DSGVO-Mustervertrag für die Auftragsverarbeitung in Kürze im Mandantenportal verfügbar

Ruft für die meisten Händler schon die Erwähnung der offiziellen deutschen Kurzbezeichnung der Datenschutz-Grundverordnung (DSGVO) kurz vor Ende der amtlichen Übergangsfrist emotionale Turbulenzen hervor, so läuft es selbigen bei dem Begriff der „Auftragsverarbeitung“ sogar kalt den Rücken herunter. Kein anderes rechtliches Konstrukt des neuen Datenschutzrechts ist in den letzten Monaten kontroverser diskutiert, kein anderes ob seines Anwendungsbereichs und seiner Voraussetzungen unpräziser ausgestaltet worden.

Zwar ist durchgedrungen, dass die Auftragsverarbeitung im Angesicht undifferenzierter Formulierungen in Art. 28 DSGVO nunmehr weit auszulegen ist und die im bisherigen BDSG angelegte Differenzierung zwischen einer reinen Funktionsübertragung und einer – strengeren Voraussetzungen unterliegenden – Auftragsverarbeitung weitgehend wegfällt. Dass gerade im Online-Handel, wo Händler zur Gewährleistung der Funktionsfähigkeit ihrer Internetpräsenz, zur Rationalisierung von Abwicklungsprozessen und zur Erhöhung ihrer Reichweite auf verschiedenste Akteure zurückgreifen, vielmals tatbestandliche Datenverarbeitungen im Auftrag vorliegen, ist aber weniger bekannt.

Die Kenntnis dieser Tatsache ist für die Herbeiführung eines DSGVO-konformen Internetauftritts aber von entscheidender Bedeutung, weil Art. 28 Abs. 3 DSGVO für jedes auftragsgebundene Verarbeitungsverhältnis den Abschluss eines Verarbeitungsvertrags mit dem Auftragsverarbeiter verlangt, in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.

Daneben muss dieser Vertrag auch vorsehen, dass der Auftragsverarbeiter

• die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation — verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist
• gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
• alle gemäß Artikel 32 der DSGVO für die Verarbeitungssicherheit erforderlichen Maßnahmen ergreift
• angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte nachzukommen
• unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten (Meldepflichten, Datenschutzfolgenabschätzung) unterstützt
• nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht
• dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung von dessen spezifischen zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Die korrekte Bewertung dahingehend, welche der vielen Verträge mit den verschiedensten Dienstleistern im Online-Handel als tatbestandliche Auftragsverarbeitung zu qualifizieren sind, kommt für juristische Laien ebenso der Unmöglichkeit nahe wie die rechtssichere Ausformulierung eines DSGVO-konformen Auftragsverarbeitungsvertrags.

Die IT-Recht Kanzlei hofft, dass das neue Muster vor dem Hintergrund der bevorstehenden Rechtsänderung zur weiteren Deeskalation beiträgt und ihre Mandanten angesichts des Umstellungsaufwands ein Stück weit entlasten kann.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .