Hessen: Formulierungshilfe für Auftragsverarbeitung

Michael Neuber

Der Hessische Datenschutzbeauftragte hat auf seinen Webseiten eine Formulierungshilfe für Auftagsverarbeitungsverträge gemäß Art. 28 DSGVO veröffentlicht. Unternehmen, die personenbezogene Daten von Dritten (weiter-)verarbeiten lassen benötigen künftig eine entsprechende Vertragsgrundlage nach den Vorgaben der DSGVO. Bislang richteten sich Auftragsdatenverarbeitungen nach § 11 BDSG. Die Übersendung personenbezogener Daten an einen Auftragsverarbeiter ist weiterhin keine Übermittlung. Diese Priviliegierung folgt aus Art. 4 Nr. 10 DSGVO. Zwar liegt auch künftig  die Hauptverantwortung gemäß Art. 5 Abs. 2 DSGVO beim Verantwortlichen; im Rahmen einer Auftragsverarbeitung kommt es nun aber auch zu einer Mitverantwortung des Auftragsverarbeiters.

Der zu beachtende Inhalt eines solchen Vertrages richtet sich nun nach den Vorgaben des Art. 28 DSGVO. In Abs. 1 (zusammen mit Abs. 5) sind die Anforderungen an die Auswahl des Auftragsverarbeiters, in Abs. 2 die Anforderungen an die Einschaltung von Unterauftragnehmern, in Abs. 3 die Anforderungen an den „Auftrag“ zwischen dem Verantwortlichen und dem Auftragsverarbeiter und in Abs. 4 die inhaltlichen Anforderungen an einen Unterauftrag niedergelegt. Die Möglichkeit der Verwendung von Standardvertragsklauseln wird in den Abs. 6–8 geregelt. Abs. 9 regelt Formerfordernisse für den Auftrag und Abs. 10 enthält eine Regelung zur Verantwortlichkeit des Auftragsverarbeiters. Das Weisungsrecht ist in Art. 29 DSGVO geregelt.

Die Formulierungshilfe können Sie hier unter „Publikationen anderer Datenschutzbehörden“ herunterladen.

Passende Stelle im Buch – Kapitel V.2. Auftragsverarbeitung

Kommentar schreiben