Auftragsverarbeitung: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
Zeile 1: Zeile 1:
 
<pre>Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG</pre>
 
<pre>Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG</pre>
Durch Vertrag, der Gegenstand, Dauer, Art, Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Rechte und Pflichten des Verantwortlichen geregelte weisungsgebundene, vertrauliche Verarbeitung von personenbezogenen Daten im Auftrag ohne weitere Auftragsverarbeitung und mit Regelung einer Löschungspflicht.
+
* Durch Vertrag, der Gegenstand, Dauer, Art, Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Rechte und Pflichten des Verantwortlichen geregelte weisungsgebundene, vertrauliche Verarbeitung von personenbezogenen Daten im Auftrag ohne weitere Auftragsverarbeitung und mit Regelung einer Löschungspflicht.
  
Auftragsverarbeiter verarbeiten eigenverantwortlich Daten im Auftrag. Der Auftraggeber fordert ein Ergebnis, hat aber keinen Einfluss auf die Art der Verarbeitung (z. B. die benutzten Programme). Sofern der Auftraggeber einen Einfluss geltend machen kann, handelt es sich bei Auftraggeber und Auftragnehmer um „Gemeinsam Verantwortliche“.
+
* Auftragsverarbeiter verarbeiten eigenverantwortlich Daten im Auftrag. Der Auftraggeber fordert ein Ergebnis, hat aber keinen Einfluss auf die Art der Verarbeitung (z. B. die benutzten Programme). Sofern der Auftraggeber einen Einfluss geltend machen kann, handelt es sich bei Auftraggeber und Auftragnehmer um „Gemeinsam Verantwortliche“.
  
Auch gemeinsam Verantwortliche müssen eine (schriftlichen) Vereinbarung treffen. Die EU-DSGVO schreibt vor, dass dort festgelegt wird, wer welche Pflichten der EU-DSGVO übernimmt. Dies gilt insbesondere gegenüber den Rechten der Betroffenen. Besonders die Informationspflicht gegenüber den Betroffenen auf Auskunft etc. muss klar geregelt sein. Den Betroffenen sind die wesentlichen Regelungen zur Verfügung zu stellen. Die Betroffenen können ihre Rechte aber dennoch gegenüber jedem einzelnen Verantwortlichen geltend machen.
+
* Auch gemeinsam Verantwortliche müssen eine (schriftlichen) Vereinbarung treffen. Die EU-DSGVO schreibt vor, dass dort festgelegt wird, wer welche Pflichten der EU-DSGVO übernimmt. Dies gilt insbesondere gegenüber den Rechten der Betroffenen. Besonders die Informationspflicht gegenüber den Betroffenen auf Auskunft etc. muss klar geregelt sein. Den Betroffenen sind die wesentlichen Regelungen zur Verfügung zu stellen. Die Betroffenen können ihre Rechte aber dennoch gegenüber jedem einzelnen Verantwortlichen geltend machen.
  
Auftragsverarbeiter müssen danach ausgewählt werden, ob sie hinreichend Garantien dafür bieten, dass sie im Einklang mit der EU-DSGVO verarbeiten. Hierzu sind geeignete [[technische und organisatorische Maßnahmen]] notwendig. Kommt es zu einem Verstoß, ist der Auftragsverarbeiter als Verantwortlicher haftbar. Der Verantwortliche muss eine Weisung zur Verarbeitung personenbezogener Daten erteilen.
+
* Auftragsverarbeiter müssen danach ausgewählt werden, ob sie hinreichend Garantien dafür bieten, dass sie im Einklang mit der EU-DSGVO verarbeiten. Hierzu sind geeignete [[technische und organisatorische Maßnahmen]] notwendig. Kommt es zu einem Verstoß, ist der Auftragsverarbeiter als Verantwortlicher haftbar. Der Verantwortliche muss eine Weisung zur Verarbeitung personenbezogener Daten erteilen.
  
