FAQ zur Auftragsverarbeitung nach Art. 28 DS-GVO
Formulierungshilfe zur Auftragsverarbeitung nach Art. 28 DS-GVO
1. Was versteht man unter einer Auftragsverarbeitung?
7. Im Folgenden finden Sie Antworten zu verschiedenen Einzelfällen.
10. Sind „Alt-Verträge“ zur Auftragsverarbeitung anzupassen?
1. Was versteht man unter einer Auftragsverarbeitung?
Bei der Auftragsverarbeitung handelt es sich um eine spezifische Form der Aufgabenübertragung bei der Verarbeitung personenbezogener Daten.
Der Verantwortliche (im Sinne der Definition des Artikels 4 Nummer 7 DS-GVO)1 lagert dabei in der Regel Teilprozesse, die er sonst selbst vornehmen müsste und bei denen personenbezogene Daten verarbeitet werden, an einen externen Dienstleister (= Auftragsverarbeiter im Sinne der Definition des Art. 4 Nr. 8 DS-GVO) aus („Outsourcing“).
Beispiel: Ein Unternehmen übernimmt im Auftrag des Verantwortlichen die datenschutzkonforme Vernichtung von Dokumenten oder Datenträgern.
1 Verantwortlicher ist die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet [weitere Ausführungen können der Antwort zu Frage 5 sowie dem „Working Paper“ (WP) 169 der Artikel-29-Gruppe entnommen werden].
2. Wann ist die beauftragte Verarbeitung personenbezogener Daten eine Auftragsverarbeitung nach Art. 28 Abs. 1 DS-GVO?
Eine Auftragsverarbeitung nach Art. 28 Abs. 1 DS-GVO liegt vor, wenn die beiden folgenden Fragen mit „Ja“ beantwortet werden können:
a) Werden bei dem Verarbeitungsprozess personenbezogene Daten verarbeitet?
Personenbezogene Daten sind zum Beispiel Informationen über
Hierzu zählen insbesondere:
Dabei ist die technische Form dieser Angaben nicht von Bedeutung. Auch Fotos, Videoaufnahmen, Röntgenbilder oder Tonbandaufnahmen können personenbezogene Daten enthalten.
b) Ist die mit der Verarbeitung personenbezogener Daten beauftragte Stelle nicht verantwortlich?
Wenn die datenverarbeitende Stelle nicht als Verantwortlicher nach Art. 4 Nr. 7 DS-GVO über die Zwecke und Mittel der Datenverarbeitung entscheidet, liegt grundsätzlich eine Verarbeitung im Auftrag nach Art. 28 Abs. 1 DS-GVO vor. Dieses gilt selbst dann, wenn die datenverarbeitende Stelle in engen Grenzen über die Mittel der Datenverarbeitung (mit-)entscheidet (siehe Antwort zu Frage 5).
Eine Auftragsverarbeitung ist folglich regelmäßig bei den folgenden Dienstleistungen anzunehmen:
3. Ist für die vom Auftragsverarbeiter vorgenommene Verarbeitung personenbezogener Daten eine Rechtsgrundlage erforderlich?
Ja. Allerdings benötigt der Auftragsverarbeiter keine „eigene“ Rechtsgrundlage. Stattdessen stützt er sich für die Verarbeitung personenbezogener Daten „im Auftrag“ auf die dem Verantwortlichen zu-stehende Rechtsgrundlage nach Art. 6 Abs. 1 beziehungsweise Art. 9 Abs. 2 DS-GVO. Der Auftragsverarbeiter wird nicht als Dritter (Art. 4 Nr. 10 DS-GVO) angesehen, sondern „als verlängerter Arm“ des Verantwortlichen (Privilegierung).
Voraussetzung für die Privilegierung ist, dass
Trotz der Auslagerung von Aufgaben an den Dienstleister bleibt der Verantwortliche für die Datenverarbeitung nach außen, also Betroffenen und Dritten gegenüber, in vollem Umfang verantwortlich.
In Bezug auf die Privilegierung kann sich allenfalls etwas anderes ergeben, wenn
In diesen Fällen benötigen beide Seiten – Auftraggeber und Auftragnehmer – für die Verarbeitung eine „eigene“ Rechtsgrundlage nach Art. 6 Abs. 1 beziehungsweise Art. 9 Abs. 2 DS-GVO.
