Wann ist ein Auftragsverarbeitungsvertrag erforderlich?

Immer wenn eine Partei personenbezogene Daten im Auftrag einer anderen verarbeitet; DSGVO Artikel 28 macht eine schriftliche Vereinbarung für dieses Verantwortlicher-Auftragsverarbeiter-Verhältnis obligatorisch.

Wie schnell muss eine Datenpanne zwischen den Parteien gemeldet werden?

Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich benachrichtigen; viele AVs legen eine feste Frist fest (oft 24 bis 72 Stunden), damit der Verantwortliche seiner eigenen Meldepflicht nachkommen kann.

Muss ein AV aktualisiert werden, wenn ein neuer Unterauftragsverarbeiter hinzukommt?

Ja. Der Auftragsverarbeiter muss den Verantwortlichen vorab informieren und eine angemessene Widerspruchsfrist einräumen; das bloße Aktualisieren einer Webseite ohne vorherige Mitteilung genügt der Verpflichtung möglicherweise nicht.

Darf ein Auftragsverarbeiter Daten außerhalb des EWR übermitteln?

Nur mit einer geeigneten Garantie wie Standardvertragsklauseln (SCC), einem Angemessenheitsbeschluss oder verbindlichen internen Datenschutzvorschriften. Der AV sollte den verwendeten Übermittlungsmechanismus angeben.

Was passiert, wenn ein Auftragsverarbeiter außerhalb der Weisungen des Verantwortlichen handelt?

Der Auftragsverarbeiter kann für diese Verarbeitung zum eigenständigen Verantwortlichen werden und dafür die volle DSGVO-Haftung tragen, einschließlich möglicher Bußgelder und Ansprüche betroffener Personen.

Datenverarbeitungsklausel

Regelt, wie ein Auftragsverarbeiter personenbezogene Daten für einen Verantwortlichen verarbeitet, wie es DSGVO Artikel 28 verlangt.

Was es ist

Eine Datenverarbeitungsklausel oder -vereinbarung (DPA) legt die von DSGVO Artikel 28 geforderten Verantwortlicher-Auftragsverarbeiter-Bedingungen fest: Gegenstand, Dauer, Weisungen, Sicherheitsmaßnahmen, Unterauftragsverarbeitung, Verletzungsmeldung und Löschung. Sie ist immer dann obligatorisch, wenn eine Partei personenbezogene Daten im Auftrag einer anderen verarbeitet.

Warum es wichtig ist

Ohne eine konforme DPA verstoßen beide Parteien gegen die DSGVO und riskieren Bußgelder und Haftung für Ansprüche betroffener Personen. Die Klausel verteilt Sicherheitspflichten und den Zeitpunkt der Verletzungsmeldung, was bei einem Datenschutzvorfall entscheidend ist.

So wenden Sie sie an

Dokumentieren Sie Art, Zweck, Dauer und Kategorien der Daten und Betroffenen.
Verlangen Sie Verarbeitung nur auf dokumentierten Weisungen und mit angemessenen Sicherheitsmaßnahmen.
Regeln Sie die Genehmigung von Unterauftragsverarbeitern, den Zeitpunkt der Verletzungsmeldung und Prüfungsrechte.
Regeln Sie internationale Übermittlungen mit einer geeigneten Schutzmaßnahme (z.B. SCCs).

Beispielformulierung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierten Weisungen des Verantwortlichen, trifft angemessene technische und organisatorische Maßnahmen und meldet dem Verantwortlichen jede Datenpanne unverzüglich.

Verhandlungstipps

• Verantwortliche sollten eine prompte Verletzungsmeldung (z.B. innerhalb von 24 bis 48 Stunden) und Prüfungsrechte verlangen.
• Auftragsverarbeiter sollten genehmigte Unterauftragsverarbeiter vorab auflisten und einen Änderungsmeldungsmechanismus verwenden.

Häufige Fehler

• Die DPA als optionalen Standardtext zu behandeln statt als verbindliche DSGVO-Anforderung.
• Schutzmaßnahmen für internationale Übermittlungen zu ignorieren, wenn der Auftragsverarbeiter außerhalb des EWR sitzt.

Rechtsquellen

GDPR Art. 28 DSGVO: Pflichten des Auftragsverarbeiters EU-Recht
Niederländisches DSGVO-Ausführungsgesetz (Uitvoeringswet AVG)

Sofern nicht anders angegeben, beziehen sich die Quellen auf Niederländisches Recht (Burgerlijk Wetboek, das niederländische Bürgerliche Gesetzbuch); EU-Instrumente wie die DSGVO gelten in der gesamten EU. Dies sind allgemeine Informationen und keine Rechtsberatung. Andere Rechtsordnungen behandeln diese Konzepte anders. Überprüfen Sie den aktuellen Text und Ihre Situation mit einem qualifizierten Anwalt.

Häufig gestellte Fragen

Häufig gestellte Fragen zu dieser Klausel.