73
06/18 personalmagazin
Bei Fragen wenden Sie sich bitte an
satorischen Anforderungen in diesem
Zusammenhang werden künftig nicht
mehr ausreichen.
Zu den Pflichten des Auftragsverar-
beiters zählt beispielsweise auch die
schriftliche Bestellung eines Daten-
schutzbeauftragten sowie die Aufnahme
der Kontaktdaten desselben. Alternativ
bedarf es einer kurzen Dokumentation,
weshalb der Auftragnehmer nicht zur Be-
stellung eines Datenschutzbeauftragten
verpflichtet ist.
Vertrag enthält Kontrollmöglichkeit
Außerdem empfiehlt sich die vertragli-
che Verpflichtung, dass der Auftragneh-
mer regelmäßig die internen Prozesse
sowie die technischen und organisato-
rischen Maßnahmen kontrolliert, do-
kumentiert und bei Bedarf dem Auf-
traggeber zur Prüfung übergibt. Hierbei
handelt es sich etwa um Maßnahmen
• zur Datensicherheit,
• zur Gewährleistung eines dem Risiko
angemessenen Schutzniveaus hin-
sichtlich der Vertraulichkeit, der In-
tegrität und der Verfügbarkeit sowie
• der Belastbarkeit der eingesetzten
Systeme.
Mit diesen Kontroll-, Dokumentations
und Offenlegungspflichten soll sicher-
gestellt werden, dass die Verarbei-
tung im Verantwortungsbereich des
Service-Providers im Einklang mit den
Anforderungen des geltenden Daten-
schutzrechts gemäß Art. 28 Abs. 3 Satz
2 lit. c), 32 DSGVO (in Verbindung mit
den Grundsätzen für die Verarbeitung
personenbezogener Daten aus Art. 5
DSGVO) erfolgt. Auch der Schutz der
Check
Wichtige Punkte einer Betriebsverein-
barung zur DSGVO-Umsetzung (HI11296905)
Die Arbeitshilfe finden Sie im Haufe
Personal Office (HPO). Internetzugriff:
ARBEITSHILFE
Europäischen Union (EU) oder des Eu-
ropäischen Wirtschaftsraums (EWR) zu-
lässig, soweit bei der Verarbeitung von
personenbezogenen Daten im Drittland
geeignete Schutzmechanismen greifen
(zum Beispiel EU-Standard-Vertrags-
klauseln, Privacy-Shield-Zertifizierung).
Das bedeutet, dass sogenanntes Cloud
Computing durch externe Service-Pro-
vider grundsätzlich als Auftragsverar-
beitung im Sinne von Art. 28 DSGVO
möglich ist, ob innerhalb oder außerhalb
des EWR. Dennoch ist nicht zu unter-
schätzen, dass Cloud Computing – ins-
besondere in Drittländern wie den USA
– eine echte Herausforderung bezüglich
des Datenschutzrechts darstellt.
Für den Anwender im Unterneh-
men stellt sich gleichwohl die Frage,
ob und inwieweit bisherige Auftrags-
verarbeitungsverträge geändert oder
neu ausgestaltet werden müssen. Viele
Compliance-Teams sind diesbezüglich
unsicher – gerade weil bei zahlreichen
Cloud-Anbietern die Auftragsverarbei-
tung außerhalb des EWR erfolgt.
Die Umsetzung der DSGVO im Vertrag
Die Anpassungserfordernisse hin-
sichtlich der Vertragsgestaltung mit
Auftragsverarbeitern betreffen nach
den neuen Datenschutzregeln sowohl
inhaltliche als auch technische und
organisatorische Maßnahmen. Perso-
nalabteilungen sollten daher prüfen,
welche inhaltlichen Anforderungen ein
Auftragsverarbeitungsvertrag nach Art.
28 DSGVO künftig zu erfüllen hat. Um
notwendige Anpassungen umzusetzen,
empfiehlt es sich die gesetzlichen For-
derungen gemäß Art. 28 Abs. 3 DSGVO
vollständig in das Vertragswerk über-
zuleiten und diese letztendlich ähnlich
einer Checkliste abzuarbeiten.
So ist es zum Beispiel nötig, im Haupt-
vertrag zunächst den Vertragsgegen-
stand und die Dauer der Beauftragung
festzulegen sowie idealerweise Vergü-
tungs- und Haftungsregelungen zum
vereinbarten Leistungsspektrum des
Auftragnehmers zu regeln. Ferner sollte
der Auftragsinhalt näher bestimmt wer-
den, also insbesondere im Hinblick auf
die Art und den Zweck der Verarbeitung
personenbezogener Daten. Haben die
Parteien des Auftragsverarbeitungs-
vertrags den Wunsch, dass die Verar-
beitung der personenbezogenen Daten
ausschließlich in einem Mitgliedsstaat
der EU oder des EWR stattfindet, ist hie-
rauf ausdrücklich hinzuweisen.
Praxis-Tipp: Kann der Auftragsver-
arbeiter die personenbezogenen Daten
lediglich in einem nicht sicheren Aus-
land (zum Beispiel der USA) verarbeiten,
bedarf es einer entsprechenden vertrag-
lichen Gestaltung. Diese muss darauf
hinwirken, dass nach Art. 27 Abs. 1
DSGVO ein Vertreter des Dienstleisters
in der EU zu benennen ist. Zudem sind
die Arten der verarbeiteten personen-
bezogenen Daten sowie die Kategorien
der betroffenen Personen (Lieferanten,
Beschäftigte, Abonnenten, Kunden, et
cetera) konkret zu bezeichnen.
DSGVO-Pflichten im Vertrag verankern
Neben Gegenstand und Inhalt des Auf-
trags sollten Unternehmen klare Re-
gelungen im Zusammenhang mit der
Einhaltung der gesetzlichen Verpflich-
tungen gemäß Art. 28 bis 33 DSGVO
durchsetzen. Diese betreffen die Quali-
tätssicherung und sonstigen Pflichten
des Auftragnehmers. So sind etwa alle
erforderlichen DSGVO-konformen tech-
nischen und organisatorischen Maß-
nahmen des Art. 28 Abs. 3 Satz 2 lit.
c), 32 DSGVO konkret zu bezeichnen
und in einer Anlage zu beschreiben. Die
Verwendung von pauschalen Aussagen
oder Wiederholungen hinsichtlich der
inhaltlichen, technischen oder organi-
Künftig müssen Arbeit-
geber in Verträgen zur
Auftragsverarbeitung
mit Service-Providern
auf wichtige Punkte ach-
ten, um Datenschutzver-
stöße zu vermeiden.