4. Kann es besondere Konstellationen geben, in denen ausnahmsweise keine Auftragsverarbeitung vorliegt, weil die Datenverarbeitung nur ein „ungewolltes Beiwerk“ einer (Haupt-)Dienstleistung darstellt?
Ja. Nach Sinn und Zweck des Art. 4 Nr. 8 in Verbindung mit Art. 28 Abs. 1 DS-GVO kann in Einzelfällen eine Auftragsverarbeitung verneint werden, wenn die Datenverarbeitung lediglich im Zusammen-hang mit der Erbringung einer (Haupt-)Dienstleistung für einen anderen erfolgt. Gemäß Erwägungsgrund 81 zur DS-GVO muss der Verantwortliche den Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten „betrauen wollen“. Dieses kann im Einzelfall verneint werden, wenn die Datenverarbeitung nicht speziell beabsichtigt ist beziehungsweise nicht den Schwerpunkt oder einen wichtigen (Kern-)Bestandteil der Leistung des Auftragnehmers darstellt.
So liegt beispielsweise keine Auftragsverarbeitung vor, wenn ein Copyshop den Auftrag erhält, einige T-Shirts mit Namen zu bedrucken. Hier bildet nicht die Verarbeitung der personenbezogenen Daten, sondern das farbliche Bedrucken der T-Shirts wie bei einem Druck mit Symbolen, Wappen, Sinnsprüchen oder Ähnlichem den Schwerpunkt der Tätigkeit. In diesen Fällen liegt keine Auftragsverarbeitung im Sinne der DS-GVO vor. Die Datenverarbeitungen sind als „unvermeidliches Beiwerk“ bei der Erfüllung der eigentlichen Dienstleistungspflicht zu betrachten. Allerdings entfällt damit die unter Frage 3 dargestellte Privilegierung für die Datenverarbeitung des Auftragnehmers. Deshalb benötigt der Auftragnehmer in diesen Fällen für seine Datenverarbeitung eine „eigene“ Rechtsgrundlage nach Art. 6 Abs. 1 beziehungsweise Art. 9 Abs. 2 DS-GVO. Im Falle des Copyshops kann sich dieser auf Art. 6 Abs. 1 Buchstabe f DS-GVO berufen, sofern nicht im Einzelfall die Interessen der Betroffenen überwiegen.
Beispiele:
5. Für den Fall, dass die beabsichtigte Datenverarbeitung eine Auftragsverarbeitung nach Art. 28 DS-GVO ist: In welcher Rolle befinde ich mich?
5.1 Ich bin Verantwortlicher (Auftraggeber), wenn ich die personenbezogenen Daten eigenverantwortlich verarbeite und dabei über die Zwecke („ob“, „wofür“, „warum“) und Mittel („wie“) entscheide. Dabei kann sich meine Rolle als Verantwortlicher auf Grund einer gesetzlichen oder vertraglichen Regelung sowie auch aus meiner faktischen Möglichkeit zur Einflussnahme auf die Entscheidungen ergeben. Eine Verantwortlichkeit scheidet hingegen aus, wenn ich in Bezug auf die konkrete Datenverarbeitung entweder nur den Zweck oder nur die (wesentlichen) Mittel festlege.
Die Bestimmung des Verantwortlichen und des von ihm festgelegten Zwecks ist für die Frage der Rechtmäßigkeit der Datenverarbeitung von zentraler Bedeutung. Art. 5 Abs. 1 Buchstabe b DS-GVO verlangt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Auch ist eine Weiterverarbeitung dann unzulässig, wenn sie mit den ursprünglich festgelegten Zwecken nicht vereinbar ist.
Beispiele:
5.2 Ich bin zusammen mit einer oder mehreren anderen Stelle/-n gemeinsam Verantwortlicher und kann Auftraggeber sein, wenn ich mit dieser/diesen gemeinsam nach Art. 26 DS-GVO über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheide. Ich verfüge dabei genauso wie die weiteren Verantwortlichen über die wesentliche Entscheidungsbefugnis hinsichtlich der konkreten Datenverarbeitung. Daneben besteht eine gewollte und bewusste Zusammenarbeit zwischen den weiteren Verantwortlichen und mir bezüglich der konkreten Datenverarbeitung. Dabei genügt es, wenn die wei-teren Verantwortlichen und ich einen maßgeblichen und entscheidungserheblichen Beitrag zur Datenverarbeitung leisten. Außerdem muss die Verantwortlichkeit bei den anderen Beteiligten und mir nicht gleichwertig sein – eine Einbeziehung in verschiedenen Phasen der Verarbeitung und in unterschiedlichem Ausmaß ist möglich, sofern die Beiträge entscheidungserheblich bleiben. Es ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit jeder Zugang zu den betreffenden personenbezogenen Daten hat.
