Die wichtigsten vertraglichen und gesetzlichen Pflichten eines Auftragsverarbeiters
Viele Unternehmen übertragen Aufgaben an externe Dienstleister. Nicht immer, aber in vielen Fällen spricht man dann von Auftragsverarbeitung. Das ist z.B. der Fall, wenn die Steuer- und Lohnbuchhaltung, die Aktenvernichtung, das Website-Hosting oder IT-Dienstleistungen an Dritte übertragen werden. Beide Seiten, Auftraggeber und Auftragnehmer haben dabei gesetzliche Pflichten zu beachten.
Vertragliche und gesetzliche Pflichten des Auftragsverarbeiters
Wichtig ist jedenfalls der Abschluss eines Vertrages zur Auftragsverarbeitung, ohne den es keine Rechtsgrundlage für die Auftragsverarbeitung gibt. Die Vorgaben für solche Verträge sind sehr komplex. Hier die wichtigsten.
Der Auftragsverarbeiter …
… verpflichtet sich, personenbezogene Daten nur nach Weisung des Verantwortlichen zu verarbeiten.
… hat die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit zu verpflichten.
… hat die Pflicht, alle gemäß DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) zur Datensicherheit zu ergreifen und deren Einhaltung zu garantieren.
… darf weitere Auftragsverarbeiter nur dann beauftragen, wenn dafür eine Genehmigung des Auftraggebers vorliegt.
… verpflichtet sich, alle personenbezogenen Daten nach Beendigung des Auftrages zu löschen oder zurückzugeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung dieser Daten besteht.
… muss dem Auftraggeber die Möglichkeit geben, die Einhaltung der Vorgaben zu überprüfen.
… muss ein Verzeichnis über alle Verarbeitungstätigkeiten der Auftragsverarbeitung führen und hat dieses ist der Aufsichtsbehörde oder dem Aufraggeber auf Anfrage zur Verfügung zu stellen.
… muss ggf. einen Datenschutzbeauftragten benennen.
… haftet bei Verletzung seiner Pflichten für die beim Betroffenen eingetretenen immateriellen und materiellen Schäden.
Fazit
Auftragsverarbeiter und Auftraggeber sollten ihre Pflichten nicht auf die leichte Schulter nehmen. Denn werden diese nicht erfüllt, drohen zusätzlich zur oben genannten Haftung je nach Art und Schwere der Pflichtverletzung und unabhängig davon, ob ein Schaden eintritt, schmerzhafte Geldbußen.
Wer als Auftragsverarbeiter bzw. Dienstleister gegenüber dem Auftraggeber auf einem korrekten Auftragsverarbeitungsvertrag besteht, ist schon einen großen Schritt weiter.