GDD-Praxishilfe DS-GVO IV - Mustervertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gesellschaft für Datenschutz und Datensicherheit e.V. GDD-Praxishilfe DS-GVO IV Mustervertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO
INHALT Vorwort ..................................................................................................................... 3 1. Gesetzliche Definitionen ........................................................... 4 2. Abgrenzung zwischen Auftragsverarbeitung und Verantwortlichkeit..................................................................... 4 3. Grundlage der Verarbeitung........................................................ 5 4. Vertragsmuster.......................................................................... 6 1. Gegenstand und Dauer des Vertrags ........................................................................ 7 2. Konkretisierung des Vertragsinhalts ....................................................................... 7 3. Technisch-organisatorische Maßnahmen ................................................................. 8 4. Rechte der betroffenen Personen ........................................................................... 8 5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers ................................ 9 6. Unterauftragsverhältnisse ................................................................................... 10 7. Internationale Datentransfers .............................................................................. 11 8. Kontrollrechte des Auftraggebers ......................................................................... 11 9. Weisungsbefugnis des Auftraggebers .................................................................... 11 10. Löschung und Rückgabe von personenbezogenen Daten ......................................... 12 Anlage I - Technisch-organisatorische Maßnahmen .................... 13 Anlage II - Genehmigte Unterauftragsverhältnisse ..................... 14 5. Kommentare zu den Vertragsklauseln.........................................15
Mustervertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO Nachdem die gesetzlichen Mindestanforderungen an den Vertrag zur Auftragsverarbeitung (AV) in der EU-Datenschutzrichtlinie nur rudimentär ausgestaltet waren, sieht die DS-GVO nunmehr weitreichende Anforderungen an den Vertrag mit dem Auftragsverarbeiter vor. Während die erste Auflage dieser Praxishilfe eine Gegenüberstellung zwischen alter und neuer Rechtslage beinhaltete, findet sich in der Aktualisierung nunmehr ein einheitliches Vertrags- muster. Sie enthält, neben der bewährten, rundum aktualisierten AV-Mustervorlage, nunmehr Erläuterungen zu den einzelnen Vertragsklauseln und wird durch allgemeine Hinweise zur Erleichterung der Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter ergänzt. Als Grundlage für die Überarbeitung der Vertragsklauseln dienten u.a. Vertragsmuster von offizieller Seite, insbesondere seitens der Aufsichtsbehörden für den Datenschutz auf natio- naler und europäischer Ebene. Da ein Vertragswerk zur Auftragsverarbeitung nicht allein von den gesetzlichen Pflichtin- halten lebt, runden geeignete fakultative (optionale) Regelungen das neue Muster ab und sorgen für einen angemessenen Interessenausgleich zwischen den Vertragsparteien. GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags- verarbeitung Stand: Dezember 2020 3
1. Gesetzliche Definitionen lichen und einem Auftragsverarbeiter (Art. 28
DS-GVO) ist die Weisungsgebundenheit des Auf-
Im Sinne der DS-GVO bezeichnet der Ausdruck: tragsverarbeiters im Verhältnis zum Auftraggeber.
„Verantwortlicher“ die natürliche oder juristische Während der Verantwortliche einen steuernden
Person, Behörde, Einrichtung oder andere Stelle, und kontrollierenden Einfluss auf die Zwecke oder
die allein oder gemeinsam mit anderen über die wesentlichen Mittel der Verarbeitung nimmt1, un-
Zwecke und Mittel der Verarbeitung von personen- terwirft sich der Auftragsverarbeiter insofern den
bezogenen Daten entscheidet; sind die Zwecke und Weisungen des Verantwortlichen und wird lediglich
Mittel dieser Verarbeitung durch das Unionsrecht als dessen „verlängerter Arm“ tätig. Der Auftrag-
oder das Recht der Mitgliedstaaten vorgegeben, so nehmer entscheidet nach Auffassung des Europä-
können der Verantwortliche beziehungsweise die ischen Datenschutzausschusses dementsprechend
bestimmten Kriterien seiner Benennung nach dem nur über sog. “nicht essenzielle Mittel”, so z.B.
Unionsrecht oder dem Recht der Mitgliedstaaten über die für den jeweiligen Datenverarbeitungspro-
vorgesehen werden (Art. 4 Nr. 7 DS-GVO). zess einzusetzende Hard- und Software oder über
„Auftragsverarbeiter“ eine natürliche oder ju- spezifische Sicherheitsmaßnahmen.2 Denkbar sind
ristische Person, Behörde, Einrichtung oder andere jedoch auch organisatorische Aspekte, beispiels-
Stelle, die personenbezogene Daten im Auftrag des weise die Organisation des Personaleinsatzes, die
Verantwortlichen verarbeitet (Art. 4 Nr. 8 DS-GVO). ein Auftragsverarbeiter ohne explizite Weisung des
Auftraggebers steuert.
Der Inanspruchnahme von Dienstleistungen ist
2. Abgrenzung zwischen Auf- immanent, dass die Detailkenntnisse über die Ver-
arbeitungsprozesse häufig beim Dienstleister liegen
tragsverarbeitung und Ver- und diesem vielfach ein Entscheidungsspielraum
antwortlichkeit eingeräumt ist, mit welchen Mitteln er die vom Ver-
antwortlichen bestimmten Zwecke erreicht. Exper-
Art. 28 DS-GVO regelt die Anforderungen an die tise und überlegenes Wissen allein führen nicht zur
Auftragsverarbeitung, einschließlich der Anforde- Verantwortlichkeit, solange die Entscheidung über
rungen an den Vertrag und die Verarbeitung per- die Zwecke und wesentlichen Mittel der Verar-
sonenbezogener Daten durch weitere Auftragsver- beitung beim Auftraggeber verbleibt. Einer Auf-
arbeiter (Unterauftragnehmer), ohne auf die Frage tragsverarbeitung steht auch nicht entgegen, dass
einzugehen, wann eine Auftragsverarbeitung in das Konzept für die Datenverarbeitung inklusive
Abgrenzung zu einer Übermittlung an einen Ver- der Zwecke und wesentlichen Mittel der Verarbei-
antwortlichen oder an gemeinsam für die Verarbei- tung vom Dienstleister entwickelt wurde, solange
tung Verantwortliche überhaupt vorliegt. Auch die der Auftraggeber das Konzept akzeptiert und der
gesetzliche Definition des Auftragsverarbeiters hilft Dienstleister im Folgenden nur weisungsgebunden
hier nur bedingt weiter, da sie lediglich von einem agiert.
“Auftrag” spricht, der durch eine natürliche oder ju- Indiz für eine Auftragsverarbeitung kann sein,
ristische Person, Behörde, Einrichtung oder andere wenn ein Akteur über den Verarbeitungsprozess hi-
Stelle ausgeführt wird, wobei personenbezogene naus keine eigenen Interessen an den Daten oder
Daten verarbeitet werden. an dem Ergebnis hat, welches aus der Verarbeitung
Entscheidendes Kriterium für die Abgrenzung resultiert. Der Auftragsverarbeiter benötigt zur Le-
zwischen einem datenschutzrechtlich Verantwort- gitimation der Verarbeitung lediglich einen Vertrag
1 Vgl. HK/Kremer, DS-GVO/BDSG, 2018, Art. 26 Rn. 22.
2 European Data Protection Board (EDPB), Guidelines 07/2020
on the concepts of controller and processor in the GDPR
Version 1.0 (version for public consultation), Nr. 38.
GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags-
verarbeitung Stand: Dezember 2020 4mit dem Verantwortlichen. Letzterer hat die da- lyse innerhalb einer Software und würden perso-
tenschutzrechtliche Verantwortung gegenüber der nenbezogene Daten dabei allenfalls beiläufig und
betroffenen Person und benötigt stets eine eigene in begrenztem Umfang zur Kenntnis genommen
Rechtsgrundlage für die Verarbeitung.3 werden, wäre die Implementierung angemessener
technisch-organisatorischer Maßnahmen gem. Art.
32 DS-GVO zum Schutz der personenbezogenen Da-
Klassische Anwendungsbereiche für die Auf- ten als ausreichend anzusehen. Auf eine Auftrags-
tragsverarbeitung sind etwa die Auslagerung verarbeitung könne daher verzichtet werden.6 Im
der Lohn- und Gehaltsabrechnung, Archivie- Falle des allgemeinen IT-Supports als Auftrag für
rungsvorgänge und Konvertierungen von Do- den Auftragnehmer und einer unvermeidbaren, sys-
kumenten, Verarbeitungen von Kundendaten tematischen Zugriffsmöglichkeit auf personenbezo-
durch Call-Center ohne wesentliche eigene gene Daten, sei der Abschluss eines Vertrages zur
Entscheidungsspielräume oder die Datenträge- Auftragsverarbeitung hingegen erforderlich.7
rentsorgung. Praxisbeispiele für eine Auftrags- Aus praktischer Sicht ist es für Verantwortliche
verarbeitung nach Art. 28 DS-GVO sind auch ratsam, sich mit der Frage der Beauftragung einer
der Hostprovider und Software as a Service Verarbeitung personenbezogener Daten auseinan-
(SaaS) Angebote, sofern der SaaS-Dienstleister der zu setzen. Ergeben sich aus dem Auftrag un-
die Daten nicht z.B. auch für eigene Auswer- weigerlich Zugriffsmöglichkeiten auf Systeme und
tungen zu Zwecken der Qualitätssicherung oder Applikationen mit personenbezogenen Daten, wird
Produktoptimierung verwendet.4 der Abschluss eines Vertrages zur Auftragsverar-
beitung zu empfehlen sein. Lediglich bei Einzel-
beauftragungen, bei denen Zugriffsmöglichkeiten
Kontrovers diskutiert wird weiterhin das Vorliegen auf personenbezogene Daten weitestgehend aus-
einer Auftragsverarbeitung im Rahmen der Prüfung zuschließen ist, können rein technisch-organisato-
und Wartung von IT-Systemen. Die Datenschutz- rische Maßnahmen gegenüber dem Auftragnehmer
konferenz geht davon aus, dass im Falle einer Be- erwogen werden.
auftragung von Fehleranalysen oder Support-Arbei-
ten in Systemen des Auftraggebers und einer damit
einhergehenden Möglichkeit des Zugriffs auf per-
3. Grundlage der Verarbei-
sonenbezogene Daten es sich um eine Form oder tung
Teiltätigkeit der Auftragsverarbeitung gem. Art. 28
DS-GVO handele.5 Der Europäische Datenschutzaus- Art. 28 Abs. 3 S. 1 DS-GVO fordert, dass die Ver-
schuss stellt bei der vorzunehmenden Abgrenzung arbeitung durch einen Auftragsverarbeiter auf der
zum einen darauf ab, ob der Auftragnehmer mit der Grundlage eines Vertrags erfolgt, der den Auftrags-
Verarbeitung personenbezogener Daten überhaupt verarbeiter in Bezug auf den Verantwortlichen bin-
beauftragt wird. Erfolge bspw. die Beauftragung det. Alternativ kann die Auftragsverarbeitung auch
eines Auftragnehmers lediglich mit der Fehlerana- auf Basis eines anderen Rechtsinstruments nach
3 GDD-Praxishilfe XV: Die gemeinsame Verantwortlichkeit nach 6 European Data Protection Board, Guidelines 07/2020 on the
Art. 26 DS-GVO (Joint Controllership), S. 23 ff. Dort findet sich concepts of controller and processor in the GDPR, Nr. 81 („IT-
auch eine Checkliste als Hilfestellung zur Abgrenzung der consultant fixing a software bug“).
Auftragsverarbeitung und alleiniger/ gemeinsamer Verantwort- 7 European Data Protection Board, Guidelines 07/2020 on the
lichkeit (vgl. Ziff. 9.2. ff). concepts of controller and processor in the GDPR, Nr. 81
4 Weitere Beispiele finden sich im FAQ des Bayerischen Landes- (“General IT-Support“).
amts für Datenschutzaufsicht “Abgrenzung Auftragsverarbei-
tung”, vgl. https://www.lda.bayern.de/media/FAQ_Abgren-
zung_Auftragsverarbeitung.pdf.
5 Vgl. Konferenz der unabhängigen Datenschutzbehörden des
Bundes und der Länder (Datenschutzkonferenz), Kurzpapier
Nr. 13, S. 3.
GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags-
verarbeitung Stand: Dezember 2020 5dem Unionsrecht oder dem Recht der Mitgliedstaa- 4. Vertragsmuster ten ihre Grundlage haben. Dies kann die Erteilung des Auftrags durch Verordnung, Richtlinie oder for- melles Gesetz sein8 und findet bspw. im Bereich der Datenverarbeitung im Auftrag von öffentlichen Das nachfolgende Muster stellt ein allgemeines Stellen Anwendung, wo ein Vertragsschluss unge- Muster zur Auftragsverarbeitung dar und ist wöhnlich ist.9 Art. 28 Abs. 3 S. 1 Hs. 2 und S. 2 im Einzelfall an die Bedürfnisse der Vertrags- DS-GVO befassen sich im Weiteren mit den Min- parteien anzupassen. Die hochgestellten Ord- destinhalten10 des Vertrags oder anderen Rechtsin- nungszahlen stellen Verweise zu den erläutern- struments. Ferner werden in der Praxis – neben be- den Hinweisen am Ende dieser Praxishilfe dar. sonderen Anforderungen des Verantwortlichen oder Die einzelnen Festlegungen nach Art. 28 Abs. Auftragsverarbeiters - vertragliche Regelungen zu 3 DS-GVO sollten im Übrigen vollständig in den Vorgaben des Art. 28 Abs. 2 u. 4 DS-GVO an die die Vereinbarung übernommen und wie eine Verarbeitung personenbezogener Daten durch wei- Checkliste abgearbeitet werden. Die für das tere Auftragsverarbeiter im Vertrag zur Auftragsver- konkrete Dienstleistungsverhältnis zutreffen- arbeitung zu finden sein. den Alternativen sollten angekreuzt werden. Die gesetzlich geforderte Form des Vertrags- Leerfelder sind ggf. entsprechend des konkre- schlusses ist in Art. 28 Abs. 9 DS-GVO geregelt. ten Auftrags auszufüllen. Vergütungs- und Haf- Hiernach ist der Vertrag oder das andere Rechtsin- tungsregelungen zu den einzelnen Leistungen strument schriftlich abzufassen, was auch in einem des Auftragnehmers sollten im Hauptvertrag elektronischen Format erfolgen kann. Dies kann vereinbart werden. grundsätzlich jede Verkörperung des Erklärungs- inhalts auf einem beliebigen Erklärungsträger sein. Die elektronische Form i.S.d § 126a BGB, die eine qualifizierte elektronische Signatur voraussetzt, muss hierbei nicht eingehalten werden.11 Allerdings muss nachvollziehbar sein, dass die Vertragspartei- en, die in dem Dokument genannt sind, sich tat- sächlich zu den eingegangenen Verpflichtungen mit dem konkreten Inhalt bekannt haben. Dies ist bei der Auswahl eines elektronischen Formats12 zu be- rücksichtigen, so dass bspw. der Austausch einer einfachen E-Mail ohne elektronische Signierung re- gelmäßig nicht ausreichend sein dürfte.13 8 Ehmann/Selmayr/Bertermann Art. 28 Rn. 13 9 Gola DS-GVO/Klug DS-GVO Art. 28 Rn. 7. 10 Vgl. Art. 28 Abs. 3 S. 2 DS-GVO: Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, .[…] 11 Vgl. Paal/Pauly/Martini, DS-GVO BDSG Art. 28, Rn. 75 m.w.N. 12 Näher hierzu vgl. LDA Bayern, FAQ zur DS-GVO, abrufbar unter https://www.lda.bayern.de/media/FAQ_ADV_Formerforder nis.pdf sowie Stellungnahme der EU-Kommission abrufbar unter http://www.europarl.europa.eu/sides/getAllAnswers. do?reference=E-2018-003163&language=EN. 13 S. auch Müthlein, RDV 2016, 74 (76), der vom Erfordernis einer einfachen Signatur ausgeht. GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags- verarbeitung Stand: Dezember 2020 6
GDD-MUSTER q Die Dauer dieses Vertrags (Laufzeit) ist befris-
Auftragsverarbeitung gemäß Art. 28 DS-GVO tet bis zum ....................
