Auftragsverarbeitung

Das BayLDA hat ein AV-Muster nach den neuen Vorgaben der DSGVO bereitgestellt. Darin findet sich auch eine Regelung, die bislang wohl Verantwortlichen und Auftragsverarbeitern nicht bekannt war und in der Praxis noch kaum Beachtung gefunden hat. Danach soll im AV eine Regelung über die Methodik zur Risikobewertung vertraglich festgelegt werden. Ist dies wirklich im AV notwendig? Müssen möglicherweise alle für die DSGVO vorbereiten Vereinbarungen zur Auftragsverarbeitung noch einmal überarbeitet werden?

Muster-AV des BayLDA

Das AV-Muster des BayLDA zur Auftragsverarbeitung kommt für viele Unternehmen, Vereine und Verbände genau zur richtigen Zeit und ist eine wertvolle Hilfestellung. Das Muster finden Sie hier.

Die Vereinbarung soll den Verantwortlichen eine Orientierung dafür geben, wie nach der DSGVO die Vereinbarung zur Auftragsverarbeitung abgefasst werden sollte und letztlich eine Formulierungshilfe darstellen.

In der vorliegenden Musterformulierung findet sich nun folgender Absatz in der Regelung zu den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO:

„(…) Für die auftragsgemäße Verarbeitung personenbezogener Daten wird folgende Methodik zur Risikobewertung verwendet, welche die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten berücksichtigt: (…).“

Damit kommt die Frage auf, ob eine Vereinbarung zur Auftragsverarbeitung auch die Methodik zur Risikobewertung regeln muss, um im Anschluss hieraus die technischen und organisatorischen Maßnahmen festlegen zu können.

Auftragsverarbeitung nach der DSGVO

Die Verarbeitung im Auftrag eines Verantwortlichen muss nach der DSGVO auch geeignete technische und organisatorische Maßnahmen bieten. Nach Art. 28 Abs. 3 Satz 2 lit. c) DSGVO ist in der Vereinbarung insbesondere eine Regelung zu den erforderlichen Maßnahmen gemäß Art. 32 DSGVO vorzusehen. Nach Art. 32 DSGVO ist sowohl der Verantwortliche als auch der Auftragsverarbeiter für die Sicherheit der Verarbeitung verantwortlich. Der Auftragsverarbeiter soll hierzu den Verantwortlichen unterstützen.

Das BayLDA hat in seinem Kurzpapier zur Auftragsverarbeitung nach der DSGVO ebenfalls ausgeführt:

„Für den notwendigen Inhalt des Vertrags gilt weitestgehend das Gleiche wie bisher. Ein wichtiger Bestandteil wird jedoch vor allem die Darstellung der erforderlichen Maßnahmen zur Sicherheit der Verarbeitung nach Art. 32 DS-GVO. Gerade hier mangelt es häufig bei Datenschutzkontrollen“.

Auch das entsprechende Kurzpapier der Datenschutzkonferenz führt hierzu aus:

„Unter anderem muss der Vertrag außerdem vorsehen, dass der Auftragsverarbeiter die gemäß Art. 32 DS-GVO erforderlichen Maßnahmen ergreift“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.