+
Auftragsdatenverarbeitung:
Praxishinweise Vertragsgestaltung
Sascha Kremer
Fachanwalt für IT-Recht
Externer Datenschutzb...
+
Wer?
 Sascha Kremer
 Rechtsanwalt, Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter
 Lehrbeauftragter Hochsc...
+
Was?
Überblick
Subunternehmer
Datenschutzkonzept
Auskunft, Prüfung & Kontrollen
Kosten
Haftung & Pönalen
Fazit
Sascha Kr...
+
Abgrenzung
ADV FÜ
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
4
21.4.2015
+
Abgrenzung
Grundsätzliches zur ADV
• Übermittlung personenbezogener Daten (pbD) setzt wegen
des im BDSG statuierten Verb...
+
Abgrenzung
Privilegierung durch ADV
• ADV keine Rechtsvorschrift = kein Erlaubnistatbestand i.S.d. § 4
Abs. 1 BDSG
• Ges...
+
Gesetze
ADV
§ 11
BDSG
§ 80
SGB X
§ 11
DSG-
EKD
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsges...
+
Form
Schriftform
• § 11 Abs. 2 S. 2 BDSG ordnet die Schriftform i.S.v. §
126 BGB an
• Eigenhändige Unterzeichnung
• Nich...
+
Inhalt
Inhalt, § 11 Abs. 2 S. 2 BDSG
• Gegenstand und Dauer des Auftrages
• Umfang, Art und Zweck der vorgesehenen
Erheb...
+
Inhalt
Inhalt, § 11 Abs. 2 S. 2 BDSG (Fortsetzung)
• Berichtigung, Löschung und Sperrung von Daten
• Pflichten des Auftr...
+
Inhalt
Weiterer denkbarer Inhalt
• Kosten der Durchführung der ADV
• Mitwirkungen/Beistellungen des AG
• Kündigung/Laufz...
+
Allgemeine Pflichten des AN
Geltung der ADV-Vereinbarung
Begriffe
Präambel
Struktur einer ADV-Vereinbarung: Beispiel
(1)...
+
Weisungsrecht des AG
Beauftragung von Subunternehmern
Gegenstand der ADV
Informationspflichten & Verhalten bei Störungen...
+
Pflichten des AG
Erteilung von Auskünften
Prüf-, Zutritts und Auskunftsrechte des AG
Datensicherheitskonzept (TOM) des A...
+
Schlussbestimmungen
Laufzeit der ADV-Vereinbarung
Kosten
Haftung der Parteien
Struktur einer ADV-Vereinbarung:
Beispiel ...
+
Subunternehmer
Zulässigkeit
Zustimmung
Mindeststandards
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Ve...
+
Subunternehmer
Zulässigkeit
• § 11 BDSG: Unterbeauftragung grundsätzlich
zulässig
• § 11 Abs. 2 S. 2 Nr. 6 BDSG verpflic...
+
Subunternehmer
Zustimmung
• AG bleibt trotz Leistungskette wegen § 11 Abs. 1 S. 1
BDSG verantwortliche Stelle
• AN muss ...
+
Subunternehmer
AG-freundliche Klausel (Muster)
• „Der AN ist zur Beauftragung eines Subunternehmers/Vorlieferanten nur
b...
+
Subunternehmer
AN-freundliche Klausel (Muster)
• „Der AN ist zur Beauftragung eines Subunternehmers/Vorlieferanten nur b...
+
Subunternehmer
Unter-Unterauftragnehmer
• Unter-Unterauftragsverhältnisse grundsätzlich
zulässig
• Auch mehrstufig, aber...
+
Subunternehmer
AG-freundliche Klausel (Muster)
• „Bedient sich der AN bei der Erbringung der Leistungen
eines Subunterne...
+
Datenschutzkonzept (TOM)
TOM
Aktualisierungen
Nachweise
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Ve...
+
Datenschutzkonzept (TOM)
TOM nach § 9 BDSG
• nicht zwingend in der Vereinbarung selbst
aufzuführen
• Festlegung der TOM ...