oder
q Der Vertrag wird für unbestimmte Zeit geschlos-
Vertrag sen und kann von beiden Parteien mit einer
zwischen dem/der Frist von .................... zum ....................
gekündigt werden. Die Möglichkeit zur fristlo-
.................... sen Kündigung bleibt hiervon unberührt.
- Verantwortlicher -
nachstehend Auftraggeber genannt - (3) Der Vertrag gilt unbeschadet des vorstehenden
Absatzes so lange, wie der Auftragnehmer perso-
und dem/der nenbezogene Daten des Auftraggebers verarbeitet
(einschließlich Backups).
.................... (4) Soweit sich aus anderen Vereinbarungen zwi-
- Auftragsverarbeiter - schen Auftraggeber und Auftragnehmer anderwei-
nachstehend Auftragnehmer genannt - tige Abreden zum Schutz personenbezogener Daten
ergeben, soll dieser Vertrag zur Auftragsverarbei-
tung vorrangig gelten, es sei denn die Parteien ver-
einbaren ausdrücklich etwas anderes.
1. Gegenstand und Dauer des Vertrags1
2. Konkretisierung des Vertragsinhalts2
(1) Gegenstand
(1) Art und Zweck der vorgesehenen Verarbeitung
q Der Gegenstand des Vertrags ergibt sich aus von Daten
der Leistungsvereinbarung/dem SLA/dem Auf-
trag .................... vom ...................., q Art und Zweck der Verarbeitung personen-
auf die/den/das hier verwiesen wird (im bezogener Daten durch den Auftragnehmer
Folgenden Leistungsvereinbarung). für den Auftraggeber sind konkret beschrieben
oder in der Leistungsvereinbarung vom ....................
q Gegenstand des Vertrags zum Datenumgang ist oder
die Durchführung folgender Aufgaben durch q Nähere Beschreibung des Vertragsgegenstandes
den Auftragnehmer: .................... (Beschrei- im Hinblick auf Art und Zweck der Aufgabe des
bung der Aufgaben) Auftragnehmers: ....................
(2) Dauer (2) Art der Daten
q Die Dauer dieses Vertrags (Laufzeit) entspricht q Die Art der verwendeten personenbezogenen
der Laufzeit der Leistungsvereinbarung. Daten ist in der Leistungsvereinbarung konkret
oder (insbesondere, falls keine Leistungsverein- beschrieben unter: ....................
barung zur Dauer besteht) oder
q Der Vertrag beinhaltet eine einmalige Ausfüh-
rung.
oder
GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags-
verarbeitung Stand: Dezember 2020 7traggeber werden die dokumentierten Maßnahmen
q Gegenstand der Verarbeitung personenbezoge- Grundlage des Vertrags.
ner Daten sind folgende Datenarten/-kategori-
en (Aufzählung/Beschreibung der Datenkategor- (2) Soweit die Prüfung/ein Audit des Auftraggebers
ien) einen Anpassungsbedarf ergibt, ist dieser einver-
q Personenstammdaten nehmlich umzusetzen.
q Kommunikationsdaten
(z.B. Telefon, E-Mail) (3) Die vereinbarten technischen und organisato-
q Vertragsstammdaten (Vertragsbeziehung, rischen Maßnahmen unterliegen dem technischen
Produkt- bzw. Vertragsinteresse) Fortschritt und der Weiterentwicklung. Insoweit ist
q Kundenhistorie es dem Auftragnehmer zukünftig gestattet, alterna-
q Vertragsabrechnungs- und Zahlungsdaten tive adäquate Maßnahmen umzusetzen. Dabei darf
q Planungs- und Steuerungsdaten das Sicherheitsniveau der festgelegten Maßnahmen
q Auskunftsangaben (von Dritten, z.B. Aus- nicht unterschritten werden. Über wesentliche Än-
kunfteien oder aus öffentlichen Verzeich derungen, die durch den Auftragnehmer zu doku-
nissen) mentieren sind, ist der Auftraggeber unverzüglich
q ... in Kenntnis zu setzten.
(3) Kategorien betroffener Personen [OPTIONALE KLAUSEL] Die Verarbeitung von Daten,
die diesem Vertrag unterliegen, ist in Privatwoh-
q Die Kategorien der durch die Verarbeitung be- nungen nicht gestattet (Heim- und Telearbeit).
troffenen Personen sind in der Leistungsverein-
barung konkret beschrieben unter:
4. Rechte von betroffenen Personen4
....................
oder (1) Der Auftragnehmer unterstützt den Auftraggeber
q Die Kategorien der durch die Verarbeitung be- in seinem Verantwortungsbereich und soweit mög-
troffenen Personen umfassen: lich mittels geeigneter technisch-organisatorischer
q Kunden Maßnahmen bei der Beantwortung und Umsetzung
q Interessenten von Anträgen betroffener Personen hinsichtlich
q Abonnenten ihrer Datenschutzrechte. Er darf die Daten, die im
q Beschäftigte Auftrag verarbeitet werden, nicht eigenmächtig,
q Lieferanten sondern nur nach dokumentierter Weisung des Auf-
q Handelsvertreter traggebers beauskunften, portieren, berichtigen,
q Ansprechpartner löschen oder deren Verarbeitung einschränken.
q ... Soweit eine betroffene Person sich diesbezüglich
unmittelbar an den Auftragnehmer wendet, wird
der Auftragnehmer dieses Ersuchen unverzüglich an
3. Technisch-organisatorische Maßnahmen3
den Auftraggeber weiterleiten.
(1) Der Auftragnehmer ergreift in seinem Verant-
wortungsbereich alle erforderlichen technisch-or- (2) Soweit vom Leistungsumfang umfasst, sind die
ganisatorische Maßnahmen gem. Art. 32 DS-GVO Rechte auf Auskunft, Berichtigung, Einschränkung
zum Schutz der personenbezogenen Daten und der Verarbeitung, Löschung sowie Datenportabili-
übergibt dem Auftraggeber die Dokumentation zur tät nach dokumentierter Weisung des Auftraggebers
Prüfung [Anlage 1]. Bei Akzeptanz durch den Auf- unmittelbar durch den Auftragnehmer sicherzustel-
len.
GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags-
verarbeitung Stand: Dezember 2020 85. Qualitätssicherung und sonstige Pflich- mit der Auftragsverarbeitung beim Auftragneh-
ten des Auftragnehmers mer ausgesetzt ist, hat ihn der Auftragnehmer
nach besten Kräften zu unterstützen8.
(1) Der Auftragnehmer hat, zusätzlich zu der Ein-
haltung der Regelungen dieses Vertrags, eigene e) Der Auftragnehmer kontrolliert regelmäßig
gesetzliche Pflichten gemäß der DS-GVO; insofern die internen Prozesse sowie die technischen und
gewährleistet er insbesondere die Einhaltung fol- organisatorischen Maßnahmen9, um zu gewähr-
gender Vorgaben: leisten, dass die Verarbeitung in seinem Verant-
wortungsbereich im Einklang mit den Anforde-
a) Die Wahrung der Vertraulichkeit5 gemäß Artt. rungen des geltenden Datenschutzrechts erfolgt
28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der und der Schutz der Rechte der betroffenen Per-
Auftragnehmer setzt bei der Durchführung der son gewährleistet wird.
Arbeiten nur Beschäftigte ein, die auf die Ver-
traulichkeit verpflichtet und zuvor mit den für f) Nachweisbarkeit der getroffenen technischen
sie relevanten Bestimmungen zum Datenschutz und organisatorischen Maßnahmen10 gegenüber
vertraut gemacht wurden. Der Auftragnehmer dem Auftraggeber im Rahmen seiner Kontrollbe-
und jede dem Auftragnehmer unterstellte Per- fugnisse nach Ziffer 8 dieses Vertrags.
son, die berechtigterweise Zugang zu perso-
nenbezogenen Daten hat, dürfen diese Daten g) Der Auftragnehmer meldet Verletzungen des
ausschließlich entsprechend der Weisung des Schutzes personenbezogener Daten unverzüglich
Auftraggebers verarbeiten, einschließlich der in an den Auftraggeber in der Weise, dass der Auf-
diesem Vertrag eingeräumten Befugnisse, es sei traggeber seinen gesetzlichen Pflichten, insbe-
denn, dass sie gesetzlich zur Verarbeitung ver- sondere nach Artt. 33, 34 DS-GVO nachkommen
pflichtet sind. kann11. Er fertigt über den gesamten Vorgang
eine Dokumentation an, die er dem Auftragge-
b) Der Auftraggeber und der Auftragnehmer ar- ber für weitere Maßnahmen zur Verfügung stellt.
beiten auf Anfrage mit der Aufsichtsbehörde bei
der Erfüllung ihrer Aufgaben zusammen6. h) Der Auftragnehmer unterstützt den Auftrag-
geber in seinem Verantwortungsbereich und
c) Die unverzügliche Information des Auftragge- soweit möglich im Rahmen bestehender Infor-
bers über Kontrollhandlungen und Maßnahmen mationspflichten gegenüber Aufsichtsbehörden
der Aufsichtsbehörde7, soweit sie sich auf die- und Betroffenen und stellt ihm in diesem Zu-
sen Vertrag beziehen. Dies gilt auch, soweit eine sammenhang sämtliche relevante Informationen
zuständige Behörde im Rahmen eines Ordnungs- unverzüglich zu Verfügung.
widrigkeits- oder Strafverfahrens in Bezug auf
die Verarbeitung personenbezogener Daten bei i) Soweit der Auftraggeber zur Durchführung ei-
der Auftragsverarbeitung beim Auftragnehmer ner Datenschutz-Folgenabschätzung verpflichtet
ermittelt. ist, unterstützt ihn der Auftragnehmer unter Be-
rücksichtigung der Art der Verarbeitung und der
d) Soweit der Auftraggeber seinerseits einer ihm zur Verfügung stehenden Informationen.
Kontrolle der Aufsichtsbehörde, einem Ord- Gleiches gilt für eine etwaig bestehende Pflicht
nungswidrigkeits- oder Strafverfahren, dem Haf- zur Konsultation der zuständigen Datenschutz-
tungsanspruch einer betroffenen Person oder Aufsichtsbehörde.
eines Dritten, einem anderen Anspruch oder
einem Informationsersuchen im Zusammenhang
GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags-
verarbeitung Stand: Dezember 2020 9(2) Dieser Vertrag entbindet den Auftragnehmer
nicht von der Einhaltung anderer Vorgaben der DS- c) q Die Auslagerung auf Unterauftragneh-
GVO. mer oder
q der Wechsel der gemäß Anhang 2
bestehenden Unterauftragnehmer sind zu-
6. Unterauftragsverhältnisse12 lässig, soweit:
> der Auftragnehmer eine solche Ausla-
(1) Als Unterauftragsverhältnisse im Sinne dieser gerung auf Unterauftragnehmer dem Auf-
Regelung sind solche Dienstleistungen zu verste- traggeber in einer angemessenen Zeit, die
hen, die sich unmittelbar auf die Erbringung der 14 Tage nicht unterschreiten darf, vorab
Hauptleistung beziehen. Nicht hierzu gehören Ne- schriftlich oder in Textform anzeigt und
benleistungen, die der Auftragnehmer in Anspruch > der Auftraggeber nicht bis zum Zeit-
nimmt, z.B. Telekommunikationsleistungen, Post-/ punkt der Übergabe der Daten gegenüber
Transportdienstleistungen, Reinigungsleistungen dem Auftragnehmer schriftlich oder in
oder Bewachungsdienstleistungen. Wartungs- und Textform Einspruch gegen die geplante
Prüfleistungen stellen dann ein Unterauftrags- Auslagerung erhebt und
verhältnis dar, wenn sie für IT-Systeme erbracht > eine vertragliche Vereinbarung nach
werden, die im Zusammenhang mit einer Leistung Maßgabe des Art. 28 Abs. 2-4 DS-GVO zu-
des Auftragnehmers nach diesem Vertrag erbracht grunde gelegt wird.
werden. Der Auftragnehmer ist jedoch verpflichtet,
zur Gewährleistung des Datenschutzes und der Da- (3) Die Weitergabe von personenbezogenen Daten
tensicherheit der Daten des Auftraggebers auch bei des Auftraggebers an den Unterauftragnehmer und
ausgelagerten Nebenleistungen angemessene und dessen erstmaliges Tätigwerden sind erst mit Vor-
gesetzeskonforme vertragliche Vereinbarungen zu liegen aller Voraussetzungen für eine Unterbeauf-
treffen sowie Kontrollmaßnahmen zu ergreifen. tragung gestattet. Die Einhaltung und Umsetzung
der technisch-organisatorischen Maßnahmen beim
(2) Der Auftragnehmer darf Unterauftragnehmer Unterauftragnehmer wird unter Berücksichtigung
(weitere Auftragsverarbeiter) nur nach vorheriger des Risikos beim Unterauftragnehmer vorab der Ver-
ausdrücklicher schriftlicher bzw. dokumentierter arbeitung personenbezogener Daten und sodann re-
Zustimmung des Auftraggebers beauftragen. gelmäßig durch den Auftragnehmer kontrolliert. Der
Auftragnehmer stellt dem Auftraggeber die Kontrol-
a) q Eine Unterbeauftragung ist unzulässig. lergebnisse auf Anfrage zur Verfügung. Der Auftrag-
b) q Der Auftraggeber stimmt der Beauftra- nehmer stellt ferner sicher, dass der Auftraggeber
gung der in Anhang 2 bezeichneten Unter- seine Rechte aus dieser Vereinbarung (insbesonde-
auftragnehmer unter der Bedingung einer re seine Kontrollrechte) auch direkt gegenüber den
vertraglichen Vereinbarung nach Maßgabe Unterauftragnehmern wahrnehmen kann.
des Art. 28 Abs. 2-4 DS-GVO mit dem Un-
terauftragnehmer zu. (4) Erbringt der Unterauftragnehmer die vereinbar-
te Leistung außerhalb der EU/des EWR stellt der
Die vertragliche Vereinbarung wird dem Auftrag- Auftragnehmer die datenschutzrechtliche Zulässig-
geber auf dessen Verlangen vorgelegt, wobei ge- keit durch entsprechende Maßnahmen sicher. Glei-
schäftliche Klauseln ohne datenschutzrechtlichen ches gilt, wenn Dienstleister im Sinne von Abs. 1
Bezug hiervon ausgenommen sind. Satz 2 eingesetzt werden sollen.
GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags-
verarbeitung Stand: Dezember 2020 10(5) Eine weitere Auslagerung durch den Unterauf- durchzuführen oder durch im Einzelfall zu benen-
tragnehmer nende Prüfer durchführen zu lassen. Er hat das
Recht, sich durch Stichprobenkontrollen, die in
q ist nicht gestattet; der Regel rechtzeitig anzumelden sind, von der
q bedarf der ausdrücklichen Zustimmung des Einhaltung dieser Vereinbarung durch den Auf-
Hauptauftraggebers (mind. Textform); tragnehmer in dessen Geschäftsbetrieb während
q bedarf der ausdrücklichen Zustimmung des der üblichen Geschäftszeiten zu überzeugen.
Hauptauftragnehmers (mind. Textform).
(2) Der Auftragnehmer stellt sicher, dass sich der
Sämtliche vertraglichen Regelungen in der Vertrags- Auftraggeber von der Einhaltung der Pflichten des
kette sind auch dem weiteren Unterauftragnehmer Auftragnehmers nach Art. 28 DS-GVO überzeugen
aufzuerlegen. kann. Der Auftragnehmer verpflichtet sich, dem
Auftraggeber auf Anforderung die erforderlichen
Auskünfte zu erteilen und insbesondere die Umset-
7. Internationale Datentransfers13 zung der technischen und organisatorischen Maß-
nahmen nachzuweisen.
(1) Jede Übermittlung personenbezogener Daten
in ein Drittland oder an eine internationale Orga- (3) Der Nachweis der technisch-organisatorischen
nisation bedarf einer dokumentierten Weisung des Maßnahmen zur Einhaltung der besonderen Anfor-
Auftraggebers und bedarf der Einhaltung der Vorga- derungen des Datenschutzes allgemein sowie sol-
ben zur Übermittlung personenbezogener Daten in che, die den Auftrag betreffen, kann erfolgen durch
Drittländer nach Kapitel V der DS-GVO.
q die Einhaltung genehmigter Verhaltensregeln
q Die Erbringung der vertraglich vereinbarten Da- gemäß Art. 40 DS-GVO;
tenverarbeitung findet ausschließlich in einem q die Zertifizierung nach einem genehmigten
Mitgliedstaat der Europäischen Union oder in Zertifizierungsverfahren gemäß Art. 42 DS-GVO;
einem anderen Vertragsstaat des Abkommens q aktuelle Testate, Berichte oder Berichtsauszü-
über den Europäischen Wirtschaftsraum statt. ge unabhängiger Instanzen (z.B. Wirtschafts-
prüfer, Revision, Datenschutzbeauftragter, IT-
q Der Auftraggeber gestattet eine Datenüber- Sicherheitsabteilung, Datenschutzauditoren,
mittlung in ein Drittland. In der Anlage 2 wer- Qualitätsauditoren);
den die Maßnahmen zur Gewährleistung eines q eine geeignete Zertifizierung durch IT-Sicher-
angemessenen Schutzniveaus aus Art. 44 ff. heits- oder Datenschutzaudit (z.B. nach BSI-
DS-GVO im Rahmen der Unterbeauftragung spe- Grundschutz).
zifiziert.
9. Weisungsbefugnis des Auftraggebers15
(2) Soweit der Auftraggeber eine Datenübermitt-
lung an Dritte in ein Drittland anweist, ist er für (1) Der Auftragnehmer verarbeitet personenbezo-
die Einhaltung von Kapitel V der DS-GVO verant- gene Daten nur auf Basis dokumentierter Weisun-
wortlich. gen des Auftraggebers, es sei denn er ist nach dem
Recht des Mitgliedstaats oder nach Unionsrecht zu
einer Verarbeitung verpflichtet. Mündliche Weisun-
8. Kontrollrechte des Auftraggebers14
gen bestätigt der Auftraggeber unverzüglich (mind.
(1) Der Auftraggeber hat das Recht, im Beneh- Textform). Die anfänglichen Weisungen des Auf-
men mit dem Auftragnehmer Überprüfungen traggebers werden durch diesen Vertrag festgelegt.
GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags-
verarbeitung Stand: Dezember 2020 11(2) Der Auftragnehmer hat den Auftraggeber un- verzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvor- schriften16. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestä- tigt oder geändert wird. 10. Löschung und Rückgabe von personen- bezogenen Daten17 (1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Daten- verarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewah- rungspflichten erforderlich sind. (2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens aber mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Lö- schung ist auf Anforderung vorzulegen. GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags- verarbeitung Stand: Dezember 2020 12
Anlage I Technisch-organisatorische Maßnahmen Beschreibung der technisch-organisatorischen Maßnahmen des Auftragnehmers unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahr- scheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten betroffener Personen. Soweit einschlägig, [Beschreibung von Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten] [Beschreibung von Maßnahmen zur Gewährleistung einer kontinuierlichen Vertraulichkeit, Integrität, Verfüg- barkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung] [Beschreibung von Maßnahmen zur Gewährleistung der Verfügbarkeit personenbezogener Daten und des ra- schen Zugangs zu Daten im Falle eines physischen oder technischen Zwischenfalls] [Beschreibung von Maßnahmen zur Gewährleistung eines Verfahrens zur regelmäßigen Überprüfung, Bewer- tung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung] [Beschreibung von Maßnahmen zur Identifizierung und Authentifizierung von Nutzern] [Beschreibung von Maßnahmen zum Schutz personenbezogener Daten bei der Übertragung] [Beschreibung von Maßnahmen zum Schutz personenbezogener Daten bei ihrer Speicherung] [Beschreibung von Maßnahmen zur Gewährleistung einer physischen Sicherheit von Orten, an denen perso- nenbezogene Daten verarbeitet werden] [Beschreibung von Maßnahmen zum Schutz personenbezogener Daten bei der Heim- oder Telearbeit]* [Beschreibung von Anforderungen an die Ereignisprotokollierung (z.B. bei der Nutzerauthentifizierung oder der Dateneingabe, -veränderung oder -löschung] [Beschreibung technisch-organisatorischer Maßnahmen im Rahmen der Unterstützungspflichten des Auftrag- nehmers (z.B. bei den Betroffenenrechten)] * Nicht zu beschreiben, wenn die Heim- und Telearbeit gem. der optionalen Klausel aus Ziff. 3 des Vertragsmusters untersagt wurde. GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags- verarbeitung Stand: Dezember 2020 13
Anlage II
Genehmigte Unterauftragsverhältnisse
Firma Anschrift/Land Leistung Angaben zu geeigneten
Unterauftragnehmer Garantien bei Daten-
übermittlungen in ein
Drittland
GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags-
verarbeitung Stand: Dezember 2020 145. Kommentare zu den Ver- keit, Verfügbarkeit, Integrität und Belastbarkeit
