Auftragsverarbeitung: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „ Auftragsverarbeiter verarbeiten eigenverantwortlich Daten im Auftrag. Der Auftraggeber fordert ein Ergebnis, hat aber keinen Einfluss auf die Art der Verarbei…“)
 
 
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 +
<pre>Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG</pre>
 +
* Durch Vertrag, der Gegenstand, Dauer, Art, Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Rechte und Pflichten des Verantwortlichen geregelte weisungsgebundene, vertrauliche Verarbeitung von personenbezogenen Daten im Auftrag ohne weitere Auftragsverarbeitung und mit Regelung einer Löschungspflicht.
  
Auftragsverarbeiter verarbeiten eigenverantwortlich Daten im Auftrag. Der Auftraggeber fordert ein Ergebnis, hat aber keinen Einfluss auf die Art der Verarbeitung (z. B. die benutzten Programme). Sofern der Auftraggeber einen Einfluss geltend machen kann, handelt es sich bei Auftraggeber und Auftragnehmer um „Gemeinsam Verantwortliche“.
+
* Auftragsverarbeiter verarbeiten eigenverantwortlich Daten im Auftrag. Der Auftraggeber fordert ein Ergebnis, hat aber keinen Einfluss auf die Art der Verarbeitung (z. B. die benutzten Programme). Sofern der Auftraggeber einen Einfluss geltend machen kann, handelt es sich bei Auftraggeber und Auftragnehmer um „Gemeinsam Verantwortliche“.
  
Auch gemeinsam Verantwortliche müssen eine (schriftlichen) Vereinbarung treffen. Die EU-DSGVO schreibt vor, dass dort festgelegt wird, wer welche Pflichten der EU-DSGVO übernimmt. Dies gilt insbesondere gegenüber den Rechten der Betroffenen. Besonders die Informationspflicht gegenüber den Betroffenen auf Auskunft etc. muss klar geregelt sein. Den Betroffenen sind die wesentlichen Regelungen zur Verfügung zu stellen. Die Betroffenen können ihre Rechte aber dennoch gegenüber jedem einzelnen Verantwortlichen geltend machen.
+
* Auch gemeinsam Verantwortliche müssen eine (schriftlichen) Vereinbarung treffen. Die EU-DSGVO schreibt vor, dass dort festgelegt wird, wer welche Pflichten der EU-DSGVO übernimmt. Dies gilt insbesondere gegenüber den Rechten der Betroffenen. Besonders die Informationspflicht gegenüber den Betroffenen auf Auskunft etc. muss klar geregelt sein. Den Betroffenen sind die wesentlichen Regelungen zur Verfügung zu stellen. Die Betroffenen können ihre Rechte aber dennoch gegenüber jedem einzelnen Verantwortlichen geltend machen.
  
Auswahl des Auftragsverarbeiters: nach Eignung zur Verarbeitung gem. EU-DSGVO
+
* Auftragsverarbeiter müssen danach ausgewählt werden, ob sie hinreichend Garantien dafür bieten, dass sie im Einklang mit der EU-DSGVO verarbeiten. Hierzu sind geeignete [[technische und organisatorische Maßnahmen]] notwendig. Kommt es zu einem Verstoß, ist der Auftragsverarbeiter als Verantwortlicher haftbar. Der Verantwortliche muss eine Weisung zur Verarbeitung personenbezogener Daten erteilen.
  
Auftragsverarbeiter müssen danach ausgewählt werden, ob sie hinreichend Garantien dafür bieten, dass sie im Einklang mit der EU-DSGVO verarbeiten. Hierzu sind geeignete [[technische und organisatorische Maßnahmen]] notwendig. Kommt es zu einem Verstoß, ist der Auftragsverarbeiter als Verantwortlicher haftbar. Der Verantwortliche muss eine Weisung zur Verarbeitung personenbezogener Daten erteilen.
+
* Vorgeschriebener Vertragsinhalt (A28, EWG 81) ist mindestens:
 +
** Verarbeitung nur aufgrund dokumentierter Weisung
 +
** Verpflichtung zur Vertraulichkeit der Verarbeitung
 +
** Sicherheit der Verarbeitung
 +
** weitere Auftragsverarbeiter nur mit selben Pflichten und per Vertrag
 +
** Unterstützung des Verantwortlichen
 +
** Löschung aller Daten nach dem Ende der Auftragsverarbeitung
 +
** Recht auf Inspektionen
 +
** Überprüfung jeder Weisung des Auftraggebers durch den Auftragsverarbeiter
  