+
Datenschutzkonzept (TOM)
TOM - Standardklausel
• „Der AN stellt sicher, bei der
Auftragsdatenverarbeitung die gemäß § 9 ...
+
Datenschutzkonzept (TOM)
Aktualisierungen der TOM
• Vertrag sollte Änderungsklausel für AN enthalten,
anderenfalls dauer...
+
Datenschutzkonzept (TOM)
TOM - Aktualisierungen (Muster)
• „Das Datensicherheitskonzept des AN ist wegen Änderungen
der ...
+
Datenschutzkonzept (TOM)
Nachweise über Einhaltung TOM
• Vernichtung und Löschung von Gegenständen auf
Verlangen
• Verni...
+
Datenschutzkonzept (TOM)
Herausgabe/Löschung von pbD (Muster)
• „Nicht mehr erforderliche pbD sind vom AN unverzüglich a...
+
Datenschutzkonzept (TOM)
Verpflichtung nach § 5 BDSG (Muster)
• „Der AN setzt für den Umgang mit pbD nur solche
Beschäft...
+
DSB
Bestellung Meldepflicht
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
31
...
+
Auskunft, Prüfung & Kontrollen
Art und Weise
Häufigkeit
Mitwirkungen
Sascha Kremer: Auftragsdatenverarbeitung - Praxishi...
+
Auskunft, Prüfung & Kontrollen
Kontrolle durch unabhängige Dritte:
i.d.R. durch Zertifikate oder Testate, Nachweise vom ...
+
Auskunft, Prüfung & Kontrollen
Art und Weise - Musterklausel
• „Der Datenschutzbeauftragte des AG, die für den AG zustän...
+
Auskunft, Prüfung & Kontrollen
Häufigkeit
• Bestimmte Häufigkeit der regelmäßigen Kontrollen nicht
vorgeschrieben
• Vere...
+
Auskunft, Prüfung & Kontrollen
Häufigkeit - Musterklausel
• „Die regelmäßigen Kontrollen finden in der
Regel einmal jähr...
+
Auskunft, Prüfung & Kontrollen
Mitwirkungen - Musterklausel
• „Der AN verpflichtet sich, Erstkontrollen und regelmäßige ...
+
Auskunft, Prüfung & Kontrollen
Mitteilungspflichten des AN
• § 11 Abs. 2 S. 2 Nr. 8 BDSG verlangt
Festlegung, welche Ver...
+
Auskunft, Prüfung & Kontrollen
Mitteilungspflichten – Muster (1)
• „Alle Verstöße des AN, der bei ihm beschäftigten
Pers...
+
Auskunft, Prüfung & Kontrollen
Mitteilungspflichten – Muster (2)
• „Über Maßnahmen der Aufsichtsbehörde nach § 38 Abs. 5...
+
Auskunft, Prüfung & Kontrollen
Weisungsbefugnis des AG
• § 11 Abs. 2 S. 2 Nr. 9 BDSG sieht die Pflicht zur Festlegung
de...
+
Auskunft, Prüfung & Kontrollen
Weisungsbefugnisse – Muster (1)
• „Hinsichtlich der Verfahren der im Auftrag
durchzuführe...
+
Auskunft, Prüfung & Kontrollen
Weisungsbefugnisse – Muster (2)
• „Der AN verpflichtet sich, die ADV ausschließlich im Ra...
+
Kosten
TOM
Auskunft
Audits
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
44
2...
+
Kosten
Überblick
• Ergreifen und kontinuierliches Aufrechterhalten der TOM
und Mitwirkungen verursachen Arbeitsaufwand b...
+
Kosten
Kosten - Musterklausel
• „Kosten, die dem AN durch die Erfüllung seiner
Pflichten aus dieser Vereinbarung entsteh...
+
Haftung
Mängel
Freistellung
Pönalen
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1...
+
Haftung
Überblick
• Haftung des AN beschränkt sich auf
Innenverhältnis zum AG
• Gegenüber Betroffenen haftet AG als
vera...
+
Haftung
Haftung - Musterklausel
• „Die Haftung des AN erstreckt sich auch auf eine Verletzung der Pflichten
durch die Be...