tragsklauseln adressieren. Eine abstrakte Zusicherung reicht nicht
aus, da der Verantwortliche sich auf Basis abstrak-
ter Beschreibung kein ausreichendes Bild über die
1. Gegenstand und Dauer des Vertrags. Art. 28 Datensicherheit beim Auftragnehmer machen kann.
Abs. 3 S. 1 DS-GVO sieht vor, dass Gegenstand und Insofern verweist das Vertragsmuster auf Maßnah-
Dauer der Verarbeitung personenbezogener Daten men des Art. 32 DS-GVO, die durch den Auftragneh-
zwischen Auftraggeber und Auftragnehmer fest- mer hinsichtlich ihrer Umsetzung zu konkretisieren
gelegt werden. Ein Verweis bspw. auf eine Leis- sind. Gesetzliche Schutzziele, die für die Dienstleis-
tungsvereinbarung oder ein SLA sind dann möglich, tung nicht relevant sind, müssen nicht beschrieben
wenn dort eine hinreichend konkrete Beschreibung werden. Ob eine Dokumentation bzw. Konkretisie-
des Gegenstandes sowie der Dauer der Verarbeitung rung der technisch-organisatorischen Maßnahmen
erfolgt. über eine Anlage zum Vertrag oder bspw. durch Zu-
sendung eines IT-Sicherheitskonzepts erfolgt, liegt
2. Konkretisierung des Vertragsinhalts. Aus- im Ermessen der Parteien. Die Beschreibungen des
weislich der gesetzlichen Vorgabe müssen Art und Auftragnehmers müssen den Auftraggeber in die
Zweck der Verarbeitung personenbezogener Daten Lage versetzen, seiner Kontrollpflicht auftragsbezo-
spezifiziert werden. Solche Darstellungen werden gen effektiv nachzukommen. Der Auftraggeber hat
in Leistungsvereinbarungen oder SLAs in der Praxis die vorgelegten Dokumente hinsichtlich Prüfgegen-
seltener zu finden sein, so dass hier regelmäßig er- stand, Prüftiefe Vollständigkeit und Übereinstim-
gänzender Dokumentationsbedarf besteht. mung mit dem konkreten Auftrag zu überprüfen.
Die Beschreibung von Kategorien betroffener Soweit der Auftraggeber nach Prüfung der tech-
Personen kann anhand der Darstellung von Zusam- nisch-organisatorischen Maßnahmen einen Anpas-
menfassungen von Betroffenen nach bestimmten sungsbedarf erkennt, wird er diesen einvernehm-
Merkmalen, so bspw. Kunden oder Beschäftigte, er- lich mit dem Auftragnehmer umsetzen. Hierdurch
folgen. Hinsichtlich der Datenarten bietet es sich werden die gem. Art. 32 DS-GVO standardmäßig
an, Angaben hierzu auf Datenverwendungen zu be- angebotenen Maßnahmen des Auftragnehmers mo-
schränken, die auch explizit Gegenstand des Auf- difiziert, was einvernehmlich zu erfolgen hat.
trags sind. Beiläufig anfallende Daten (z.B. Proto- Dem Auftragnehmer ist es gestattet, seine tech-
kolldateien) sind hiervon regelmäßig nicht erfasst. nisch-organisatorischen Maßnahmen weiterzuent-
wickeln und zu ändern. Das mit dem Auftraggeber
3. Technisch-organisatorische Maßnahmen. Der festgelegte Schutzniveau zum Vertragsschluss darf
Auftraggeber soll nur mit solchen Auftragsverar- jedoch hierbei nicht unterschritten werden. Besag-
beitern zusammenarbeiten, die mittels geeigneter te Weiterentwicklungen vollziehen sich regelmäßig
technischer und organisatorischer Maßnahmen eine ohne die gesonderte Genehmigung durch den Auf-
Datenverarbeitung im Einklang mit der Grundver- traggeber, da sie sich nach diesem Vertragsmus-
ordnung sowie zum Schutz der Rechte der Betroffe- ter auf die eigenen, standardmäßig angebotenen
nen gewährleisten können (Art. 28 Abs. 1 DS-GVO). technisch-organisatorischen Maßnahmen gem. Art.
Insofern, und gesetzlich explizit von ihm gefor- 32 DS-GVO beziehen. Nichtsdestotrotz ist der Auf-
dert, muss der Auftragsverarbeiter alle erforderli- traggeber über solche Änderungen zu informieren,
chen Maßnahmen gem. Art. 32 DS-GVO ergreifen um über das aktuelle Schutzniveau beim Auftrag-
und dies gegenüber dem Auftraggeber vertraglich nehmer im Bilde zu sein.
bestätigen (vgl. Art. 28 Abs. 3 S. 2 lit. c DS-GVO).
Die getroffenen technisch-organisatorischen Maß-
nahmen müssen die IT-Schutzziele der Vertraulich-
GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags-
verarbeitung Stand: Dezember 2020 154. Rechte von Betroffenen. Als verlängerter Arm die notwendige Unterstützung des Vertragspartners
des Verantwortlichen sowie als weisungsgebunde- erhalten.
ner Datenverarbeiter steht es dem Auftragnehmer
grundsätzlich nicht zu, eigenmächtig über eine Da- 7. Information des Auftraggebers über Kontroll-
tenverarbeitung zu entscheiden. Daher ist es ihm handlungen und Maßnahmen der Aufsichtsbe-
auch untersagt, ohne entsprechende Weisung des hörde. Art. 28 Abs. 1 DS-GVO statuiert, dass der
Auftraggebers, Anfragen von Betroffenen, so u.a. Auftraggeber nur mit Auftragsverarbeitern zusam-
über die zu seiner/ihrer Person gespeicherten Da- menarbeitet, die mittels geeigneter technisch-or-
ten oder auf Löschung von Daten oder deren Be- ganisatorischer Maßnahmen für eine Verarbeitung
richtigung, zu beantworten. Es ist jedoch möglich, im Einklang mit der DS-GVO sorgen und den Schutz
bestimmte Verarbeitungen, die eigentlich im Ver- der Rechte von Betroffenen gewährleisten. Eine
antwortungsbereich des Verantwortlichen stehen, Kontrollhandlung oder sonstige Maßnahme beim
vertraglich auf den Auftragnehmer zu delegieren. Auftragnehmer, sei es bspw. im Rahmen eines Straf-
Ferner ist zu empfehlen, die Unterstützungsleis- oder Ordnungswidrigkeitenverfahrens, kann ein In-
tungen des Auftragnehmers bei den Rechten von diz dafür sein, dass entsprechende Schutzmaßnah-
Betroffenen im Rahmen der technisch-organisato- men beim Auftragsverarbeiter nicht gewährleistet
rischen Maßnahmen zu konkretisieren, so bspw. im sind. Daher sieht das Vertragsmuster eine entspre-
Rahmen der Auskunftsersuchen von Betroffenen. chende Information des Auftraggebers im Falle sol-
cher Kontrollhandlungen vor. Besagte Information
5. Wahrung der Vertraulichkeit. Gem. Art. 28 Abs. soll jedoch nur für auftragsrelevante Handlungen
3 S. 2 lit. b DS-GVO verpflichtet sich der Auftrag- und Maßnahmen gelten, zumal der Auftragnehmer
nehmer, Mitarbeiter, die auf personenbezogene Da- auch Verarbeitungen zu eigenen Zwecken regelmä-
ten des Auftraggebers zur Auftragserfüllung zugrei- ßig durchführt (z.B. im Rahmen der Verarbeitung
fen dürfen, zur Vertraulichkeit zu verpflichten. Die von Daten seiner Beschäftigten).