5.3 Ich bin Auftragsverarbeiter (Auftragnehmer, Dienstleister, Leistungserbringer), wenn ich eine Aufgabe (konkrete Dienstleistung zur Verarbeitung von personenbezogenen Daten) übertragen bekomme, bei der ausschließlich mein Auftraggeber über die Zwecke der Datenverarbeitung entscheidet. Über die Mittel der Datenverarbeitung entscheidet ebenfalls mein Auftraggeber, sofern mir nicht im Einzelfall ein Handlungsspielraum eingeräumt ist, über die Mittel der Datenverarbeitung („wie“) beziehungsweise über technische und organisatorische Fragen (mit) zu entscheiden. Dieses kann zum Beispiel die Entscheidung über die eingesetzte Soft- und Hardware zur Durchführung meines Auftrags sein. Inhaltliche Fragen, die den Kern der Rechtmäßigkeit der Verarbeitung der Daten betreffen sind allerdings meinem Auftraggeber vorbehalten (zum Beispiel: Welche Daten werden wie lange verarbeitet? Wer hat Zugang zu den Daten?).
Beispiele:
6. Muss eine Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden?
Ja. Für die Auftragsverarbeitung ist ein konkreter Rahmen festzulegen. Dafür müssen der Verantwortliche und der Auftragsverarbeiter in der Regel einen Vertrag zur Auftragsverarbeitung schließen. Alternativ kann sich der Auftragsverarbeiter zum Beispiel auch einseitig gegenüber dem Verantwortlichen verpflichten.
Art. 28 DS-GVO enthält für die Ausgestaltung des Verhältnisses zwischen Verantwortlichem und Auftragsverarbeiter einzelne Vorgaben. Der Verantwortliche muss insbesondere einen Auftragsverarbeiter auswählen, der hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 Abs. 1 DS-GVO).
Darüber hinaus ist in dem Vertrag beziehungsweise der sonstigen Verpflichtung unter anderem nach Art. 28 Abs. 3 Satz 1 DS-GVO Folgendes festzulegen:
Zudem müssen nach Art. 28 Abs. 3 Satz 2 in Verbindung mit Art. 32 DS-GVO Regelungen über die geeigneten technischen und organisatorischen Maßnahmen getroffen werden, mit denen ein angemessenes Schutzniveau erreicht werden kann. Diesbezüglich reicht ein einfacher Hinweis auf die allgemeinen Rechtsgrundlagen nicht aus. Stattdessen sind zumindest die vom Auftragsverarbeiter anzuwendenden technischen und organisatorischen Maßnahmen, die Genehmigungspflicht des Verantwortlichen für Änderungen sowie die Pflicht des Auftragsverarbeiters zur regelmäßigen Überprüfung der Maßnahmen im Hinblick auf deren weiterhin bestehende Angemessenheit aufzunehmen. Die Angaben müssen so detailliert sein, dass es dem Verantwortlichen möglich ist, die Angemessenheit der Maßnahmen im Hinblick auf das zu erreichende Schutzniveau bewerten zu können. Inwieweit der Verantwortliche diesbezüglich konkrete Vorgaben machen muss, hängt vom Einzelfall ab. So kann es ausreichen, dass der Verantwortliche lediglich das zu erreichende Schutzniveau vorgibt. Für diesen Fall muss er jedoch die vom Auftragsverarbeiter beabsichtigten technisch-organisatorischen Maßnahmen genehmigen.
Nähere Hinweise zur Auftragsverarbeitung, zur Form des Auftragsverarbeitungsvertrages (Art. 28 Abs. 9 DS-GVO) sowie eine Formulierungshilfe für einen Auftragsverarbeitungsvertrag finden sich zudem unter:
7. Im Folgenden finden Sie Antworten zu verschiedenen Einzelfällen:
a) Bedarf es für IT-Wartungsdienstleistungen eines Vertrags zur Auftragsverarbeitung?