+
Haftung
Vertragsstrafe – AG-freundliches Muster
• Für jeden einzelnen Fall der Verletzung der Verpflichtungen des AN aus...
+
Fazit
 erheblicher Gestaltungsspielraum für beide Parteien
 Erstellung einer ADV-Vereinbarung nach Mustern gefährlich
...
+
Fragen? Fragen!
Sascha Kremer - +49(2238)5408700
sascha.kremer@loginpartners.de
www.loginpartners.de
www.twitter.com/sas...
Nächste SlideShare
Wird geladen in …5
×

Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

3.179 Aufrufe

Veröffentlicht am

Vortrag zur Vertragsgestaltung bei der Auftragsdatenverarbeitung nach § 11 BDSG mit praktischen Hinweisen und Musterklauseln zur Vertragsgestaltung (Update zum Vortrag bei den Infotagen der GDD im Sommer 2014)

Veröffentlicht in: Recht
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
3.179
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
45
Aktionen
Geteilt
0
Downloads
75
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

  1. 1. + Auftragsdatenverarbeitung: Praxishinweise Vertragsgestaltung Sascha Kremer Fachanwalt für IT-Recht Externer Datenschutzbeauftragter
  2. 2. + Wer?  Sascha Kremer  Rechtsanwalt, Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter  Lehrbeauftragter Hochschulen Düsseldorf und Bonn-Rhein-Sieg  Dozent u.a. TÜV Rheinland, BvD, GDD, DataKontext, DGRI/DSRI, DAA, OVS  Agiles, Mobiles, Wolkiges, Virtualisiertes  Social Media (CC-BY-SA 4.0):  www.twitter.com/saschakremer und www.twitter.com/loginpartners  www.slideshare.net/saschakremer  www.nicht.koeln  www.facebook.com/lpkhb  www.cr-online.de/blog 21.4.2015Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 2
  3. 3. + Was? Überblick Subunternehmer Datenschutzkonzept Auskunft, Prüfung & Kontrollen Kosten Haftung & Pönalen Fazit Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 3 21.4.2015
  4. 4. + Abgrenzung ADV FÜ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 4 21.4.2015
  5. 5. + Abgrenzung Grundsätzliches zur ADV • Übermittlung personenbezogener Daten (pbD) setzt wegen des im BDSG statuierten Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG) Gestattung voraus durch • Rechtsvorschrift oder • Einwilligung des Betroffenen • Beachte: kein datenschutzrechtliches Konzernprivileg = jede Übermittlung zwischen Konzernunternehmen eine erlaubnispflichtige Übermittlung Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 5 21.4.2015
  6. 6. + Abgrenzung Privilegierung durch ADV • ADV keine Rechtsvorschrift = kein Erlaubnistatbestand i.S.d. § 4 Abs. 1 BDSG • Gesetzliche Fiktion • Auftragnehmer (AN) ist eigentlich Dritter • AN wird Auftraggeber (AG) als verantwortlicher Stelle zugerechnet • keine erlaubnispflichtige Übermittlung i.S.d. § 3 Abs. 3 Nr. 3 BDSG • AN handelt als verlängerter Arm des AG Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 6 21.4.2015
  7. 7. + Gesetze ADV § 11 BDSG § 80 SGB X § 11 DSG- EKD Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 7 21.4.2015
  8. 8. + Form Schriftform • § 11 Abs. 2 S. 2 BDSG ordnet die Schriftform i.S.v. § 126 BGB an • Eigenhändige Unterzeichnung • Nicht erforderlich ist körperliche Verbindung der einzelnen Blätter • Ersetzung durch elektronische Form i.S.v. § 126a BGB möglich Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 8 21.4.2015
  9. 9. + Inhalt Inhalt, § 11 Abs. 2 S. 2 BDSG • Gegenstand und Dauer des Auftrages • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung, Art der Daten und der Kreis der Betroffenen • Technische und organisatorische Maßnahmen (TOM) Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 9 21.4.2015
  10. 10. + Inhalt Inhalt, § 11 Abs. 2 S. 2 BDSG (Fortsetzung) • Berichtigung, Löschung und Sperrung von Daten • Pflichten des Auftragnehmers nach § 11 Abs. 4 BDSG • Unterauftragsverhältnisse • Duldungs- und Mitwirkungspflichten • Mitzuteilende Verstöße des Auftragnehmers Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 10 21.4.2015
  11. 11. + Inhalt Weiterer denkbarer Inhalt • Kosten der Durchführung der ADV • Mitwirkungen/Beistellungen des AG • Kündigung/Laufzeit • Sonstiges Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 11 21.4.2015
  12. 12. + Allgemeine Pflichten des AN Geltung der ADV-Vereinbarung Begriffe Präambel Struktur einer ADV-Vereinbarung: Beispiel (1) Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 12 21.4.2015
  13. 13. + Weisungsrecht des AG Beauftragung von Subunternehmern Gegenstand der ADV Informationspflichten & Verhalten bei Störungen Struktur einer ADV-Vereinbarung: Beispiel (2) Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 13 21.4.2015
  14. 14. + Pflichten des AG Erteilung von Auskünften Prüf-, Zutritts und Auskunftsrechte des AG Datensicherheitskonzept (TOM) des AN Struktur einer ADV-Vereinbarung: Beispiel (3) Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 14 21.4.2015
  15. 15. + Schlussbestimmungen Laufzeit der ADV-Vereinbarung Kosten Haftung der Parteien Struktur einer ADV-Vereinbarung: Beispiel (4) Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 15 21.4.2015
  16. 16. + Subunternehmer Zulässigkeit Zustimmung Mindeststandards Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 16 21.4.2015
  17. 17. + Subunternehmer Zulässigkeit • § 11 BDSG: Unterbeauftragung grundsätzlich zulässig • § 11 Abs. 2 S. 2 Nr. 6 BDSG verpflichtet die Parteien nur dazu, beim „ob“ Regelungen zum „wie“ zu treffen • Unterbeauftragung kann ausgeschlossen werden (z.B. durch Nichtregelung) Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 17 21.4.2015
  18. 18. + Subunternehmer Zustimmung • AG bleibt trotz Leistungskette wegen § 11 Abs. 1 S. 1 BDSG verantwortliche Stelle • AN muss daher über Unterauftragsverhältnisse informieren • AG-freundliche Verträge sehen Zustimmungsvorbehalt vor • AN-freundliche Verträge bestimmen Verweigerungsrecht nur aus wichtigem Grund Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 18 21.4.2015
  19. 19. + Subunternehmer AG-freundliche Klausel (Muster) • „Der AN ist zur Beauftragung eines Subunternehmers/Vorlieferanten nur berechtigt, wenn (a) der AG der Beauftragung des Subunternehmers/Vorlieferanten vor dessen erstmaligem Tätigwerden schriftlich zugestimmt hat, (b) dem AG im Verhältnis zum Subunternehmer/Vorlieferanten vergleichbare Prüf-, Auskunfts- und Zutrittsrechte wie gegenüber dem AN eingeräumt werden, und (c) der Subunternehmer/Vorlieferant seinen Sitz innerhalb von EU/EWR genommen hat, seine Leistungen als Subunternehmer/Vorlieferant des AN nur innerhalb von EU/EWR erbringt und den Anforderungen der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie den im jeweiligen Mitgliedsland getroffenen nationalen Regelungen zur Umsetzung der vorgenannten Richtlinie genügt.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 19 21.4.2015
  20. 20. + Subunternehmer AN-freundliche Klausel (Muster) • „Der AN ist zur Beauftragung eines Subunternehmers/Vorlieferanten nur berechtigt, wenn (a) dem AG im Verhältnis zum Subunternehmer/Vorlieferanten mindestens den Anforderungen dieser Vereinbarung entsprechende Prüf-, Auskunfts- und Zutrittsrechte unmittelbar gegenüber dem Subunternehmer/Vorlieferanten eingeräumt werden, und (b) der Subunternehmer/Vorlieferant seinen Sitz innerhalb von EU/EWR genommen hat, seine Leistungen als Subunternehmer/Vorlieferant des AN nur innerhalb von EU/EWR erbringt und den Anforderungen der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie den im jeweiligen Mitgliedsland getroffenen nationalen Regelungen zur Umsetzung der vorgenannten Richtlinie genügt. Der AN wird auf Verlangen des AG diesem die beauftragten Subunternehmer/Vorlieferanten benennen.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 20 21.4.2015
