SlideShare ist ein Scribd-Unternehmen logo
1 von 52
Downloaden Sie, um offline zu lesen
+
Auftragsdatenverarbeitung:
Praxishinweise Vertragsgestaltung
Sascha Kremer
Fachanwalt für IT-Recht
Externer Datenschutzbeauftragter
+
Wer?
 Sascha Kremer
 Rechtsanwalt, Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter
 Lehrbeauftragter Hochschulen Düsseldorf und Bonn-Rhein-Sieg
 Dozent u.a. TÜV Rheinland, BvD, GDD, DataKontext, DGRI/DSRI, DAA, OVS
 Agiles, Mobiles, Wolkiges, Virtualisiertes
 Social Media (CC-BY-SA 4.0):
 www.twitter.com/saschakremer und www.twitter.com/loginpartners
 www.slideshare.net/saschakremer
 www.nicht.koeln
 www.facebook.com/lpkhb
 www.cr-online.de/blog
21.4.2015Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
2
+
Was?
Überblick
Subunternehmer
Datenschutzkonzept
Auskunft, Prüfung & Kontrollen
Kosten
Haftung & Pönalen
Fazit
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
3
21.4.2015
+
Abgrenzung
ADV FÜ
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
4
21.4.2015
+
Abgrenzung
Grundsätzliches zur ADV
• Übermittlung personenbezogener Daten (pbD) setzt wegen
des im BDSG statuierten Verbot mit Erlaubnisvorbehalt (§ 4
Abs. 1 BDSG) Gestattung voraus durch
• Rechtsvorschrift oder
• Einwilligung des Betroffenen
• Beachte: kein datenschutzrechtliches Konzernprivileg =
jede Übermittlung zwischen Konzernunternehmen eine
erlaubnispflichtige Übermittlung
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
5
21.4.2015
+
Abgrenzung
Privilegierung durch ADV
• ADV keine Rechtsvorschrift = kein Erlaubnistatbestand i.S.d. § 4
Abs. 1 BDSG
• Gesetzliche Fiktion
• Auftragnehmer (AN) ist eigentlich Dritter
• AN wird Auftraggeber (AG) als verantwortlicher Stelle zugerechnet
• keine erlaubnispflichtige Übermittlung i.S.d. § 3 Abs. 3 Nr. 3 BDSG
• AN handelt als verlängerter Arm des AG
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
6
21.4.2015
+
Gesetze
ADV
§ 11
BDSG
§ 80
SGB X
§ 11
DSG-
EKD
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
7
21.4.2015
+
Form
Schriftform
• § 11 Abs. 2 S. 2 BDSG ordnet die Schriftform i.S.v. §
126 BGB an
• Eigenhändige Unterzeichnung
• Nicht erforderlich ist körperliche Verbindung der
einzelnen Blätter
• Ersetzung durch elektronische Form i.S.v. § 126a
BGB möglich
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
8
21.4.2015
+
Inhalt
Inhalt, § 11 Abs. 2 S. 2 BDSG
• Gegenstand und Dauer des Auftrages
• Umfang, Art und Zweck der vorgesehenen
Erhebung, Verarbeitung oder Nutzung, Art der
Daten und der Kreis der Betroffenen
• Technische und organisatorische Maßnahmen
(TOM)
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
9
21.4.2015
+
Inhalt
Inhalt, § 11 Abs. 2 S. 2 BDSG (Fortsetzung)
• Berichtigung, Löschung und Sperrung von Daten
• Pflichten des Auftragnehmers nach § 11 Abs. 4 BDSG
• Unterauftragsverhältnisse
• Duldungs- und Mitwirkungspflichten
• Mitzuteilende Verstöße des Auftragnehmers
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
10
21.4.2015
+
Inhalt
Weiterer denkbarer Inhalt
• Kosten der Durchführung der ADV
• Mitwirkungen/Beistellungen des AG
• Kündigung/Laufzeit
• Sonstiges
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
11
21.4.2015
+
Allgemeine Pflichten des AN
Geltung der ADV-Vereinbarung
Begriffe
Präambel
Struktur einer ADV-Vereinbarung: Beispiel
(1)
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
12
21.4.2015
+
Weisungsrecht des AG
Beauftragung von Subunternehmern
Gegenstand der ADV
Informationspflichten & Verhalten bei Störungen
