3 DSGVO (als Musterformulierung erhältlich für Betroffene) zeigt, dass ein Verantwortlicher ein Inspektionsrecht gegenüber dem Verarbeiter als Subbeauftragten haben muss. Muster "Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 3 DS-GVO" des Landesdatenschutzbeauftragen Baden-Württemberg (Seite 6). Wörtlich heißt es:
"Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen. " Auch wenn man die Meinung vertritt, dass die Praxistauglichkeit hier noch Zweifel hervorruft, sollten Beteiligte eine Regelung zum Inspektionsrecht, bezogen auf den Verantwortlichen, unbedingt vereinbaren. Ansonsten kann die Gefahr bestehen, dass der Verarbeiter des Auftrags gegenüber dem Verantwortlichen eine Vertragsverpflichtung eingeht, deren Umsetzung er nicht erfüllen kann. Auch eine nachträgliche Vertragsanpassung mit dem Subauftragsverarbeiter kann bei Bedarf – falls jetzt noch erfoderlich – mit einem Nachtrag auch nachträglich ergänzt werden. Formulierungshilfe für einen auftragsverarbeitungsvertrag wann. "
- Formulierungshilfe für einen auftragsverarbeitungsvertrag dsgvo
- Formulierungshilfe für einen auftragsverarbeitungsvertrag microsoft
- Formulierungshilfe für einen auftragsverarbeitungsvertrag wann
Formulierungshilfe Für Einen Auftragsverarbeitungsvertrag Dsgvo
Grundsätzlich ist der Verantwortliche der erste Ansprechpartner für Betroffene und für die Einhaltung der datenschutzrechtlichen Vorgaben zuständig. Das bedeutet aber nicht, dass der Auftragsverarbeiter frei von Haftung wäre. Nach Art. 82 EU-DSGVO haftet er mit dem Verantwortlichen gemeinsam. Jedoch beschränkt sich seine Haftung nach Abs. 2 auf Verstöße gegen speziell ihm auferlegte Pflichten. Beiden Parteien steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind. Externe Links
Behörden
Datenschutzkonferenz DSK ► Kurzpapier Nr. 13 – Auftragsverarbeitung, Art. 28 DS-GVO ( Link)
Datenschutzbehörde Bayern ► Auftragsverarbeitung nach der DS-GVO ( Link)
Datenschutzbehörde Baden Württemberg ► Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. Formulierungshilfe für einen auftragsverarbeitungsvertrag microsoft. 3 DS-GVO ( Link)
EU-Kommission ► Verantwortlicher/Auftragsverarbeiter ( Link)
Datenschutzbehörde Bayern ► FAQ zur Abgrenzung bei Auftragsverarbeitungen ( Link)
Article 29 Data Protection Working Party ► WP 244 – Guidelines on the Lead Supervisory Authority ( Link)
Article 29 Data Protection Working Party ► WP 169 – Opinion on the concepts of "controller" and "processor" (2010! )
Formulierungshilfe Für Einen Auftragsverarbeitungsvertrag Microsoft
In den meisten Fällen erfolgt die Auftragsverarbeitung auf Grundlage eines Vertrags. Der Art. 28 Abs. 3 DSGVO gibt dabei dessen inhaltliche Mindestanforderungen vor. So muss dieser unter anderem unbedingt enthalten, welche Art von personenbezogenen Daten verarbeitet werden sowie was Gegenstand und was Zweck der Verarbeitung sind. Darüber hinaus bestehen für den Auftragsverarbeiter weitere Pflichten. Beispielweise muss er auch ein Verzeichnis über die Verarbeitungstätigkeiten führen, welche den Namen und die Kontaktdaten jedes Verantwortlichen umfasst, in dessen Auftrag er tätig ist sowie die Kategorien von Verarbeitungen, die dabei durchgeführt werden. Hinweise des Landesbeauftragten zur Auftragsdatenverarbeitung. Des Weiteren umfasst das Verzeichnis gegebenenfalls eine Übermittlung von personenbezogenen Daten in Drittländer und nach Möglichkeit eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Dem Verantwortlichen hingegen obliegt die Pflicht, bei der Auswahl des Auftragsverarbeiters sicherzustellen, dass dieser ausreichende technische und organisatorische Maßnahmen implementiert hat, so dass die Vorschriften der Verordnung bei der Verarbeitung eingehalten werden.
Formulierungshilfe Für Einen Auftragsverarbeitungsvertrag Wann
Wenn also die Verarbeitung personenbezogener Daten das Kernelement der Dienstleistung ist, der Dienstleister lediglich (i. d. R. technische) Hilfs- bzw. Unterstützungsfunktion hat und selbst nicht die Verarbeitungszwecke festlegt, liegt eine AV vor. Beispiele für Auftragsverarbeitung im Verein und in kleinen Unternehmen Website-Host und E-Mail-Provider (z. Strato, 1&1) Newsletter-Dienst (z. Mailchimp, newsletter2go) Cloud-Anbieter (z. Microsoft, Dropbox, luckycloud) online Vereinssoftware (z. ) Video-Chat-Dienst (z. Zoom) Messenger-Dienste (außerhalb des privaten Gebrauchs) externe Druckdienstleistungen, z. Lettershops …. Privilegierung der Auftragsverarbeitung Voraussetzung ist, dass Auftragsverarbeiter die Daten nicht für eigene Zwecke nutzt! Auftragsverarbeitung. Der Auftragsverarbeiter ist kein "Dritter" im Sinne der DSGVO. Er genießt also eine Sonderstellung. Der Verantwortliche braucht zur Datenübertragung keine Rechtsgrundlage nach Artikel 6 ff. DSGVO. Dennoch darf man nicht einfach so personenbezogenen Daten übermitteln.
Gerade dieses steht in der Kritik, doch solange es keine gegenteilige Aussage gibt, prüfen Sie unbedingt bevor Sie einen US-Anbieter wählen, ob er privacy-shield-zertifiziert ist. +++ Aktualisierung August 2020: Nach dem Wegfall des Privacy Shields, steht die Datenübermittlung in die USA auf ganz wackeligen Füßen. Zwar dürften formal über Standardvertragsklauseln noch Daten in ein Drittland übermitteln werden, aber die Rechtslage in den USA widerspricht den europäischen Freiheitsrechten, so dass hier seitens der Behörden noch weiterer Klärungsbedarf besteht. +++ Art. Formulierungshilfe für einen auftragsverarbeitungsvertrag dsgvo. 28 DSGVO und §62 BDSG sagen aber auch, dass im Grunde alle Dienstleister ausfallen, mit denen man keine (adequate) AVV schließen kann. Dies ist gern bei gratis-Tools der Fall, die eher an Privatkunden gerichtet sind (z. Whatsapp). Was ist keine Auftragsverarbeitung? Wenn die Verarbeitung personenbezogener Daten nicht die zentrale Aufgabe, sondern nur eine untergeordnete Rolle der eigentlichen Dienstleistung ist, so liegt i. keine Auftragsverarbeitung vor.