Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016, bekannt als DSGVO, definiert die wirtschaftlichen Beziehungen zwischen Unternehmen im Kontext der Datenübermittlung neu. Viele Unternehmen, die externe Dienstleister nutzen, müssen personenbezogene Daten von Kunden, Mitarbeitern und Auftragnehmern übermitteln. Um dies rechtmäßig zu tun, ist der Abschluss einer entsprechenden Vereinbarung und die Einhaltung spezifischer Vorschriften erforderlich.

Was versteht man unter der Übertragung der Verarbeitung personenbezogener Daten?

Die Auslagerung der Verarbeitung personenbezogener Daten liegt vor, wenn ein Verantwortlicher Daten an ein anderes Unternehmen (einen Auftragsverarbeiter) zur Verarbeitung in seinem Auftrag überträgt. Dies ist typisch für Dienstleistungen wie Buchhaltung, Marketing, IT oder Datenbankverwaltung. Es ist entscheidend, dass der Auftragsverarbeiter gemäß den Vorgaben des Verantwortlichen arbeitet.

DSGVO und die Datenverarbeitungsvereinbarung

Die DSGVO führt eine Reihe von Anforderungen hinsichtlich der Verarbeitung personenbezogener Daten ein. Grundsätzlich muss der Vertrag schriftlich oder elektronisch abgeschlossen werden. Er sollte Folgendes detailliert festlegen:

  1. Gegenstand der Verarbeitung: Welche Daten werden verarbeitet?
  2. Verarbeitungsdauer: Der Zeitraum, für den die Daten verarbeitet werden.
  3. Art und Zweck der Verarbeitung: Warum und wie die Daten verarbeitet werden.
  4. Art der personenbezogenen Daten: Die spezifische Art der Daten, die verarbeitet werden.
  5. Kategorien der betroffenen Personen: Die Gruppe der Personen, deren Daten verarbeitet werden.
  6. Pflichten und Rechte des Verantwortlichen: Detaillierter Umfang der Pflichten und Rechte des Datenverantwortlichen.

Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter hat Pflichten, die im Vertrag klar definiert sein müssen. Dazu gehören:

  • Die Datenverarbeitung erfolgt gemäß den Anweisungen des Administrators.
  • Schutz personenbezogener Daten: Umsetzung geeigneter technischer und organisatorischer Maßnahmen.
  • Vertraulichkeit: Personen, die Zugriff auf Daten haben, müssen zur Vertraulichkeit verpflichtet sein.
  • Unterstützung für den Verantwortlichen: Hilfe bei der Erfüllung der Pflichten des Verantwortlichen gegenüber den betroffenen Personen.
  • Löschung oder Rückgabe von Daten nach Beendigung der Verarbeitung: Nach Beendigung der Zusammenarbeit muss der Auftragsverarbeiter die Daten zurückgeben oder löschen.
  • Dokumentation der Tätigkeiten: Der Auftragsverarbeiter muss eine Dokumentation der Datenverarbeitungstätigkeiten führen und diese dem Verantwortlichen auf Anfrage zur Verfügung stellen.

Auswahl des geeigneten Prozessors

Die Wahl eines Auftragsverarbeiters darf nicht dem Zufall überlassen werden. Der Verantwortliche muss sicherstellen, dass das ausgewählte Unternehmen ein angemessenes Datenschutzniveau gewährleistet und die Bestimmungen der DSGVO einhält. Vor Vertragsabschluss empfiehlt es sich, ein Audit durchzuführen oder Kontrollformulare zu verwenden, um die vom potenziellen Auftragsverarbeiter angewandten Verfahren zu überprüfen.

Unterschiede zwischen der Überlassung und der Offenlegung personenbezogener Daten

Es ist wichtig, zwischen der Auftragsverarbeitung und der Datenweitergabe zu unterscheiden. Auftragsverarbeitung liegt vor, wenn ein Auftragsverarbeiter Daten gemäß den Anweisungen des Verantwortlichen verarbeitet. Datenweitergabe hingegen liegt vor, wenn die Daten an eine andere Stelle übermittelt werden, die selbstständig über Zweck und Art der Verarbeitung entscheidet.

Folgen des Fehlens einer Treuhandvereinbarung

Das Fehlen einer Auftragsverarbeitungsvereinbarung, wenn die Daten tatsächlich von einem Dritten verarbeitet werden, stellt einen Verstoß gegen die DSGVO dar. Dies kann zu Bußgeldern durch den Präsidenten des Amtes für den Schutz personenbezogener Daten und zu zivilrechtlicher Haftung für die betroffenen Personen führen. Daher ist es unerlässlich, stets entsprechende Auftragsverarbeitungsvereinbarungen abzuschließen.

Zusammenfassung

Die Übertragung der Verarbeitung personenbezogener Daten gemäß der DSGVO erfordert Sorgfalt und Genauigkeit. Der Abschluss eines detaillierten, DSGVO-konformen Vertrags und die Auswahl zuverlässiger Geschäftspartner sind entscheidende Schritte zur Gewährleistung der Konformität. Die Einhaltung dieser Grundsätze minimiert Risiken und schützt die Rechte der betroffenen Personen.

Diese Mitteilung dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.

Rechtsstatus ab dem 24. Juli 2024

Autor:


|

Reihenherausgeber:
Natalia Serwińska-Deles

Natalia Serwińska-Deles

Rechtsberatung
+48 22 856 36 60 | n.serwinska@kglegal.pl

    Haben Sie Fragen? Kontaktieren Sie uns – wir antworten Ihnen so schnell wie möglich.

    Beitragsaufrufe: 31