Was ist eine Auftragsverarbeitung?
Eine Auftragsverarbeitung liegt z.B. vor, wenn ein Webseitenbetreiber (= Verantwortlicher im Sinne der DSGVO) einen Webanalysedienst wie Google Analytics (= Auftragsverarbeiter im Sinne der DSGVO) in seine Webseite einbaut. Aber auch die Auslagerung von Dienstleistungen wie z.B. Lohnabrechnung oder Finanzbuchhaltung fallen in dieses Regelungsgebiet.
Sorgfältige Auswahl des Auftragsverarbeiters
Wenn der Verantwortliche einen Auftragsverarbeiter einschaltet, um Daten zu verarbeiten, muss er eine sorgfältige Auswahl treffen. Die Dienstleister/Auftragsverarbeiter müssen Garantien bieten, dass geeignete technische und organisatorische Maßnahmen DSGVO konform durchgeführt werden und der Schutz der Rechte der betroffenen Person gewährleistet ist. Die Garantien müssen „hinreichend“ sein, d.h.
• genehmigte Verhaltensregeln gemäß Art. 40 DSGVO
• genehmigte Zertifizierungsverfahren gemäß Art. 42 DSGVO
müssen eingehalten werden.
Grundlagen für die Zusammenarbeit
In Art. 28 DSGVO sind auch die Grundlagen der Zusammenarbeit geregelt, nämlich
• ein Vertrag
• ein anderes Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten
Der Auftragsverarbeiter darf einen weiteren Auftragsverarbeiter (= Subunternehmer) nur in Anspruch nehmen im Falle einer vorherigen gesonderten Genehmigung oder einer allgemeinen schriftlichen Genehmigung. Im Vertrag oder der Rechtsgrundlage muss weiterhin geregelt sein, dass der Subunternehmer den gleichen Pflichten unterliegt wie der Haupt-Auftragsverarbeiter.
Die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer müssen auch gegenüber Subunternehmen gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Der Auftraggeber muss berechtigt sein, vor Ort angemessene Überprüfungen und Inspektionen durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen. Der Vertrag muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann.
Was droht bei Verstößen gegen die DSGVO?
Art. 82 DSGVO bestimmt, dass jeder an einer Verarbeitung personenbezogener Daten beteiligte Verantwortliche für den Schaden haftet, der durch einen Verstoß gegen die DSGVO verursacht wurde. Datenschutzverstöße können von den zuständigen Aufsichtsbehörden mit Geldbußen von bis zu 20.000.000 Euro oder von bis zu 4% des gesamten weltweiten Jahresumsatzes verfolgt werden. Daneben droht bei fehlerhaften und jedermann online einsehbaren Datenschutzerklärungen auch die Gefahr, von einem Verbraucherschutz- oder Wettbewerbsverband abgemahnt zu werden.
Wo erhalte ich meine Datenschutzdokumente?
Einen Auftragsdatenverarbeitungsvertrag erstellen Sie online in wenigen Minuten mit Hilfe eines Fragenkatalogs. Eine Datenschutzerklärung für Ihre Firmenwebseite erstellen Sie auf die gleich Art und Weise. Via Schnittstelle zu den gängisten Content Management Systemem (CMS), wie z.B. WordPress, Joomla oder TYPO3, bauen Sie die Datenschutzerklärung in Ihre Webseite ein und janolaw aktualisiert es automatisch bei Rechtsänderungen.
janolaw AG
Otto-Volger-Straße 3c
65843 Sulzbach / Ts
Telefon: +49 (069) 24 74 34 -550
Telefax: +49 (069) 24 74 34 -559
http://www.janolaw.de
Rechtsabteilung
E-Mail: vbaldus@janolaw.de