einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvo

Auftragsdatenverarbeitung – Anforderungen an den Vertrag

/von

Sollen Dienstleistungen extern vergeben werden, so ist die Datenverarbeitung im Auftrag häufig ein probates Mittel. Geregelt wird diese in § 11 BDSG. Dort sind auch die Anforderungen, die ein solcher Vertrag erfüllen muss eindeutig definiert. Hierbei handelt es sich insgesamt um zwölf Punkte, die geregelt sein müssen.

  1. Gegenstand und Dauer des Auftrags
  2. Umfang, Art und Zweck der Verarbeitung
  3. Art der Daten
  4. Kreis der Betroffenen
  5. vom Auftragnehmer zu treffende technische und organisatorische Maßnahmen (TOM) zur Gewährleistung der Datensicherheit und des Datenschutzes auf Seiten des Auftragnehmers
  6. Regelungen zur Berichtigung, Löschung und Sperrung von Daten
  7. Pflichten des Auftragnehmers, wobei zwingend auch auf Kontrollpflichten eingegangen werden muss
  8. Regelungen zu Unterauftragnehmerverhältnissen
  9. Kontrollrechte des Auftraggebers und Duldungspflichten des Auftragnehmers
  10. Regelungen zu Mitteilungspflichten des Auftragnehmers bei von ihm oder seinen Unterauftragnehmern zu verantwortenden Datenschutzverstößen
  11. Umfang der Weisungsbefugnisse des Auftraggebers gegenüber dem Auftragnehmer
  12. Regelungen zur Rückgabe überlassener Datenträger und zur Löschung beim Auftragnehmer gespeicherter Daten

Es gibt gute Musterverträge

Die meisten dieser Punkte sind recht eindeutig und unter Zuhilfenahme eines guten Musters (z. B. vom BITKOM [Link entfernt, da nicht mehr abrufbar] oder der GDD) lässt sich hier auch ohne einen Datenschutzspezialisten hinzuzuziehen so manch guter und BDSG-konforme Vertrag zur Auftragsdatenverarbeitung erstellen.

Das Schriftformerfordernis

Allerdings gibt es auch einige Möglichkeiten, Fehler zu machen. Eingehen möchte ich an dieser Stelle auf eine Anforderung, die ich in jeder Vertragsverhandlung zum Thema Auftragsdatenverarbeitung zur Sprache bringe und der häufig mit Unverständnis begegnet wird. So wird in § 11 Abs. 2 Satz 2 BDSG quasi im Nebensatz die Schriftform verpflichtend festgelegt. Diese wiederum ist in § 126 BGB definiert und besagt, dass für die Einhaltung die Original-Unterschriften aller beteiligten Parteien vorhanden sein müssen. Damit ist klargestellt, dass dieser Vertrag papierhaft zu schließen ist. Eingescannte Unterschriften oder der Versand per E-Mail oder Fax zwischen den Parteien reicht nicht aus.

Die elektronische Form als Ersatz

Vor kurzem wurde uns gegenüber der Einwand gebracht, dass § 126 BGB die elektronische Form als vollwertigen Ersatz für die Schriftform zulässt. Das ist korrekt. Allerdings wird bei dieser Argumentation übersehen, dass die elektronische Form, welche in § 126a BGB definiert ist, zwingend den Einsatz qualifizierter elektronischer Signaturen gemäß Signaturgesetz erfordert und somit eine eingescannte Unterschrift auch diese Form nicht erfüllt.

Fragen Sie die Aufsichtsbehörde…

Zu diesem Thema liegt uns eine aktuelle Stellungnahme des ULD (der Aufsichtsbehörde Schleswig-Holstein) vor, die ich hier einmal auszugsweise zitiere:

Die Schriftform setzt nicht voraus, dass irgendwann ein Dokument unterschrieben wurde, sondern dass das tatsächlich händisch unterschriebene Dokument auch der anderen Vertragspartei zugeht (vgl. Einsele, in: Münchener Kommentar zum BGB, § 130, Rn. 20). Dies kann nicht durch Übersendung einer .pdf mit Scan der Unterschrift ersetzt werden.

Die Nichteinhaltung stellt nach § 43 Abs. 1 Nr. 2b BDSG eine OWi dar und würde auch entsprechend geahndet. Mindestens würde von unserer [Anm.: ULD] Seite bei aufsichtsbehördlicher Befassung angeordnet (und im Zweifel mit Zwangsgeld durchgesetzt) werden, dass der Auftrag der Schriftform entsprechend nachgebessert würde.

Es drohen also durchaus Bußgelder „nur“ dafür, dass ein Formfehler begangen wurde.

Auch wenn ein Vertrag zur Auftragsdatenverarbeitung kein Hexenwerk ist: Lassen Sie sich vom Fachmann beraten.

Das könnte Sie auch interessieren
sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21 betriebsratLet’s Encrypt: https-Verschlüsselung einfach gemacht
auftragsverarbeitung kosten meldung datenschutzbeauftragter prüfung bayldaMeldung von Datenschutzbeauftragten – Zwischenbilanz aus Bayern
facebook gemeinsame verantwortlichkeit 26 dsgvoFacebook Like Button: Erste gerichtliche Entscheidung
eprivacy-verordnung 2020 drittstaaten transfers standardvertragsklauseln scc AV Auftragsverarbeitung edsa bußgeld dga da ki-voDatentransfer in Drittstaaten – Entwurf neuer Standarddatenschutzklauseln
gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfersSerie zu den neuen Standardvertragsklauseln – Daten-übermittlung vom Verantwortlichen an Auftragsverarbeiter (C2P)
mail verschlüsselung einwilligungE-Mail Verschlüsselung – Ein Überblick
Test mit Echtdaten und der Datenschutztest echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepageexterne mitarbeiter arbeitnehmerüberlassung aü leiharbeitnehmer auftragsdatenverarbeitung funktionsübertragung schulung sensibilsierungEinordnung externer Mitarbeiter