Ja. Es liegt eine Auftragsverarbeitung vor. Nach der einheitlich abgestimmten Auffassung der Datenschutz-Aufsichtsbehörden des Bundes und der Länder ist dies der Fall, sofern nicht rein technische Wartungen der Infrastruktur vorgenommen werden. Denn im Rahmen der beauftragten Tätigkeit besteht für den Dienstleister zumindest die Möglichkeit des Zugriffs auf personenbezogene Da-ten der Beschäftigten des Auftraggebers oder auf Kundendaten, zum Beispiel bei Fehleranalysen, bei Remote-Zugriffen oder bei Support-Arbeiten. Auch liegt nicht die in der Antwort zu Frage 4 dargestellte Konstellation vor. Aufgrund der im Rahmen der Fernwartung bestehenden technischen Möglichkeit zur systematischen und umfassenden Verarbeitung personenbezogener Daten ist im Hinblick auf die Leistung des Auftragnehmers stets ein entsprechender Schwerpunkt in der Datenverarbeitung zu sehen.
Das auf meiner Webseite verfügbare Kurzpapier Nummer 13 der Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder (DSK) gibt die einheitliche Position der deutschen Aufsichtsbehörden zur Auftragsverarbeitung nach Art. 28 DS-GVO wieder und stellt unter dem Punkt „Wartung und Fernzugriffe“ die zu beachtenden Punkte zusammen. Dieses Papier findet sich unter:
https://t1p.de/kurzpapiere-dsk
b) Muss mit Reinigungsunternehmen, die mit der Reinigung von Büroräumen beauftragt sind, ein Vertrag zur Auftragsverarbeitung geschlossen werden?
Nein. Es liegt keine Auftragsverarbeitung vor. Zur beauftragten Dienstleistung gehört nicht die Verarbeitung personenbezogener Daten. Vielmehr beschränkt sich die Aufgabe auf die Reinigungstätigkeit der vereinbarten Räumlichkeiten. Es wird empfohlen, dem Dienstleister aufzugeben, seine Beschäftigten für den Fall, dass diese bei der Reinigung von Büroräumen zufällig von personenbezogenen Daten Kenntnis erlangen, zur Verschwiegenheit zu verpflichten. Weitere Hintergründe zur Verpflichtung von Beschäftigten sind im Kurzpapier Nummer 19 der DSK enthalten. Dieses Kurzpapier ist abrufbar unter:
https://t1p.de/kurzpapiere-dsk
c) Müssen innerhalb eines Konzerns Verträge zur Auftragsverarbeitung abgeschlossen werden, wenn ein Konzernunternehmen die Datenverarbeitung für andere Konzernunternehmen durchführt?
Es kommt darauf an:
Wenn die Datenverarbeitung bei konzerninternem Outsourcing zum Beispiel durch sogenannte „Shared-Services-Gesellschaften“ (Tochter-, Schwester- oder Mutterunternehmen) erfolgt, ist die konkrete Ausgestaltung des Rechtsverhältnisses zwischen den Konzernunternehmen entscheidend.
Darüber hinaus gilt für das datenverarbeitenden Konzernunternehmen Folgendes:
Im Verhältnis zwischen dem datenverarbeitenden Konzernunternehmen und einer unternehmenseigenen Abteilung, bei der die Datenverarbeitung erfolgt, handelt regelmäßig nur das Konzernunternehmen als Verantwortlicher. In diesem Fall kann grundsätzlich keine Auftragsverarbeitung durch die Abteilung vorliegen. Der Auftragsverarbeiter muss immer eine andere (externe) Stelle als der Verantwortliche sein. Ein Vertrag zur Auftragsverarbeitung kommt daher nicht in Betracht.
d) Müssen Speditionsunternehmen, die sich für die Erfüllung ihrer vertraglichen Verpflichtun-gen (Auslieferung) eines Subunternehmers bedienen, mit diesem einen Vertrag zur Auf-tragsverarbeitung schließen?