  21. 21. + Subunternehmer Unter-Unterauftragnehmer • Unter-Unterauftragsverhältnisse grundsätzlich zulässig • Auch mehrstufig, aber Gefahr: Aushöhlung der Stellung des AG als „Herr der Daten“ • Mindestregelung: Durchgriff des AG durch Kotroll- und Weisungsbefugnisse auf Unter- Unterauftragnehmer Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 21 21.4.2015
  22. 22. + Subunternehmer AG-freundliche Klausel (Muster) • „Bedient sich der AN bei der Erbringung der Leistungen eines Subunternehmers/Vorlieferanten, wird der AN jederzeit auf Verlangen des AG diesem die Dokumentation der vom AN dort durchgeführten Erstkontrolle und regelmäßigen Kontrollen zugänglich machen. Der AN ist auf Verlangen des AG verpflichtet, die regelmäßigen Kontrollen bei den Subunternehmern/Vorlieferanten in angemessener Frist durchzuführen.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 22 21.4.2015
  23. 23. + Datenschutzkonzept (TOM) TOM Aktualisierungen Nachweise Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 23 21.4.2015
  24. 24. + Datenschutzkonzept (TOM) TOM nach § 9 BDSG • nicht zwingend in der Vereinbarung selbst aufzuführen • Festlegung der TOM regelmäßig in Anlage „Datenschutzkonzept“ • Beachte: Schriftformerfordernis aus § 11 Abs. 2 S. 2 BDSG gilt wegen § 11 Abs. 2 S. 2 Nr. 3 BDSG auch für Anlage TOM Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 24 21.4.2015
  25. 25. + Datenschutzkonzept (TOM) TOM - Standardklausel • „Der AN stellt sicher, bei der Auftragsdatenverarbeitung die gemäß § 9 BDSG und Anlage bzw. § 78a SGB X erforderlichen technischen und organisatorischen Maßnahmen [auf seine Kosten] zu treffen. Diese Maßnahmen sind in einem Datensicherheitskonzept des AN festgeschrieben, dass dieser Vereinbarung als Anlage beigefügt ist.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 25 21.4.2015
  26. 26. + Datenschutzkonzept (TOM) Aktualisierungen der TOM • Vertrag sollte Änderungsklausel für AN enthalten, anderenfalls dauerhafte Festlegung auf bestimmte Maßnahmen • Absicherung des AG durch Zusage des AN, dass Änderungen stets mindestens das Schutzniveau im Zeitpunkt des Vertragsschlusses erhalten müssen • Beachte: Schriftformerfordernis aus § 11 Abs. 2 S. 2 BDSG gilt auch für Änderungen wegen § 11 Abs. 2 S. 2 Nr. 3 BDSG Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 26 21.4.2015
  27. 27. + Datenschutzkonzept (TOM) TOM - Aktualisierungen (Muster) • „Das Datensicherheitskonzept des AN ist wegen Änderungen der gesetzlichen Rahmenbedingungen sowie zwingender gerichtlicher oder behördlicher Vorgaben gegenüber einer der Parteien fortzuschreiben. Im Übrigen ist der AN zur Fortschreibung des Datensicherheitskonzepts berechtigt, aber nicht verpflichtet. Der AN sichert zu, dass durch derartige Fortschreibungen das im Zeitpunkt der Unterzeichnung dieser Vereinbarung bestehende Sicherheitsniveau nicht unterschritten, sondern zumindest aufrechterhalten wird.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 27 21.4.2015
  28. 28. + Datenschutzkonzept (TOM) Nachweise über Einhaltung TOM • Vernichtung und Löschung von Gegenständen auf Verlangen • Vernichtung und Löschung von Gegenständen mit Vertragsbeendigung • Problematisch: Sicherungsübereignung von Gegenständen mit pbD an den AG (z.B. auch Datenträger in Endgeräten) Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 28 21.4.2015