Struktur einer ADV-Vereinbarung: Beispiel
(2)
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
13
21.4.2015
+
Pflichten des AG
Erteilung von Auskünften
Prüf-, Zutritts und Auskunftsrechte des AG
Datensicherheitskonzept (TOM) des AN
Struktur einer ADV-Vereinbarung:
Beispiel (3)
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
14
21.4.2015
+
Schlussbestimmungen
Laufzeit der ADV-Vereinbarung
Kosten
Haftung der Parteien
Struktur einer ADV-Vereinbarung:
Beispiel (4)
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
15
21.4.2015
+
Subunternehmer
Zulässigkeit
Zustimmung
Mindeststandards
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
16
21.4.2015
+
Subunternehmer
Zulässigkeit
• § 11 BDSG: Unterbeauftragung grundsätzlich
zulässig
• § 11 Abs. 2 S. 2 Nr. 6 BDSG verpflichtet die Parteien
nur dazu, beim „ob“ Regelungen zum „wie“ zu
treffen
• Unterbeauftragung kann ausgeschlossen werden
(z.B. durch Nichtregelung)
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
17
21.4.2015
+
Subunternehmer
Zustimmung
• AG bleibt trotz Leistungskette wegen § 11 Abs. 1 S. 1
BDSG verantwortliche Stelle
• AN muss daher über Unterauftragsverhältnisse
informieren
• AG-freundliche Verträge sehen Zustimmungsvorbehalt vor
• AN-freundliche Verträge bestimmen Verweigerungsrecht
nur aus wichtigem Grund
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
18
21.4.2015
+
Subunternehmer
AG-freundliche Klausel (Muster)
• „Der AN ist zur Beauftragung eines Subunternehmers/Vorlieferanten nur
berechtigt, wenn (a) der AG der Beauftragung des
Subunternehmers/Vorlieferanten vor dessen erstmaligem Tätigwerden
schriftlich zugestimmt hat, (b) dem AG im Verhältnis zum
Subunternehmer/Vorlieferanten vergleichbare Prüf-, Auskunfts- und Zutrittsrechte
wie gegenüber dem AN eingeräumt werden, und (c) der
Subunternehmer/Vorlieferant seinen Sitz innerhalb von EU/EWR genommen hat,
seine Leistungen als Subunternehmer/Vorlieferant des AN nur innerhalb von
EU/EWR erbringt und den Anforderungen der Richtlinie 95/46/EG zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum
freien Datenverkehr sowie den im jeweiligen Mitgliedsland getroffenen nationalen
Regelungen zur Umsetzung der vorgenannten Richtlinie genügt.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
19
21.4.2015
+
Subunternehmer
AN-freundliche Klausel (Muster)
• „Der AN ist zur Beauftragung eines Subunternehmers/Vorlieferanten nur berechtigt,
wenn (a) dem AG im Verhältnis zum Subunternehmer/Vorlieferanten mindestens
den Anforderungen dieser Vereinbarung entsprechende Prüf-, Auskunfts- und
Zutrittsrechte unmittelbar gegenüber dem Subunternehmer/Vorlieferanten
eingeräumt werden, und (b) der Subunternehmer/Vorlieferant seinen Sitz innerhalb
von EU/EWR genommen hat, seine Leistungen als Subunternehmer/Vorlieferant
des AN nur innerhalb von EU/EWR erbringt und den Anforderungen der Richtlinie
95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr sowie den im jeweiligen
Mitgliedsland getroffenen nationalen Regelungen zur Umsetzung der
vorgenannten Richtlinie genügt. Der AN wird auf Verlangen des AG diesem die
beauftragten Subunternehmer/Vorlieferanten benennen.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
20
21.4.2015
+
Subunternehmer
Unter-Unterauftragnehmer
• Unter-Unterauftragsverhältnisse grundsätzlich
zulässig
• Auch mehrstufig, aber Gefahr: Aushöhlung der
Stellung des AG als „Herr der Daten“
• Mindestregelung: Durchgriff des AG durch Kotroll-