Nein. Auch hier liegt keine Auftragsverarbeitung vor. Bei der beauftragten Warenzusendung handelt es sich um eine Beauftragung mit fachlichen Dienstleistungen anderer Art, das heißt: Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht, beziehungsweise bei denen die Datenverarbeitung keinen wichtigen (Kern-)Bestandteil ausmacht. Als Rechtsgrundlage kommt für die Datenverarbeitung durch die Subunternehmer Art. 6 Abs. 1 Buchstabe b DS-GVO (Erfüllung des Vertrags zwischen Auftraggeber und Speditionsunternehmen) in Frage.
e) Bedarf es eines Vertrages zur Auftragsverarbeitung, wenn eine Druckerei einen Auftrag von vorgefertigten Schriftstücken mit integrierten personenbezogenen Daten zum Druck erhält?
Nein. Die Dienstleistung der Druckerei ist keine Auftragsverarbeitung.
Die Beauftragung mit den beschriebenen fachlichen Dienstleistungen, also mit Dienstleistungen, bei denen die Datenverarbeitung nicht im Vordergrund steht, beziehungsweise bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. Als Rechtsgrundlage für die Datenverarbeitung durch die Druckerei kommt Art. 6 Abs. 1 Buchstabe f DS-GVO in Frage.
Beispiel: Ausdruck von bereits vorgefertigten Einladungsschreiben im PDF-Format inklusive Adressangaben.
Anders wäre der Fall zu beurteilen, wenn der Druckerei eine separate Datei mit Adressen zur Verfügung gestellt würde und die Einbindung dieser Adressen in das Druckwerk Bestandteil der Leistung der Druckerei wäre. Erst durch die Zusammenführung der personenbezogenen Daten (Adressdatensatz) mit dem Drucktext entsteht das zu versendende Endprodukt. In diesem Fall läge eine Auftragsverarbeitung vor.
f) Ist mit Steuerberatern ein Vertrag zur Auftragsverarbeitung zu schließen?
Nein. Steuerberater sind keine Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DS-GVO. Dies ergibt sich aus den besonderen berufsrechtlichen Vorgaben für Steuerberater. Danach haben Steuerberater ihre beruflichen Tätigkeiten weisungsfrei, eigenverantwortlich und unabhängig auszuüben [§ 11 Abs. 2 Satz 1 und Satz 2, § 32 Abs. 2 Satz 1 sowie § 57 des Steuerberatungsgesetzes (StBerG)]. Dies gilt auch, soweit sie zusätzlich Aufgaben im Rahmen der Lohn- und Gehaltsbuchhaltung wahrnehmen. Eine weisungsgebundene Tätigkeit im Sinne einer Auftragsverarbeitung nach Art. 28 DS-GVO stünde den berufsrechtlichen Regelungen entgegen. Als Rechtsgrundlage für die Datenverarbeitung durch den Steuerberater kommt Art. 6 Abs. 1 Buchstabe b DS-GVO in Verbindung mit § 11 Abs. 1 Satz 1 StBerG (gegebenenfalls für besondere Kategorien personenbezogener Daten in Verbindung mit Art. 9 Abs. 2 Buchstabe g DS-GVO in Verbindung mit § 11 Abs. 2 Satz 3 StBerG) in Betracht.
g) Muss eine Kommune mit einer anderen öffentlichen Stelle, die sie mit der Gewährung von Beihilfen für ihre Beschäftigten beauftragt hat, einen Vertrag zur Auftragsverarbeitung schließen?
Es kommt darauf an:
Nein. Es liegt keine Auftragsverarbeitung vor, wenn diese Aufgabe von der Kommune auf eine der Aufsicht des Landes unterstehende juristische Person des öffentlichen Rechts als eigene Aufgabe übertragen worden ist (sogenannte „Zuständigkeitsübertragung“, siehe § 107 Abs. 6 Satz 2 des Niedersächsischen Kommunalverfassungsgesetzes – NKomVG).
Ja. Eine Auftragsverarbeitung ist gegeben, wenn es sich hierbei nur um eine Beauftragung zur Erbringung von Verarbeitungsleistungen und nicht um eine Übertragung als eigene Aufgabe handelt. Die Kommunen sind dabei an die in § 107 Abs. 6 NKomVG gesetzten Grenzen gebunden.
h) Besteht ein Auftragsverarbeitungsverhältnis zwischen einer Wohnungseigentümergemeinschaft und einer Hausverwaltung?