Vorgeschriebener Vertragsinhalt (A28, EWG 81) ist mindestens:
+
'''Beispiele'''
* Verarbeitung nur aufgrund dokumentierter Weisung
+
* Beispiel eines [https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/04/200409_AVV-Muster_DE.pdf Auftragsverarbeitungsvertrages].
* Vertraulichkeitsverpflichtung
 
* Sicherheit
 
* weitere Auftragsverarbeiter nur mit denselben Pflichten und per Vertrag
 
* Support des Verantwortlichen
 
* Löschung aller Daten nach dem Ende der Auftragsverarbeitung
 
* Inspektionen
 
* Weisungsprüfung
 
  
 
''' Weitere Informationen '''
 
''' Weitere Informationen '''
 
* Inkassounternehmen sind [https://www.datenschutz-praxis.de/fachartikel/was-gibt-es-neues-aus-sicht-der-datenschutz-aufsichtsbehoerden/?newsletter=ds/i/datenschutz-praxis-aktuell/9100/2020/18/02091536/News_4&va=02091536&chorid=02091536&vkgrp=354 keine Auftragsverarbeiter].
 
* Inkassounternehmen sind [https://www.datenschutz-praxis.de/fachartikel/was-gibt-es-neues-aus-sicht-der-datenschutz-aufsichtsbehoerden/?newsletter=ds/i/datenschutz-praxis-aktuell/9100/2020/18/02091536/News_4&va=02091536&chorid=02091536&vkgrp=354 keine Auftragsverarbeiter].
* Beispiel eines [https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/04/200409_AVV-Muster_DE.pdf Auftragsverarbeitungsvertrages].
 

Aktuelle Version vom 20. Mai 2022, 10:21 Uhr

Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG
  • Durch Vertrag, der Gegenstand, Dauer, Art, Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Rechte und Pflichten des Verantwortlichen geregelte weisungsgebundene, vertrauliche Verarbeitung von personenbezogenen Daten im Auftrag ohne weitere Auftragsverarbeitung und mit Regelung einer Löschungspflicht.
  • Auftragsverarbeiter verarbeiten eigenverantwortlich Daten im Auftrag. Der Auftraggeber fordert ein Ergebnis, hat aber keinen Einfluss auf die Art der Verarbeitung (z. B. die benutzten Programme). Sofern der Auftraggeber einen Einfluss geltend machen kann, handelt es sich bei Auftraggeber und Auftragnehmer um „Gemeinsam Verantwortliche“.
  • Auch gemeinsam Verantwortliche müssen eine (schriftlichen) Vereinbarung treffen. Die EU-DSGVO schreibt vor, dass dort festgelegt wird, wer welche Pflichten der EU-DSGVO übernimmt. Dies gilt insbesondere gegenüber den Rechten der Betroffenen. Besonders die Informationspflicht gegenüber den Betroffenen auf Auskunft etc. muss klar geregelt sein. Den Betroffenen sind die wesentlichen Regelungen zur Verfügung zu stellen. Die Betroffenen können ihre Rechte aber dennoch gegenüber jedem einzelnen Verantwortlichen geltend machen.
  • Auftragsverarbeiter müssen danach ausgewählt werden, ob sie hinreichend Garantien dafür bieten, dass sie im Einklang mit der EU-DSGVO verarbeiten. Hierzu sind geeignete technische und organisatorische Maßnahmen notwendig. Kommt es zu einem Verstoß, ist der Auftragsverarbeiter als Verantwortlicher haftbar. Der Verantwortliche muss eine Weisung zur Verarbeitung personenbezogener Daten erteilen.
  • Vorgeschriebener Vertragsinhalt (A28, EWG 81) ist mindestens:
    • Verarbeitung nur aufgrund dokumentierter Weisung
    • Verpflichtung zur Vertraulichkeit der Verarbeitung
    • Sicherheit der Verarbeitung
    • weitere Auftragsverarbeiter nur mit selben Pflichten und per Vertrag
    • Unterstützung des Verantwortlichen
    • Löschung aller Daten nach dem Ende der Auftragsverarbeitung
    • Recht auf Inspektionen
    • Überprüfung jeder Weisung des Auftraggebers durch den Auftragsverarbeiter

Beispiele

Weitere Informationen