  29. 29. + Datenschutzkonzept (TOM) Herausgabe/Löschung von pbD (Muster) • „Nicht mehr erforderliche pbD sind vom AN unverzüglich an den AG herauszugeben oder zu löschen. Auf jederzeitiges Verlangen des Auftraggebers, spätestens aber mit Beendigung des Hauptvertrags, wird der AN alle ihm von dem AG übergebenen und bis dahin noch nicht gelöschten pbD zurückgeben bzw. den Nachweis einer datenschutzgerechten Vernichtung führen, soweit nicht ausnahmsweise berechtigte Gründe des Auftragnehmers im Sinne von § 35 Abs. 3 BDSG bzw. § 84 Abs. 3 SGB X einer Löschung entgegenstehen. Ein Zurückbehaltungsrecht des AN ist ausgeschlossen.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 29 21.4.2015
  30. 30. + Datenschutzkonzept (TOM) Verpflichtung nach § 5 BDSG (Muster) • „Der AN setzt für den Umgang mit pbD nur solche Beschäftigte oder Subunternehmer/Vorlieferanten ein, die entsprechend § 5 BDSG unter Hinweis auf die ordnungswidrigkeits- und strafrechtlichen Folgen auf das das Datengeheimnis schriftlich verpflichtet worden sind. Auf Verlangen des AG wird der AN diese Verpflichtung nachweisen.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 30 21.4.2015
  31. 31. + DSB Bestellung Meldepflicht Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 31 21.4.2015
  32. 32. + Auskunft, Prüfung & Kontrollen Art und Weise Häufigkeit Mitwirkungen Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 32 21.4.2015
  33. 33. + Auskunft, Prüfung & Kontrollen Kontrolle durch unabhängige Dritte: i.d.R. durch Zertifikate oder Testate, Nachweise vom AG auf Eignung, Plausibilität und Vollständigkeit zu prüfen (z.B. ISO 27001 Zertifizierung) Selbstauskünfte: i.d.R. durch vom AN ausgefüllte und dem AG übermittelte Fragebögen Vor-Ort-Kontrolle: Für AG und AN aufwändig und nicht zwingend erforderlich Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 33 21.4.2015
  34. 34. + Auskunft, Prüfung & Kontrollen Art und Weise - Musterklausel • „Der Datenschutzbeauftragte des AG, die für den AG zuständigen Aufsichtsbehörden oder deren Vertreter oder ein sonst von dem AG beauftragter und von Berufs wegen zur Verschwiegenheit Verpflichteter nehmen bei dem AG die Erstkontrolle und die regelmäßigen Kontrollen vor. Erstkontrolle und regelmäßige Kontrollen können nach billigem Ermessen des AG (§ 315 BGB) durch eine Selbstauskunft des AN oder von dem AN nachgewiesene Testate und Zertifizierung Dritter (z.B. Datenschutzaudit, TÜV/ISO-Zertifizierung) ersetzt werden.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 34 21.4.2015
  35. 35. + Auskunft, Prüfung & Kontrollen Häufigkeit • Bestimmte Häufigkeit der regelmäßigen Kontrollen nicht vorgeschrieben • Vereinbarung der Parteien • Abhängig vom Schutzbedürfnis der pbD • LDA Bayern (4. Tätigkeitsbericht 2009/2010): Angemessen sind Prüfungen alle ein bis drei Jahre • Wichtig: AG darf sich nicht der Möglichkeit zu unangekündigten oder gegebenenfalls häufigeren Kontrollen im Vertrag begeben, z.B. falls Unregelmäßigkeiten beim AN auftreten Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 35 21.4.2015
  36. 36. + Auskunft, Prüfung & Kontrollen Häufigkeit - Musterklausel • „Die regelmäßigen Kontrollen finden in der Regel einmal jährlich zu den üblichen Betriebszeiten des AN, ohne Störung anderer Betriebsabläufe und nach einer Ankündigungszeit von mindestens einer Woche statt.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 36 21.4.2015