Nein, zwischen der Wohnungseigentümergemeinschaft und der Hausverwaltung liegt in der Regel kein Auftragsverarbeitungsverhältnis vor. Vielmehr ist die Hausverwaltung selbst Verantwortlicher, da sie im Rahmen ihrer Dienstleistung die personenbezogenen Daten in eigener Verantwortung verarbeitet. Dies ergibt sich aus § 27 des Gesetzes über das Wohnungseigentum und das Dauerwohnrecht (WEG), in dem die Aufgaben und Befugnisse des Verwalters geregelt sind.
8. Müssen Behörden oder sonstige öffentliche Stellen in Niedersachsen neben Art. 28 DS-GVO Sonderregelungen zur Auftragsverarbeitung beachten?
Ja. Aufgrund der Öffnungsklauseln (siehe Regelungen in Art. 6 Abs. 2 und Abs. 3 Satz 1 Buchstabe b DS-GVO beispielsweise in Verbindung mit Art. 88 DS-GVO für Beschäftigungsverhältnisse) in Verbindung mit der jeweiligen spezialgesetzlichen Regelung sind besondere Rechtsvorschriften zu Auftragsverarbeitungen zu beachten.
Beispiele:
Hinweis: § 45 Niedersächsisches Datenschutzgesetz ist zwar auch eine Regelung zur Auftragsverarbeitung. Diese Regelung gilt gemäß § 23 Niedersächsisches Datenschutzgesetz aber nur für
9. Kann ein Auftragsverarbeiter seinen Sitz auch außerhalb der Europäischen Union/des Europäischen Wirtschaftraums haben?
Ja. Anders als noch im Bundesdatenschutzgesetz (BDSG) alter Fassung besteht die Privilegierung der Auftragsverarbeitung nun ausdrücklich nicht mehr nur innerhalb der Europäischen Union/des Europäischen Wirtschaftsraums. Vielmehr gelten Auftragsverarbeiter auch dann nicht als Dritte im Sinne von Art. 4 Nr. 10 DS-GVO, wenn sie in einem Drittland personenbezogene Daten im Auftrag verarbeiten. Für die Übermittlung personenbezogener Daten an einen Auftragsverarbeiter in Drittländer müssen jedoch die Besonderheiten des Kapitels V der DS-GVO berücksichtigt werden (zum Beispiel Angemessenheitsbeschluss der EU-Kommission fürs Drittland oder zusätzlich zum Auftragsverarbeitungsvertrag Abschluss von Standarddatenschutzklauseln „Controller/Processor“).
10. Sind „Alt-Verträge“ zur Auftragsverarbeitung anzupassen?
Ja. Bestehende „Alt-Verträge“ sind zu prüfen und gegebenenfalls an die Vorgaben der DS-GVO anzupassen.
Insbesondere für den Fall, dass die bestehende Geschäftsbeziehung neu gestaltet werden soll oder wenn hinsichtlich der Datenverarbeitung grundlegende Änderungen angedacht sind, wie zum Beispiel ein grenzüberschreitender Datenverkehr, bedarf es einer Vertragsanpassung. Daneben ist zu überprüfen, ob die getroffenen technisch-organisatorischen Maßnahmen noch den derzeitigen Anforderungen der DS-GVO entsprechen.
11. Was soll ich machen, wenn ich als Verantwortlicher unsicher bin und noch keinen Auftragsverarbeitungsvertrag abgeschlossen habe?
Sofern Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benannt haben, wenden Sie sich zunächst an diese oder diesen. Die oder der Datenschutzbeauftragte Ihres Hauses ist verpflichtet, Ihnen beratend zur Seite zu stehen.
Sofern eine Auftragsverarbeitung vorliegt, ist ein Auftragsverarbeitungsvertrag unverzüglich abzuschließen.
Liegt keine Auftragsverarbeitung und keine Rechtsgrundlage nach Art. 6 Abs. 1 beziehungsweise Art. 9 Abs. 2 DS-GVO vor, ist eine Datenverarbeitung in der Regel unzulässig. Bei Verstößen gegen den Grundsatz der Rechtmäßigkeit (Art. 5 Abs. 1 Buchstabe a DS-GVO) kann nach Art. 83 Abs. 5 DS-GVO ein Bußgeld verhängt werden.
FAQ zur Auftragsverarbeitung nach Art. 28 DS-GVO
Formulierungshilfe zur Auftragsverarbeitung nach Art. 28 DS-GVO
Artikel-Informationen
erstellt am:
24.06.2020
zuletzt aktualisiert am:
01.09.2020