July 31, 2018

Auftragsverarbeitung? Ja, nein, vielleicht?

Wonach entscheidet sich beim Outsourcen einer Datenverarbeitung, ob eine Vereinbarung zur Auftragsverarbeitung („AV“) zu schließen ist? Diese Frage beschäftigt nahezu alle Unternehmen. Liegt kein Fall der AV vor, wäre eine andere Rechtsgrundlage für die zulässige Verarbeitung zu finden. Handelt es sich um eine AV, sind die diversen Voraussetzungen des Art. 28 DSGVO zu erfüllen.

Die Faustregel lautet: verarbeitet der Auftragnehmer fremde Daten mit Personenbezug zu fremden Zwecken, nämlich zu Zwecken des Auftraggebers, handelt es sich um eine Auftragsverarbeitung. Eine solche liegt also vor, wenn z. B. Leistungen eines Host- oder E-Mail-Providers oder eines Cloud- oder SaaS-Anbieters in Anspruch genommen werden. Die Liste möglicher Fälle ist lang und reicht hin bis zum Aktenvernichtungs-Dienstleister.

 

Wer sich optimal aufstellen möchte, nutzt u. a.

1. zwei Muster-AV-Vereinbarungen, die nach der Sicht Auftragnehmer/ Auftraggeber unterscheiden, beachtet
2. die hohen Anforderungen an die technischen und organisatorischen Maßnahmen (Anlage „TOM“) und stellt
3. geschlossene ADV-Vereinbarungen nach altem Recht auf die DSGVO um.

 

Wir helfen dabei!

Autor

Karsten Bartels

Karsten U. Bartels LL.M. ist spezialisiert auf das IT-Recht. Er betreut unsere Mandanten als Unternehmeranwalt in Fragestellungen des IT-Vertragsrechts, der IT-Compliance, der Informationssicherheit und des Datenschutzrechts. Er berät insbesondere zu den Bereichen IT-Outsourcing, IT-Dienstleistungen und Direct Marketing.

In seinem Schwerpunkt Datenschutzrecht ist Karsten U. Bartels langjähriger zertifizierter Datenschutzbeauftragter (TÜV). Er ist Geschäftsführer der HK2 Comtection GmbH, unserer Gesellschaft zur Benennung von externen Datenschutzbeauftragten.

Bartels ist Vorstandsmitglied sowie als Leiter der Arbeitsgruppe Recht im Bundesverband IT-Sicherheit e. V. (TeleTrusT). Er fungiert zudem als stellv. Vorsitzender der Arbeitsgemeinschaft IT-Recht des Deutschen Anwaltsvereins e. V. Karsten U. Bartels engagiert sich als CoachReferent und Juror in der Betreuung von Startups beim Gründerwettbewerb Digitale Innovationen sowie beim Businessplan-Wettbewerb Berlin-Brandenburg.


Weitere Beiträge


  • Kundendaten - Augen auf beim Unternehmenskauf
  • With great power comes great responsibility – oder: Sind Betriebsräte eigene Verantwortliche im Sinne der DSGVO?
  • das neue Gesetz zum Schutz von Geschäftsgeheimnissen
  • Ich – einfach Datenschutzvollstrecker
  • „5.000 Euro Bußgeld für fehlende Vereinbarung zur Auftragsverarbeitung!“ oder besser: „Wer um Bußgeld bettelt, wird erhört!“
  • Facebooks “Gefällt mir”-Buttons nicht fashionable
  • Verträge zur gemeinsamen Verantwortlichkeit
  • Domainregistrierung: Inhaberdaten sind genug
  • Das Recht auf Abwägung im Einzelfall
  • DSGVO und journalistische Bildberichterstattung