search

Wie müssen der Verantwortliche und der Auftragsverarbeiter ihre Vereinbarung festlegen?

1 Jahrs vor
Kommentare: 0
Ansichten: 134

Show

Das Wichtigste in Kürze

  • Die Auftragsverarbeitung und gemeinsame Verantwortlichkeit regeln, wiepersonenbezogene Daten verarbeitet werden und wer dafür die Verantwortung trägt.
  • Bei einerAuftragsverarbeitung betrautein Auftraggebereinen Auftragnehmer mit der Verarbeitung personenbezogener Daten zu einem bestimmten Zweck (z. B. lässt ein Unternehmen Werbung mit Kundenadressen von einem Lettershop drucken).
  • Der Auftraggeber ist der alleinige Verantwortliche, der Auftragnehmer handelt weisungsgebunden.
  • Bei der gemeinsamen Verantwortlichkeit sind mehrere Stellen gemeinsam zuständig(zum Beispiel innerhalb einer Unternehmensgruppe).
  • Gemeinsam Verantwortliche müssen im Rahmen einer Vereinbarung festlegen, wer welche in der DS-GVO geregelten Pflichten erfüllt.
  • Vertragspartner haften bei gemeinsamer Verantwortlichkeit gesamtschuldnerisch.

In diesem Beitrag

  • Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?
  • Welche Kriterien helfen bei der Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit?
  • Warum ist eine Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit für Unternehmen wichtig?
  • Wer haftet bei der Auftragsverarbeitung bzw. der gemeinsamen Verantwortlichkeit?
  • Welche Regelung muss in welchem Fall angewendet werden?
  • Wann ist die Vertragsgestaltung besonders kompliziert?
  • Was muss bei der konzerninternen Zusammenarbeit bedacht werden?
  • Wie sieht die Unterstützung durch den Datenschutz-Beauftragten aus?
  • Fazit

Die Auftragsverarbeitung und die gemeinsame Verantwortlichkeit im Sinne der DS-GVO sind ein ungleiches Paar. In beiden Fällen ist eine Vereinbarung zwischen den Verantwortlichen nötig. Doch wer diese Verantwortlichen sind, hängt vom jeweiligen Fall ab. Den Unterschied erkennen Sie daran, welche Datenflüsse vorliegen und wer mit wem Daten austauscht:

a) Bei einem Verhältnis zurAuftragsverarbeitungbeauftragt der Verantwortliche einen Auftragnehmer. Der Auftragnehmer ist weisungsgebunden und ist nicht beteiligt an der Entscheidung über die Zwecke und die Mittel der Datenverarbeitung

Beispiel: Ein Unternehmen beauftragt einen Lettershop mit dem Druck personalisierter Werbung und übermittelt ihm dazu die Adressen seiner Kunden. Als Verantwortlicher legt das Unternehmenin einem Auftragsverarbeitungsvertrag (AVV)Zweck (Flyer ausdrucken) und Mittel (geeignete Software) zur Verarbeitung personenbezogener Daten durch den Auftragnehmer fest. Dieser führt dann weisungsgebunden den Auftrag durch.

b) Wenn mehrere Verantwortliche die Verarbeitung der personenbezogenen Daten festlegen, dann greift Art. 26 DS-GVO zur gemeinsamen Verantwortlichkeit. Hier werden die Zwecke der Datenverarbeitung sowie die dafür genutzten Mittel gemeinsam definiert. Eine transparente Vereinbarung regelt dann, wie betroffene Personen ihre Rechte wahrnehmen können.

Beispiel: In einer Organisation übernimmt Unternehmen A die Personalverwaltung für Unternehmen B. Da hier ein gemeinsames Interesse an der Datenverarbeitung vorliegt, legen die zwei Verantwortlichenzusammen Zweck (Personalverwaltung) und Mittel (gemeinsame Personalsoftware) fest. Ein klassischer Fall von Shared Service innerhalb einer Unternehmensgruppe, bei dem in der Regel die gemeinsame Verantwortlichkeit greift.

Welche Kriterien helfen bei der Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit?

