur aufgrund dokumentierter Weisung | ||
+ | ** Verpflichtung zur Vertraulichkeit der Verarbeitung | ||
+ | ** Sicherheit der Verarbeitung | ||
+ | ** weitere Auftragsverarbeiter nur mit selben Pflichten und per Vertrag | ||
+ | ** Unterstützung des Verantwortlichen | ||
+ | ** Löschung aller Daten nach dem Ende der Auftragsverarbeitung | ||
+ | ** Recht auf Inspektionen | ||
+ | ** Überprüfung jeder Weisung des Auftraggebers durch den Auftragsverarbeiter | ||
− | + | '''Beispiele''' | |
− | * | + | * Beispiel eines [https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/04/200409_AVV-Muster_DE.pdf Auftragsverarbeitungsvertrages]. |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
''' Weitere Informationen ''' | ''' Weitere Informationen ''' | ||
* Inkassounternehmen sind [https://www.datenschutz-praxis.de/fachartikel/was-gibt-es-neues-aus-sicht-der-datenschutz-aufsichtsbehoerden/?newsletter=ds/i/datenschutz-praxis-aktuell/9100/2020/18/02091536/News_4&va=02091536&chorid=02091536&vkgrp=354 keine Auftragsverarbeiter]. | * Inkassounternehmen sind [https://www.datenschutz-praxis.de/fachartikel/was-gibt-es-neues-aus-sicht-der-datenschutz-aufsichtsbehoerden/?newsletter=ds/i/datenschutz-praxis-aktuell/9100/2020/18/02091536/News_4&va=02091536&chorid=02091536&vkgrp=354 keine Auftragsverarbeiter]. | ||
− |
Aktuelle Version vom 20. Mai 2022, 10:21 Uhr
Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG
- Durch Vertrag, der Gegenstand, Dauer, Art, Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Rechte und Pflichten des Verantwortlichen geregelte weisungsgebundene, vertrauliche Verarbeitung von personenbezogenen Daten im Auftrag ohne weitere Auftragsverarbeitung und mit Regelung einer Löschungspflicht.
- Auftragsverarbeiter verarbeiten eigenverantwortlich Daten im Auftrag. Der Auftraggeber fordert ein Ergebnis, hat aber keinen Einfluss auf die Art der Verarbeitung (z. B. die benutzten Programme). Sofern der Auftraggeber einen Einfluss geltend machen kann, handelt es sich bei Auftraggeber und Auftragnehmer um „Gemeinsam Verantwortliche“.
- Auch gemeinsam Verantwortliche müssen eine (schriftlichen) Vereinbarung treffen. Die EU-DSGVO schreibt vor, dass dort festgelegt wird, wer welche Pflichten der EU-DSGVO übernimmt. Dies gilt insbesondere gegenüber den Rechten der Betroffenen. Besonders die Informationspflicht gegenüber den Betroffenen auf Auskunft etc. muss klar geregelt sein. Den Betroffenen sind die wesentlichen Regelungen zur Verfügung zu stellen. Die Betroffenen können ihre Rechte aber dennoch gegenüber jedem einzelnen Verantwortlichen geltend machen.
- Auftragsverarbeiter müssen danach ausgewählt werden, ob sie hinreichend Garantien dafür bieten, dass sie im Einklang mit der EU-DSGVO verarbeiten. Hierzu sind geeignete technische und organisatorische Maßnahmen notwendig. Kommt es zu einem Verstoß, ist der Auftragsverarbeiter als Verantwortlicher haftbar. Der Verantwortliche muss eine Weisung zur Verarbeitung personenbezogener Daten erteilen.
- Vorgeschriebener Vertragsinhalt (A28, EWG 81) ist mindestens:
- Verarbeitung nur aufgrund dokumentierter Weisung
- Verpflichtung zur Vertraulichkeit der Verarbeitung
- Sicherheit der Verarbeitung
- weitere Auftragsverarbeiter nur mit selben Pflichten und per Vertrag
- Unterstützung des Verantwortlichen
- Löschung aller Daten nach dem Ende der Auftragsverarbeitung
- Recht auf Inspektionen
- Überprüfung jeder Weisung des Auftraggebers durch den Auftragsverarbeiter
Beispiele
- Beispiel eines Auftragsverarbeitungsvertrages.
Weitere Informationen
- Inkassounternehmen sind keine Auftragsverarbeiter.