und Weisungsbefugnisse auf Unter-
Unterauftragnehmer
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
21
21.4.2015
+
Subunternehmer
AG-freundliche Klausel (Muster)
• „Bedient sich der AN bei der Erbringung der Leistungen
eines Subunternehmers/Vorlieferanten, wird der AN
jederzeit auf Verlangen des AG diesem die Dokumentation
der vom AN dort durchgeführten Erstkontrolle und
regelmäßigen Kontrollen zugänglich machen. Der AN ist
auf Verlangen des AG verpflichtet, die regelmäßigen
Kontrollen bei den Subunternehmern/Vorlieferanten in
angemessener Frist durchzuführen.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
22
21.4.2015
+
Datenschutzkonzept (TOM)
TOM
Aktualisierungen
Nachweise
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
23
21.4.2015
+
Datenschutzkonzept (TOM)
TOM nach § 9 BDSG
• nicht zwingend in der Vereinbarung selbst
aufzuführen
• Festlegung der TOM regelmäßig in Anlage
„Datenschutzkonzept“
• Beachte: Schriftformerfordernis aus § 11 Abs. 2 S. 2
BDSG gilt wegen § 11 Abs. 2 S. 2 Nr. 3 BDSG auch
für Anlage TOM
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
24
21.4.2015
+
Datenschutzkonzept (TOM)
TOM - Standardklausel
• „Der AN stellt sicher, bei der
Auftragsdatenverarbeitung die gemäß § 9 BDSG
und Anlage bzw. § 78a SGB X erforderlichen
technischen und organisatorischen Maßnahmen [auf
seine Kosten] zu treffen. Diese Maßnahmen sind in
einem Datensicherheitskonzept des AN
festgeschrieben, dass dieser Vereinbarung als
Anlage beigefügt ist.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
25
21.4.2015
+
Datenschutzkonzept (TOM)
Aktualisierungen der TOM
• Vertrag sollte Änderungsklausel für AN enthalten,
anderenfalls dauerhafte Festlegung auf bestimmte
Maßnahmen
• Absicherung des AG durch Zusage des AN, dass
Änderungen stets mindestens das Schutzniveau im
Zeitpunkt des Vertragsschlusses erhalten müssen
• Beachte: Schriftformerfordernis aus § 11 Abs. 2 S. 2 BDSG
gilt auch für Änderungen wegen § 11 Abs. 2 S. 2 Nr. 3 BDSG
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
26
21.4.2015
+
Datenschutzkonzept (TOM)
TOM - Aktualisierungen (Muster)
• „Das Datensicherheitskonzept des AN ist wegen Änderungen
der gesetzlichen Rahmenbedingungen sowie zwingender
gerichtlicher oder behördlicher Vorgaben gegenüber einer der
Parteien fortzuschreiben. Im Übrigen ist der AN zur
Fortschreibung des Datensicherheitskonzepts berechtigt, aber
nicht verpflichtet. Der AN sichert zu, dass durch derartige
Fortschreibungen das im Zeitpunkt der Unterzeichnung dieser
Vereinbarung bestehende Sicherheitsniveau nicht
unterschritten, sondern zumindest aufrechterhalten wird.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
27
21.4.2015
+
Datenschutzkonzept (TOM)
Nachweise über Einhaltung TOM
• Vernichtung und Löschung von Gegenständen auf
Verlangen
• Vernichtung und Löschung von Gegenständen mit
Vertragsbeendigung
• Problematisch: Sicherungsübereignung von
Gegenständen mit pbD an den AG (z.B. auch
Datenträger in Endgeräten)
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
28
21.4.2015
+
Datenschutzkonzept (TOM)
Herausgabe/Löschung von pbD (Muster)
• „Nicht mehr erforderliche pbD sind vom AN unverzüglich an den
AG herauszugeben oder zu löschen. Auf jederzeitiges Verlangen
des Auftraggebers, spätestens aber mit Beendigung des
Hauptvertrags, wird der AN alle ihm von dem AG übergebenen
und bis dahin noch nicht gelöschten pbD zurückgeben bzw. den
Nachweis einer datenschutzgerechten Vernichtung führen,