Eine Abgrenzung der beiden Regelungen kann kompliziert werden. Im Wesentlichenkommt es darauf an, wie die Datenflüsse vorliegen und wer mit wem Daten austauscht. Folgende Fragen verschaffen Ihnen mehr Klarheit darüber, welche Regelung für die Verarbeitung personenbezogener Daten in Ihrem Fallgilt:

  • Wer entscheidet, welche Daten erhoben werden?
  • Wer bestimmt, wie lange die Daten verarbeitet werden?
  • Wer legt fest, wer Zugriff auf die Daten hat?
  • Wer entscheidet, für welchen Zweck die Daten verarbeitet werden?
  • Wer entscheidet darüber, ob die Daten gelöscht werden dürfen?

Wenn Sie in Ihrer Unternehmenskonstellation mehrere Entscheider ermittelt haben, ist es ein erster Hinweis darauf, dass möglicherweise eine gemeinsame Verantwortlichkeit besteht. Als Nächstes sollten Sie sich an Ihren Datenschutzbeauftragten wenden, um die Verantwortlichkeiten und die zu treffenden Vereinbarungen zwischen allen Beteiligten genauer zu definieren.

Warum ist eine Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit für Unternehmen wichtig?

Bisher gingen viele Unternehmen davon aus, dass bei einer firmenübergreifenden Zusammenarbeit automatisch die Auftragsverarbeitung greift. Spätestens seit dem Inkrafttreten der DS-GVO undeinigen bedeutendenUrteilen des EuGHs(z. B. zum Privacy Shield)ist die gemeinsame Verantwortlichkeit in den Fokus gerückt. Auch Aufsichtsbehörden nehmen das Thema immer ernster. Die Regelungen zu kennen und richtig umzusetzen schützt Unternehmen vor Geldstrafen.

Darüber hinaus ist die genaue Trennung auch wichtig für die Klärung der Frage, welches Unternehmen bei Anliegen rund um Datenschutzanfragen und -verstößen haftet. Die Betroffenenrechte können nämlich bei der gemeinsamen Verantwortlichkeit anders geltend gemacht werden und mehrere Beteiligte involvieren.

Und die Konstellationen abzugrenzen, bringt noch einen weiteren Vorteil: Wer sich mit den Datenflüssen im Unternehmen auseinandersetzt, kann die entsprechenden Prozesse entsprechend optimieren und ggf. Schritte bei der Datenverarbeitung einsparen.

Wer haftet bei der Auftragsverarbeitung bzw. der gemeinsamen Verantwortlichkeit?

Bei der Auftragsverarbeitung entscheidet der Verantwortliche, der den Auftrag zur Datenverarbeitung vergibt, über den Zweck der Verarbeitung. Der Auftragnehmer ist ihm gegenüber weisungsgebunden. Die Rechtsgrundlage für die Verarbeitung liegt in der Verantwortung des Auftraggebers. Seine Gesamtverantwortung umfasst auch die Datenverarbeitung durch den Auftragsverarbeiter mit allen rechtlichen Folgen.

Dazu muss der Verantwortliche vor Auftragsvergabe auch prüfen, ob der Auftragsverarbeiter garantiert in der Lage ist, technische und organisatorische Datenschutzmaßnahmen anzuwenden. Zudem muss er klären, ob der Schutz der Rechte der betroffenen Personen gewährleistet wird. Der Auftragsverarbeiter haftet nur, wenn er die personenbezogenen Daten zu Zwecken verarbeitet, die nicht vom Verantwortlichen festgelegt wurden.

Das ist bei der gemeinsamen Verantwortlichkeit anders. Jeder Verantwortliche braucht eine eigene Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten. Die Verantwortlichen entscheiden gemeinsam über die Zwecke und Mittel der Verarbeitung und nehmen bestimmenden Einfluss auf die Datenverarbeitung. Dabei können die einzelnen Stellen in einem unterschiedlichen Maß mitbestimmen. Trotzdem haften sie bei rechtswidriger Datenverarbeitung gemeinschaftlich.

Welche Regelung muss in welchem Fall angewendet werden?