  37. 37. + Auskunft, Prüfung & Kontrollen Mitwirkungen - Musterklausel • „Der AN verpflichtet sich, Erstkontrollen und regelmäßige Kontrollen zu dulden. Der AN räumt dem AG zu diesem Zweck das Recht ein, sich nach rechtzeitiger Anmeldung zur Prüfung des Betriebsablaufes von der Angemessenheit der vom AN getroffenen organisatorischen und technischen Maßnahmen zur Einhaltung der Erfordernisse der für die ADV einschlägigen Bestimmungen zu überzeugen sowie geschäftliche Unterlagen, für den AG verarbeitete personenbezogene Daten sowie die Datenverarbeitungseinrichtungen des AN einzusehen und zu diesem Zweck erforderliche Auskünfte in einem dem AN zumutbaren Umfang bei diesem einzuholen.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 37 21.4.2015
  38. 38. + Auskunft, Prüfung & Kontrollen Mitteilungspflichten des AN • § 11 Abs. 2 S. 2 Nr. 8 BDSG verlangt Festlegung, welche Verstöße des AN Mitteilungspflichten gegenüber dem AG auslösen sollen • Einfache Lösung: alle Verstöße Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 38 21.4.2015
  39. 39. + Auskunft, Prüfung & Kontrollen Mitteilungspflichten – Muster (1) • „Alle Verstöße des AN, der bei ihm beschäftigten Personen und der für ihn tätigen Subunternehmer/Vorlieferanten einschließlich etwaiger Unter-Unterauftragnehmer gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen sind dem AG mitzuteilen.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 39 21.4.2015
  40. 40. + Auskunft, Prüfung & Kontrollen Mitteilungspflichten – Muster (2) • „Über Maßnahmen der Aufsichtsbehörde nach § 38 Abs. 5 BDSG sowie über Ermittlungsmaßnahmen nach §§ 43, 44 BDSG bzw. §§ 85, 85a SGB X wird der AN den AG unaufgefordert in Kenntnis setzen, sofern hierdurch die ADV wegen personenbezogener Daten aus dem Geschäftsbereich des AG betroffen ist. Dem AN ist bekannt, dass nach § 42a BDSG bzw. § 83a SGB X Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten durch Dritte bestehen können. Stellt der AN fest, dass die Voraussetzungen einer solchen Informationspflicht wegen der Datenverarbeitung für den AG vorliegen könnten, teilt der AN dies dem AG unverzüglich mit.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 40 21.4.2015
  41. 41. + Auskunft, Prüfung & Kontrollen Weisungsbefugnis des AG • § 11 Abs. 2 S. 2 Nr. 9 BDSG sieht die Pflicht zur Festlegung des Umfangs von Weisungsbefugnissen vor • Weisungsbefugnisse sind tatsächlich nicht verhandelbar, da AN nur „verlängerter Arm“ des AG ist • Einschränkungen der Weisungsbefugnisse lassen Privilegierung der ADV vollständig entfallen • Beachte: auftragsbezogene Weisungen sind wegen § 11 Abs. 2 S. 2 BDSG schriftlich zu erteilen Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 41 21.4.2015
  42. 42. + Auskunft, Prüfung & Kontrollen Weisungsbefugnisse – Muster (1) • „Hinsichtlich der Verfahren der im Auftrag durchzuführenden Datenverarbeitungen behält sich der AG ein vollumfängliches Weisungsrecht vor.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 42 21.4.2015
  43. 43. + Auskunft, Prüfung & Kontrollen Weisungsbefugnisse – Muster (2) • „Der AN verpflichtet sich, die ADV ausschließlich im Rahmen des Vertrags und der Weisungen des AG durchzuführen. Weisungen für die ADV hat der AG dem AN schriftlich mitzuteilen. Mündlich durch den AG erteilte Weisungen bedürfen der späteren schriftlichen Bestätigung. Der AN hat den AG unverzüglich darauf hinzuweisen, wenn eine Weisung des AG nach Ansicht des AN gegen das BDSG oder andere gesetzliche Vorschriften verstößt. Der AN ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis der AG die Weisung überprüft und gegenüber dem AN als auszuführende Weisung bestätigt hat. [Entstehen dem AN durch die Weisung des AG Kosten oder Aufwendungen für die Erbringung von Leistungen, die nicht mehr Gegenstand des Vertrags sind und über diesen vergütet werden, kann der AN diese Kosten oder Aufwendungen dem AG entsprechend der Regelungen im Vertrag, im Übrigen nach Maßgabe des im Zeitpunkt der Leistungserbringung gültigen Preisverzeichnisses des AN, in Rechnung stellen.]“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 43 21.4.2015
