Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat am 22.12.2017 ein Muster veröffentlicht, wie eine Auftragsdatenverarbeitung nach den neuen Vorgaben der EU-Datenschutz-Grundverordnung (DS-GVO) geregelt werden kann.

Bei Einschaltung von Auftragsdatenverarbeitern ist Vertrag erforderlich

Unternehmen, Vereine und Verbände sowie freiberuflich Tätige, allesamt „Verantwortliche“ im Datenschutzrecht genannt, setzen in zahlreichen Fällen andere ein, die ihnen bei der Erfüllung ihrer eigenen Aufgaben behilflich sind. Dies kann z. B. den Bereich der Werbung, Buchhaltung, Wartung von IT-Anlagen oder auch Zurverfügungstellung von Cloud-Diensten betreffen. Sofern dabei mit personenbezogenen Daten umgegangen wird, handelt es sich in aller Regel um eine sog. Auftragsdatenverarbeitung. Für diese ist sowohl nach dem derzeit geltenden Recht (§ 3 Abs. 8 Satz 3 und § 11 BDSG) als auch künftig nach dem ab dem 25. Mai 2018 einheitlich in Europa vorhandenen neuen Datenschutzrecht, der DS-GVO, der Abschluss eines entsprechenden Auftragsdatenverarbeitungsvertrages erforderlich.

Regelung der Auftragsdatenverarbeitung in der DS-GVO

Die zentrale Vorschrift für Auftragsverarbeiter in der DS-GVO ist Art. 28, wo in Absatz 1 zunächst die Prüfung der Geeignetheit eines Auftragsverarbeiters eingefordert wird. Der Verantwortliche darf danach nur Auftragsverarbeiter einsetzen, die hinreichend Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz haben. Als Beleg solcher Garantien können auch genehmigte Verhaltensregeln des Auftragsverarbeiters nach Art. 40 DS-GVO oder Zertifizierungen nach Art. 42 DS-GVO herangezogen werden.

Wie bisher muss mit dem Auftragsverarbeiter im Regelfall ein Vertrag über die weisungsge- bundene Tätigkeit geschlossen werden, der schriftlich oder -neu- in elektronischer Form abgefasst sein kann. Für den notwendigen Inhalt des Vertrags gilt weitestgehend das Gleiche wie bisher. Ein wichtiger Bestandteil wird jedoch vor allem die Darstellung der erforderlichen Maßnahmen zur Sicherheit der Verarbeitung nach Art. 32 DS-GVO.

Muster für Auftragsdatenverarbeitungsvertrag nach DS-GVO

Um den Verantwortlichen eine Orientierung dafür zu geben, wie nach der DS-GVO der erforderliche Vertrag zur Auftragsverarbeitung abgefasst werden sollte, hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Formulierungshilfe entworfen, die in den Grundzügen mit dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit entwickelt und abgestimmt wurde. Dieses Muster gibt Anhaltspunkte dafür, welche Inhalte in derartigen Verträgen bei vielen Fallkonstellationen geregelt werden sollten. Bei abweichenden Sachverhalten ist selbstverständlich eine entsprechende Anpassung vorzunehmen. Die Formulierungshilfe finden Sie auf der Homepage des BayLDA unter: www.lda.bayern.de/media/muster_adv.pdf