Vorgeschriebener Vertragsinhalt (A28, EWG 81) ist mindestens:
+
* Vorgeschriebener Vertragsinhalt (A28, EWG 81) ist mindestens:
* Verarbeitung nur aufgrund dokumentierter Weisung
+
** Verarbeitung nur aufgrund dokumentierter Weisung
* Vertraulichkeitsverpflichtung
+
** Vertraulichkeitsverpflichtung
* Sicherheit
+
** Sicherheit
* weitere Auftragsverarbeiter nur mit denselben Pflichten und per Vertrag
+
** weitere Auftragsverarbeiter nur mit denselben Pflichten und per Vertrag
* Support des Verantwortlichen
+
** Support des Verantwortlichen
* Löschung aller Daten nach dem Ende der Auftragsverarbeitung
+
** Löschung aller Daten nach dem Ende der Auftragsverarbeitung
* Inspektionen
+
** Inspektionen
* Weisungsprüfung
+
** Weisungsprüfung
  
=> * Beispiel eines [https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/04/200409_AVV-Muster_DE.pdf Auftragsverarbeitungsvertrages].
+
* Beispiel eines [https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/04/200409_AVV-Muster_DE.pdf Auftragsverarbeitungsvertrages].
  
 
''' Weitere Informationen '''
 
''' Weitere Informationen '''
 
Inkassounternehmen sind [https://www.datenschutz-praxis.de/fachartikel/was-gibt-es-neues-aus-sicht-der-datenschutz-aufsichtsbehoerden/?newsletter=ds/i/datenschutz-praxis-aktuell/9100/2020/18/02091536/News_4&va=02091536&chorid=02091536&vkgrp=354 keine Auftragsverarbeiter].
 
Inkassounternehmen sind [https://www.datenschutz-praxis.de/fachartikel/was-gibt-es-neues-aus-sicht-der-datenschutz-aufsichtsbehoerden/?newsletter=ds/i/datenschutz-praxis-aktuell/9100/2020/18/02091536/News_4&va=02091536&chorid=02091536&vkgrp=354 keine Auftragsverarbeiter].

Version vom 20. Mai 2022, 10:19 Uhr

Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG
  • Durch Vertrag, der Gegenstand, Dauer, Art, Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Rechte und Pflichten des Verantwortlichen geregelte weisungsgebundene, vertrauliche Verarbeitung von personenbezogenen Daten im Auftrag ohne weitere Auftragsverarbeitung und mit Regelung einer Löschungspflicht.
  • Auftragsverarbeiter verarbeiten eigenverantwortlich Daten im Auftrag. Der Auftraggeber fordert ein Ergebnis, hat aber keinen Einfluss auf die Art der Verarbeitung (z. B. die benutzten Programme). Sofern der Auftraggeber einen Einfluss geltend machen kann, handelt es sich bei Auftraggeber und Auftragnehmer um „Gemeinsam Verantwortliche“.
  • Auch gemeinsam Verantwortliche müssen eine (schriftlichen) Vereinbarung treffen. Die EU-DSGVO schreibt vor, dass dort festgelegt wird, wer welche Pflichten der EU-DSGVO übernimmt. Dies gilt insbesondere gegenüber den Rechten der Betroffenen. Besonders die Informationspflicht gegenüber den Betroffenen auf Auskunft etc. muss klar geregelt sein. Den Betroffenen sind die wesentlichen Regelungen zur Verfügung zu stellen. Die Betroffenen können ihre Rechte aber dennoch gegenüber jedem einzelnen Verantwortlichen geltend machen.
  • Auftragsverarbeiter müssen danach ausgewählt werden, ob sie hinreichend Garantien dafür bieten, dass sie im Einklang mit der EU-DSGVO verarbeiten. Hierzu sind geeignete technische und organisatorische Maßnahmen notwendig. Kommt es zu einem Verstoß, ist der Auftragsverarbeiter als Verantwortlicher haftbar. Der Verantwortliche muss eine Weisung zur Verarbeitung personenbezogener Daten erteilen.
  • Vorgeschriebener Vertragsinhalt (A28, EWG 81) ist mindestens:
    • Verarbeitung nur aufgrund dokumentierter Weisung
    • Vertraulichkeitsverpflichtung
    • Sicherheit
    • weitere Auftragsverarbeiter nur mit denselben Pflichten und per Vertrag
    • Support des Verantwortlichen
    • Löschung aller Daten nach dem Ende der Auftragsverarbeitung
    • Inspektionen
    • Weisungsprüfung

Weitere Informationen Inkassounternehmen sind keine Auftragsverarbeiter.