  44. 44. + Kosten TOM Auskunft Audits Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 44 21.4.2015
  45. 45. + Kosten Überblick • Ergreifen und kontinuierliches Aufrechterhalten der TOM und Mitwirkungen verursachen Arbeitsaufwand beim AN • Regelungen über Kosten sollten vertraglich vereinbart werden • Ohne Vereinbarung: AN kann Anspruch auf Aufwendungsersatz (z.B. aus § 670 BGB analog) zustehen Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 45 21.4.2015
  46. 46. + Kosten Kosten - Musterklausel • „Kosten, die dem AN durch die Erfüllung seiner Pflichten aus dieser Vereinbarung entstehen, trägt der AN vorbehaltlich einer abweichenden Regelung in dieser Vereinbarung selbst. Die Kosten sind im Zweifelsfall mit der im Hauptvertrag vereinbarten Vergütung des AG abgegolten.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 46 21.4.2015
  47. 47. + Haftung Mängel Freistellung Pönalen Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 47 21.4.2015
  48. 48. + Haftung Überblick • Haftung des AN beschränkt sich auf Innenverhältnis zum AG • Gegenüber Betroffenen haftet AG als verantwortliche Stelle • Absicherung Pflichten aus Vereinbarung ADV durch AG ggf. über Vertragsstrafen Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 48 21.4.2015
  49. 49. + Haftung Haftung - Musterklausel • „Die Haftung des AN erstreckt sich auch auf eine Verletzung der Pflichten durch die Beschäftigten des AN sowie dessen Subunternehmer/Vorlieferanten einschließlich derer Unter-Unterauftragnehmer. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung durch den AN nach dieser Vereinbarung erleidet, bleibt der AG gegenüber dem Betroffenen als verantwortliche Stelle im Sinne des BDSG verantwortlich. Soweit der AG zum Schadenersatz gegenüber dem Betroffenen verpflichtet ist, bleibt der Rückgriff auf den AN nach Maßgabe dieser Vereinbarung oder des Hauptvertrags, hilfsweise nach den gesetzlichen Bestimmungen, vorbehalten.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 49 21.4.2015
  50. 50. + Haftung Vertragsstrafe – AG-freundliches Muster • Für jeden einzelnen Fall der Verletzung der Verpflichtungen des AN aus dieser Vereinbarung verpflichtet sich der AN zur Zahlung einer Vertragsstrafe von XXXX,- Euro (in Worten: XXXX Euro) an den AG. Die Verpflichtung zur Zahlung einer Vertragsstrafe gilt nicht, wenn der AN die Pflichtverletzung nicht zu vertreten hat. Die Vertragsstrafe wird auf etwaige Schadensersatzansprüche vom AG aus der Verletzung dieser Vereinbarung angerechnet. Die weitere Erfüllung der Verpflichtungen aus dieser Vereinbarung durch den AN sowie die Geltendmachung anderer oder weitergehender Ansprüche durch den AG bleibt von der Verpflichtung zur Zahlung einer Vertragsstrafe unberührt.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 50 21.4.2015
  51. 51. + Fazit  erheblicher Gestaltungsspielraum für beide Parteien  Erstellung einer ADV-Vereinbarung nach Mustern gefährlich  Gestaltung maßgeblich von Stellung AN/AG abhängig  Kosten- und Aufwandsfolgen sind zu berücksichtigen Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 51 21.4.2015
  52. 52. + Fragen? Fragen! Sascha Kremer - +49(2238)5408700 sascha.kremer@loginpartners.de www.loginpartners.de www.twitter.com/saschakremer www.facebook.com/lpkhb

×