74
RECHT
_DATENSCHUTZ
personalmagazin 06/18
Pflicht sollte auf Ermittlungsverfahren
ausgeweitet werden, die in Bezug auf
die Verarbeitung personenbezogener
Daten beim Auftragnehmer durchge-
führt werden.
• seiner Unterstützungspflicht nach-
zukommen, die er zu erbringen hat,
sollte beim Auftraggeber seinerseits
ein Ermittlungsverfahren einer zustän-
digen Aufsichtsbehörde, ein Ordnungs-
widrigkeiten- oder ein Strafverfahren
durchgeführt werden. Auch für die
Rechte der betroffenen Personen soll so
gewährleistet werden. Gegebenenfalls
ist für die Maßnahmen eine Art Fristen-
plan aufzustellen.
Vertragliche Pflicht zur Vertraulichkeit
Ein besonderes Augenmerk sollten Un-
ternehmen und Personalverantwortli-
che bei der Vertragsgestaltung auf die
Wahrung der Vertraulichkeit gemäß
Art. 28 Abs. 3 Satz 2 lit. b), 29, 32 Abs.
4 DSGVO legen. Der Auftragnehmer
sollte bei der Durchführung seiner ver-
traglichen Pflichten nur Beschäftigte
einsetzen, die auf die Vertraulichkeit
verpflichtet und zuvor mit den für sie
relevanten Bestimmungen zum Daten-
schutz vertraut gemacht worden sind.
Es muss klargestellt werden, dass diese
Personen die vertragsrelevanten per-
sonenbezogenen Daten ausschließlich
entsprechend der Weisung des Auftrag-
gebers verarbeiten, soweit nicht eine
anderslautende Verarbeitung gesetzlich
verpflichtend notwendig ist. Diese Ver-
pflichtung kann zum Beispiel bei einem
Herausgabeverlangen von Ermittlungs-
behörden bestehen.
Praxis-Tipp: Empfehlenswert ist eine
klare Regelung der Weisungsbefugnisse
des Auftraggebers. Dazu ist festzuhalten,
in welcher Form mündliche oder schrift-
liche Weisungen erteilt werden und wie
diese zu bestätigen sind. Dies führt bei
Verstößen zu einer erheblich einfache-
ren Beweisführung in einem möglichen
Schadensersatzprozess.
Data Breach und Ermittlungsverfahren
Die neue DSGVO sieht gesetzliche Hin-
weispflichten im Falle eines Verstoßes
gegen den Datenschutz – dem soge-
nannten „Data Breach“ – vor. Angesichts
dessen sollten Unternehmen in einer
gesonderten Klausel klar regeln, wie
und welche Art von Mitteilungen bei
Verstößen des Auftragnehmers an den
Auftraggeber zu erfolgen haben bezie-
hungsweise wann diese zu melden sind.
Daraus können sich bei entsprechend
vertragswidrigem Verhalten Schadens-
ersatzansprüche gegen den Auftrag-
nehmer ableiten. Dies gilt gerade dann,
wenn sich aus der Pflichtverletzung ein
datenschutzrechtlicher Verstoß des Auf-
traggebers selbst ergibt, welcher wiede-
rum mit einem Bußgeld geahndet wird.
Vertraglich muss der Auftragnehmer
verpflichtet werden,
• den Auftraggeber unverzüglich über
Kontrollmaßnahmen der Aufsichtsbehör-
de zu informieren, soweit sie sich auf den
vereinbarten Auftrag beziehen. Diese
Die DSGVO zwingt Unternehmen dazu, auch bestehende Verträge zur Auftragsdaten-
verarbeitung anzupassen. Die Antworten auf die folgenden Fragen können helfen.
•
Was ist der Vertragsgegenstand?
•
Dauer der Beauftragung?
•
Welche Vergütungs- und Haftungsregelungen zum vereinbarten Leistungsspektrum des
Auftragnehmers werden getroffen?
•
Was ist der Auftragsinhalt, insbesondere im Hinblick auf die Art und den Zweck der
Verarbeitung personenbezogener Daten?
•
Welche Arten von personenbezogenen Daten werden verarbeitet?
•
Ist die Art und Weise der Datenverarbeitung konkret bestimmt und (gegebenenfalls in
Anlagen) beschrieben?
•
In welche Kategorien fallen die betroffenen Personen?
•
Wurde ein Datenschutzbeauftragter auf Seiten des Auftragnehmers ernannt?
•
Liegt ein Konzept zur regelmäßigen Kontrolle und Dokumentation der technischen und
organisatorischen Maßnahmen vor?
•
Ist die Vertraulichkeit seitens des Auftragsverarbeiters gewahrt?
•
Ist ein Kommunikationsprozess im Falle eines „Data Breach“ definiert?
•
Darf der Auftragnehmer Subunternehmen im Rahmen der vertraglichen Hauptleis-
tungspflichten nutzen und erfüllen diese die datenschutzrechtlichen Anforderungen
ausreichend?
•
Sind Informations- und Unterstützungsverpflichtungen sowie die Übernahme anfallen-
der Mehrkosten bei auftretenden Ermittlungsverfahren geregelt?
•
Wurden Vertragsklauseln im Hinblick auf die Berichtigung, Einschränkung und Lö-
schung von Daten (gegebenenfalls Löschungskonzept) implementiert?
Verträge mit Dienstleister angleichen
CHECKLISTE