GDD hat über die Praxishilfe XI ein entsprechendes
Muster hierzu veröffentlicht. 8. Unterstützung des Auftraggebers. Art. 28 Abs.
Je nach Auftragsverhältnis bietet es sich an, 3 lit. e u. f DS-GVO sieht Unterstützungspflichten
besondere Regelungen zur Zulässigkeit des mobilen des Auftragsverarbeiters explizit im Rahmen der
Arbeitens oder der Telearbeit durch Mitarbeiter des Beantwortung von Anträgen zur Wahrnehmung
Auftragnehmers im Vertrag zu treffen (z.B. das Ver- von Betroffenenrechten nach Kapitel III, sowie
bot der Heim- oder Telearbeit der ein Zustimmungs- bei der Einhaltung der Pflichten nach Artt. 32 bis
erfordernis auf Seiten des Auftraggebers). Ebenfalls 36 DS-GVO vor. Das Vertragsmuster erweitert diese
bietet es sich an, Angaben zur Gewährleistung der Unterstützungspflichten auf die im Vertragsmuster
Vertraulichkeit hierbei in der Vertragsanlage zu den genannten Sachverhalte, da es hier ebenfalls not-
technisch-organisatorischen Maßnahmen zu doku- wendig sein kann, dass der Auftraggeber auf In-
mentieren. formationen oder Maßnahmen des Auftragnehmers
angewiesen ist. Andernfalls entstünden Haftungs-
6. Zusammenarbeit mit der Aufsichtsbehörde. In risiken auf Seiten des Auftraggebers, wenn er auf
Art. 31 DS-GVO findet sich die Vorgabe, dass Verant- eine Mitwirkung des Auftragnehmers angewiesen
wortliche und Auftragsverarbeiter sowie ggf. deren ist, er jedoch über keine vertraglichen Durchset-
Vertreter auf Anfrage mit der Aufsichtsbehörde bei zungsmöglichkeiten diesbezüglich verfügt.
der Erfüllung ihrer Aufgaben zusammenarbeiten. Den Vertragsparteien ist es unbenommen, eine
Im Auftragsverarbeitungsverhältnis bietet es sich Vergütung des Auftragnehmers allgemein für Unter-
an, dies vertraglich zu fixieren, damit beide Par- stützungshandlungen zugunsten des Auftraggebers
teien im Falle einer aufsichtsbehördlichen Anfrage zu regeln. Dies kann bspw. für solche Unterstüt-
GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags-
verarbeitung Stand: Dezember 2020 16zungen relevant sein, die nicht dem Leistungsport- 12. Unterauftragsverhältnisse. Die DS-GVO defi-
folio des Auftragnehmers entsprechen bzw. von niert die Unterauftragsverhältnisse nicht, sondern
Standard-Funktionalitäten einer bereitgestellten verweist in Art. 28 Abs. 2 S. 1 DS-GVO auf „weitere
Software nicht abgedeckt sind. Auftragsverarbeiter“, die durch den Auftragsver-
arbeiter in Anspruch genommen werden. Das Ver-
9. Interne Kontrollen des Auftragnehmers. Spie- tragsmuster konkretisiert die Unterauftragsverhält-
gelbildlich zu Art. 28 Abs. 1 DS-GVO hat der Auf- nisse auf solche, die einen unmittelbaren Bezug
tragsverarbeiter ausweislich des Vertragsmusters zur Hauptleistung des Auftragsverarbeiters haben
seine technisch-organisatorischen Maßnahmen re- und damit Teil seiner Leistungskette bilden. Die im
gelmäßig zu kontrollieren. Besagte Kontrollpflich- Vertragsmuster genannten und vom Auftragnehmer
ten werden explizit auch auf die auftragsrelevanten in Anspruch genommenen Leitungen, wie bspw. Te-
internen Prozesse ausgeweitet (z.B. der Prozess zur lekommunikationsleistungen, Post- oder Transport-
Information des Auftraggebers über eine Anfrage dienstleistungen oder Bewachungsdienstleistungen
von Betroffenen gem. Art. 15 DS-GVO). Immerhin bilden regelmäßig keinen Bestandteil der Leis-
bedarf es auf Seiten des Auftragsverarbeiters einer tungskette und werden durch den Auftragnehmer
Vielzahl von Prozessen, um den gesetzlichen sowie individuell beauftragt.
vertraglich geforderten Unterstützungshandlungen Für den Fall vorgesehener Unterauftragsverhält-
nachkommen zu können. nisse ermöglich das Vertragsmuster dem Auftrag-
geber solche zu verbieten oder über die Anlage 2
10. Nachweisbarkeit der getroffenen techni- zu erlauben. Für den Fall der Zustimmung für Un-
schen und organisatorischen Maßnahmen. Die terauftragsverarbeiter müssen die gesetzlichen Vo-
dem Auftraggeber gesetzlich zustehenden Kont- raussetzungen hierfür eingehalten werden, die sich
rollhandlungen bedürfen einer Mitwirkung des Auf- insoweit aus Art. 28 Abs. 2-4 DS-GVO ergeben. Fer-
tragsverarbeiters dergestalt, dass dieser die Kon- ner sind dem Auftraggeber auf Verlangen die ver-
trollhandlungen ermöglicht und unterstützt. Zur traglichen Abreden mit den Unterauftragsverarbei-
Unterstützung des Auftraggebers ist es notwendig, tern auf Verlangen zur Verfügung zu stellen.
dass dieser durchgängig auf nachvollziehbare und Der Wechsel oder die Hinzunahme von Unter-
dokumentierte Informationen zurückgreifen kann, auftragsverarbeitern wird an die zusätzliche Bedin-
um das Schutzniveau der technisch-organisatori- gung geknüpft, dass der Auftraggeber mindestens
schen Maßnahmen beim Auftragnehmer beurteilen 14 Tage vorab schriftlich oder in Textform zu infor-
zu können. Bei beispielsweise lediglich mündlichen mieren ist und hierdurch die Möglichkeit des Ein-
Zusicherungen des Auftragsverarbeiters ist dies re- spruchs erhält.
gelmäßig nicht möglich. Der Auftragnehmer ist im Übrigen verpflichtet,
die technisch-organisatorischen Maßnahmen beim
11. Meldung einer Verletzung des Schutzes per- Unterauftragnehmer vorab der Auftragserteilung
sonenbezogener Daten. Gibt es beim Auftragneh- und sodann regelmäßig sowie risikoorientiert zu
mer Anhaltspunkte für eine Verletzung des Schutzes kontrollieren. Hierdurch ist es möglich, das gegen-
personenbezogener Daten, ist er gem. Art. 33 Abs. über dem Auftraggeber vertraglich zugesicherte
2 DS-GVO verpflichtet, den Auftraggeber hierüber technisch-organisatorische Schutzniveau innerhalb
unverzüglich in Kenntnis zu setzen. Hierdurch wird der Leistungskette des Auftragnehmers zu gewähr-
der Auftraggeber in die Lage versetzt entscheiden leisten.
zu können, ob ein meldepflichtiger Sachverhalt
gem. Artt. 33/34 DS-GVO gegeben ist.
GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags-
verarbeitung Stand: Dezember 2020 1713. Internationale Datentransfers. Übermittlun- zogen werden, so bspw. über eine Kontrolle im Ge-
gen personenbezogener Daten in ein Drittland be- schäftsbetrieb des Auftragnehmers. Der Auftragge-
dürfen der vorherigen Weisung des Auftraggebers. ber entscheidet, ob ihm die vorgelegten Nachweise
(Art. 28 Abs. 3 S. 2 lit. a DS-GVO). Im Übrigen sind des Auftragnehmers ausreichen oder ob weitere
die Vorgaben des Kapitel V zur Gewährleistung ei- Informationen eingeholt werden sollen. Den Ver-
nes angemessenen Datenschutzniveaus beim Emp- tragsparteien ist es im Übrigen unbenommen, die
fänger im Drittland einzuhalten. Kostentragung für Kontrollhandlungen des Auftrag-
Zu beachten ist hierbei, dass eine rechtliche gebers vertraglich zu regeln (bspw. die Vergütung
Verpflichtung nach dem Recht eines Drittlandes von externen Prüfern).
nicht ausreicht, um eine Datenübermittlung in ein
Drittland zu legitimieren (vgl. Art. 48 DS-GVO). 15. Weisungsbefugnis des Auftraggebers. Die
Für den Fall, dass eine Übermittlung personen- weisungsgebundene Verarbeitung personenbezo-
bezogener Daten in ein Drittland vorgesehen ist, gener Daten ist ein wesentliches Merkmal der Auf-
bspw. an Unterauftragnehmer, muss das entspre- tragsverarbeitung. Insofern sieht Art. 29 DS-GVO
chende Land im Vertragsmuster unter der Anlage vor, dass der Auftragsverarbeiter und jede dem Ver-
2 benannt werden. Ferner ist die verwendete Ga- antwortlichen oder dem Auftragsverarbeiter unter-
rantie zur Gewährleistung eines angemessenen stellte Person, die Zugang zu personenbezogenen
Datenschutzniveaus zu benennen (z.B. ein Ange- Daten hat, diese Daten ausschließlich auf Weisung
messenheitsbeschluss der Kommission oder Stan- des Verantwortlichen verarbeiten, es sei denn sie
darddatenschutzklauseln für den Drittlandstrans- sind nach dem Unionsrecht oder dem Recht der
fer). Mitgliedstaaten zur Verarbeitung verpflichtet. Zum
Sollte der Auftragnehmer seitens des Auftrag- Nachweis einer weisungsgemäßen Verarbeitung
gebers die Weisung erhalten, personenbezogene sollen Weisungen des Auftraggebers zumindest
Daten an einen anderen Empfänger als die bezeich- in Textform dokumentiert werden. Die Festlegung
neten Unterauftragsverarbeiter im Drittland zu der initialen Weisung des Auftraggebers für den
übermitteln, ist dieser insoweit für die Erfüllung Auftragnehmer erfolgt durch den Vertrag zur Auf-
der Zulässigkeitsanforderungen des Kapitels V ver- tragsverarbeitung, der u.a. Spezifikationen zum
antwortlich. Auftragsgegenstand, zu Art und Umfang der Verar-
beitung sowie zu einem etwaigen Drittlandstransfer
14. Kontrollrechte des Auftraggebers. Gem. Art. enthält.
28 Abs. 3 S. 2 lit. h DS-GVO ist der Auftraggeber
berechtigt, selbst oder durch beauftragte Prüfer, 16. Hinweis bei rechtswidriger Weisung. In Art.
Inspektionen beim Auftragnehmer durchzuführen. 28 Abs. 3 S. 3 DS-GVO ist die Pflicht enthalten, dass
Das Vertragsmuster konkretisiert dieses Recht und der Auftragsverarbeiter den Auftraggeber unverzüg-
gewährt eine Kontrolle im Geschäftsbetrieb des lich zu informieren hat, falls nach seiner Auffassung
Auftragnehmers mittels Stichproben nach vorheri- eine Weisung gegen das Datenschutzrecht verstößt.
ger, rechtzeitiger Anmeldung. Es ist den Parteien Es empfiehlt sich an dieser Stelle eine vertragliche
unbenommen, konkrete Fristen für eine Anmeldung Klarstellung, wonach der Auftragnehmer zu einer
im Vertrag vorzusehen. Dem Auftragnehmer ist es Aussetzung der Verarbeitung befugt sein soll, bis
möglich, die Einhaltung der Anforderungen der DS- der Auftraggeber die angezeigte Weisung bestätigt
GVO an die technisch-organisatorischen Maßnah- oder diese ändert. Die Einschätzung des Auftrag-
men mittels eingehaltener Standards, Verhaltens- nehmers ist subjektiver Natur und hindert den Auf-
regeln oder über Zertifizierungen nachzuweisen. traggeber nicht an einer anderen Auffassung. Es ist
Dieser Nachweis darf jedoch nicht dazu führen, ferner ratsam, die Folgen einer nach Mitteilung des
dass dem Auftraggeber andere Kontrollrechte ent- Auftragnehmers aufrecht erhaltenen rechtswidrigen
GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags-
verarbeitung Stand: Dezember 2020 18Weisung des Auftraggebers vertraglich zu regeln (z.B. ein vertragliches Sonderkündigungsrecht des Auftragnehmers). Der gesetzliche Verweis des Art. 28 Abs. 3 S. 3 DS-GVO auf Art. 28 Abs. 3 S. 2 lit. h DS-GVO bezieht sich auf die dortigen allgemeinen Informa- tionspflichten des Auftragnehmers zur Einhaltung des Art. 28 DS-GVO. Diese sollen den Auftraggeber in die Lage versetzen, über die aktuellen Umstände der Verarbeitung im Bilde zu sein. Die Inhalte die- ser Information ergeben sich aus den vertraglichen Mindestinhalten des Art. 28 DS-GVO (technisch-or- ganisatorische Maßnahmen, eingesetzte Unterauf- tragnehmer, Datenempfänger) und können durch weitere Angaben ergänzt werden (so bspw. Auf- bewahrungsfristen auf Seiten des Auftragnehmers oder Funktionsbeschreibungen der eingesetzten Systeme). Die Modalitäten der Informationsflüsse sind im Vertrag zu regeln. Das Vertragsmuster be- nennt hier bspw. Meldefristen für Änderungen der Unterauftragnehmer sowie Veränderungen der tech- nisch-organisatorischen Maßnahmen beim Auftrag- nehmer. 17. Löschung und Rückgabe von personenbezo- genen Daten. Nach Beendigung der Vertragsbezie- hung zwischen Auftraggeber und Auftragnehmer sieht Art. 28 Abs. 3 S. 2 lit. g DS-GVO es vor, dass alle personenbezogenen Daten nach Wahl des Ver- antwortlichen entweder gelöscht oder zurückgege- ben werden, sofern der Auftragnehmer nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaa- ten zur weiteren Speicherung verpflichtet ist. Do- kumentationen, die dem Nachweis einer ordnungs- gemäßen Verarbeitung personenbezogener Daten im Auftrag dienen, können auch nach Vertragsende durch den Auftragnehmer verarbeitet werden. Dies stellt insofern eine vertragliche Befugnis unabhän- gig einer gesetzlichen Vorgabe dar und dient der Entlastung des Auftragnehmers. GDD-Praxishilfe DS-GVO IV: Vertragsmuster zur Auftrags- verarbeitung Stand: Dezember 2020 19
Gesellschaft für Datenschutz und Datensicherheit e.V. Ansprechpartner: RA Steffen Weiß, LL.M. Satz: C. Wengenroth, GDD-Geschäftsstelle, Bonn Herausgeber: Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) Heinrich-Böll-Ring 10 53119 Bonn Tel.: +49 0228 96 96 75-00 Fax: +49 0228 96 96 75-25 www.gdd.de info@gdd.de Stand: Version 2.0 (Dezember 2020)
Sie können auch lesen