Für eine praktische Orientierung, wie sich die Regelungen der DS-GVO auslegen lassen, sind die Kurzpapiere der Datenschutzkonferenz (DSK) hilfreich. Dahinter stehen die unabhängigen Datenschutzbehörden des Bundes und der Länder. Eine detaillierte Auslegung zur Auftragsverarbeitung ist im Kurzpapier Nr. 13 der DSK festgehalten. Nähere Informationen zur gemeinsamen Verantwortlichkeit finden Sie im Kurzpapier Nr. 16 der DSK.

Wann ist die Vertragsgestaltung besonders kompliziert?

Die EU-Datenschutz-Grundverordnung (DS-GVO) muss immer angewendet werden, wenn ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter mit Sitz in der EU beteiligt ist. Dabei ist es nicht relevant, ob die Verarbeitung der personenbezogenen Daten in der EU stattfindet. In diesem Fall muss Ihr Unternehmen aber neben einem wirksamen Vertrag ein angemessenes Schutzniveaudurch Garantien wie EU-Standardvertragsklauseln oder Binding Corporate Rules vorweisen.

In diesem Sinne müssen Sie klären, ob eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vorliegt. Wenn die zu verarbeitenden personenbezogenen Daten nicht in der EU erhoben, verarbeitet oder genutzt werden, dann müssen die Verantwortlichen Verträge mit entsprechenden Garantien schließen, die die persönlichen Daten der Betroffenen wie durch die DS-GVO vorgesehen schützen.

Was muss bei der konzerninternen Zusammenarbeit bedacht werden?

Eine weitere Herausforderung liegt in der gemeinsamen Verantwortlichkeit bei einer konzerninternen Zusammenarbeit. Wenn die Personal- oder Kundendaten oder die IT zentral organisiert werden, dann sind die Konzerngesellschaften gemeinsam verantwortlich für die Datenverwaltung. Kommen neue Konzerngesellschaften dazu, müssen die Verträge neu geregelt werden, weil die Datenflüsse ergänzt werden.

Mehr zur konzerninternen Zusammenarbeit finden Sie in unserem Artikel Datenschutz und Datenübermittlung im Konzern – das ist zu beachten.

Wie sieht die Unterstützung durch den Datenschutzbeauftragten aus?

Ein externer Datenschutzbeauftragterkann Unternehmen bei der Klärung der Frage unterstützen, ob in ihrem Fall eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vorliegt. Dazu nimmt er alle Vorgänge zur Datenverarbeitung in ihrer konkreten Konstellation genau unter die Lupe. Außerdem klärt er mit ihnen, ob und inwieweit sie Einwilligungen von Betroffenen einholen und in welchem Rahmen sie diese über die wesentlichen Inhalte der Vereinbarungen informieren müssen.

Fazit

Ob Auftragsverarbeitung oder gemeinsame Verantwortlichkeit vorliegt, hängt davon ab, wer am Austausch und der Verarbeitung der personenbezogenen Daten beteiligt ist. Grundsätzlich gilt: Wer keinen Entscheidungsspielraum hat und nur weisungsgebunden handelt, ist in der Regel ein Auftragsverarbeiter. Verantwortlich für eine personenbezogene Datenverarbeitung ist hingegen, wer über die Zwecke und Mittel der Verarbeitung entscheidet.

Je nach Unternehmenskonstellation kann sich die Ermittlung der richtigen Regelung komplex gestalten. Dennoch ist eine genaue Abgrenzung unbedingt nötig, um die Betroffenenrechte DS-GVO-konform zu wahren und Geldstrafen zu vermeiden. Unternehmen sollten sich daher zunächst mit ihren Datenflüssen auseinandersetzen mithilfe ihres Datenschutzbeauftragten die Verantwortlichkeiten klären.

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Wie müssen der Verantwortliche und der Auftragsverarbeiter ihre Vereinbarung festlegen?

Wer ist die Verantwortliche Stelle bei der Auftragsverarbeitung?

Der Auftraggeber ist der alleinige Verantwortliche, der Auftragnehmer handelt weisungsgebunden. Bei der gemeinsamen Verantwortlichkeit sind mehrere Stellen gemeinsam zuständig (zum Beispiel innerhalb einer Unternehmensgruppe).

Wer ist der Verantwortliche im Datenschutz Wenn es eine Vereinbarung zur Auftragsverarbeitung gibt?

Grundsätzlich ist der Verantwortliche der erste Ansprechpartner für Betroffene und für die Einhaltung der datenschutzrechtlichen Vorgaben zuständig. Das bedeutet aber nicht, dass der Auftragsverarbeiter frei von Haftung wäre.

Was ist in einem Vertrag zwischen Verantwortlichen und auftragsverarbeiter zu vereinbaren?

Er ist verpflichtet mit der Aufsichtsbehörde auf Anfrage zusammen zu arbeiten. Der Auftragsverarbeiter hat Risikoanalysen der Datenanwendungen durchzuführen und den Verantwortlichen bei Erfüllung seiner Pflichten nach der DSGVO zu unterstützen.

Was sind die wichtigsten Pflichten des Verantwortlichen wenn er einen auftragsverarbeiter einsetzt?

Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien dafür bieten, dass die Verarbeitung der personenbezogenen Daten im Einklang mit der Datenschutz-Grundverordnung erfolgt (vgl. Artikel 28 Absatz 1 Datenschutz-Grundverordnung).

wie müssen der verantwortliche und der auftragsverarbeiter ihre vereinbarung festlegen Auftragsverarbeitungsvertrag Muster KOSTENLOS Auftragsverarbeitung DSGVO 28 DSGVO Auftragsverarbeiter Englisch Auftragsverarbeiter Datenschutzerklärung art. 29 dsgvo Auftragsverarbeitungsvertrag DSGVO Muster

zusammenhängende Posts

Olympische Spiele Sportarten früher und heute
Olympische Spiele Sportarten früher und heute

Cindy und Bert - Der Hund von Baskerville Single
Cindy und Bert - Der Hund von Baskerville Single

Wie nennt man eine Person ein Unternehmen welche welches über die Verarbeitung von personenbezogenen Daten entscheidet?
Wie nennt man eine Person ein Unternehmen welche welches über die Verarbeitung von personenbezogenen Daten entscheidet?

Was ist der unterschied zwischen i5 und ein i9
Was ist der unterschied zwischen i5 und ein i9

Wie viel verdient ein schiedsrichter in der champions league
Wie viel verdient ein schiedsrichter in der champions league

Bill und teds verrückte reise durch die zeit netflix
Bill und teds verrückte reise durch die zeit netflix

Die shabos wissen wer der babo ist
Die shabos wissen wer der babo ist

Was ist der Vorteil von einer Reihenschaltung zu einer Parallelschaltung?
Was ist der Vorteil von einer Reihenschaltung zu einer Parallelschaltung?

Wer hat das Lied der Mond ist aufgegangen?
Wer hat das Lied der Mond ist aufgegangen?

Wer erhält die Originalrechnung wenn der Schaden von einer Versicherung reguliert wird?
Wer erhält die Originalrechnung wenn der Schaden von einer Versicherung reguliert wird?

NEUESTEN NACHRICHTEN

What is business ethics How should companies act so that their Behaviour is considered ethical?
1 Jahrs vor . durch AmateurishAnnouncement
Wer sagte Träume nicht dein Leben sondern lebe deinen Traum?
1 Jahrs vor . durch ProgressiveBasin
Wie stehts bei der Frauen WM?
1 Jahrs vor . durch ResonantDialect
Wenn das böse gut wird
1 Jahrs vor . durch HeadlongReformer
Wie spricht man den Namen Mila aus?
1 Jahrs vor . durch ImmenseOutfield
Ist man versichert wenn man krankgeschrieben ist und trotzdem arbeiten geht?
1 Jahrs vor . durch StillProphecy
Which of the following is not a benefit of cloud computing to organizations?
1 Jahrs vor . durch ConcaveMonument
Which of the following do not use a central processing unit for computation?
1 Jahrs vor . durch RoundServitude
Wie fallen Air Force 1 Shadow aus
1 Jahrs vor . durch OutmodedNovella
What does your textbook say about eye contact for public speakers in the US?
1 Jahrs vor . durch StingyAccommodation

Populer

Um

Legal

Hilfe

Sozial

Urheberrechte © © 2024 IlerngutCOM Inc.