soweit nicht ausnahmsweise berechtigte Gründe des
Auftragnehmers im Sinne von § 35 Abs. 3 BDSG bzw. § 84 Abs. 3
SGB X einer Löschung entgegenstehen. Ein
Zurückbehaltungsrecht des AN ist ausgeschlossen.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
29
21.4.2015
+
Datenschutzkonzept (TOM)
Verpflichtung nach § 5 BDSG (Muster)
• „Der AN setzt für den Umgang mit pbD nur solche
Beschäftigte oder Subunternehmer/Vorlieferanten
ein, die entsprechend § 5 BDSG unter Hinweis auf
die ordnungswidrigkeits- und strafrechtlichen
Folgen auf das das Datengeheimnis schriftlich
verpflichtet worden sind. Auf Verlangen des AG
wird der AN diese Verpflichtung nachweisen.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
30
21.4.2015
+
DSB
Bestellung Meldepflicht
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
31
21.4.2015
+
Auskunft, Prüfung & Kontrollen
Art und Weise
Häufigkeit
Mitwirkungen
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
32
21.4.2015
+
Auskunft, Prüfung & Kontrollen
Kontrolle durch unabhängige Dritte:
i.d.R. durch Zertifikate oder Testate, Nachweise vom AG auf Eignung, Plausibilität und Vollständigkeit zu
prüfen (z.B. ISO 27001 Zertifizierung)
Selbstauskünfte:
i.d.R. durch vom AN ausgefüllte und dem AG übermittelte Fragebögen
Vor-Ort-Kontrolle:
Für AG und AN aufwändig und nicht zwingend erforderlich
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
33
21.4.2015
+
Auskunft, Prüfung & Kontrollen
Art und Weise - Musterklausel
• „Der Datenschutzbeauftragte des AG, die für den AG zuständigen
Aufsichtsbehörden oder deren Vertreter oder ein sonst von dem
AG beauftragter und von Berufs wegen zur Verschwiegenheit
Verpflichteter nehmen bei dem AG die Erstkontrolle und die
regelmäßigen Kontrollen vor. Erstkontrolle und regelmäßige
Kontrollen können nach billigem Ermessen des AG (§ 315 BGB)
durch eine Selbstauskunft des AN oder von dem AN
nachgewiesene Testate und Zertifizierung Dritter (z.B.
Datenschutzaudit, TÜV/ISO-Zertifizierung) ersetzt werden.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
34
21.4.2015
+
Auskunft, Prüfung & Kontrollen
Häufigkeit
• Bestimmte Häufigkeit der regelmäßigen Kontrollen nicht
vorgeschrieben
• Vereinbarung der Parteien
• Abhängig vom Schutzbedürfnis der pbD
• LDA Bayern (4. Tätigkeitsbericht 2009/2010): Angemessen sind
Prüfungen alle ein bis drei Jahre
• Wichtig: AG darf sich nicht der Möglichkeit zu unangekündigten
oder gegebenenfalls häufigeren Kontrollen im Vertrag begeben,
z.B. falls Unregelmäßigkeiten beim AN auftreten
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
35
21.4.2015
+
Auskunft, Prüfung & Kontrollen
Häufigkeit - Musterklausel
• „Die regelmäßigen Kontrollen finden in der
Regel einmal jährlich zu den üblichen
Betriebszeiten des AN, ohne Störung anderer
Betriebsabläufe und nach einer
Ankündigungszeit von mindestens einer Woche
statt.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
36
21.4.2015
+
Auskunft, Prüfung & Kontrollen
Mitwirkungen - Musterklausel
• „Der AN verpflichtet sich, Erstkontrollen und regelmäßige Kontrollen zu
dulden. Der AN räumt dem AG zu diesem Zweck das Recht ein, sich
nach rechtzeitiger Anmeldung zur Prüfung des Betriebsablaufes von der
Angemessenheit der vom AN getroffenen organisatorischen und
technischen Maßnahmen zur Einhaltung der Erfordernisse der für die
ADV einschlägigen Bestimmungen zu überzeugen sowie geschäftliche
Unterlagen, für den AG verarbeitete personenbezogene Daten sowie
die Datenverarbeitungseinrichtungen des AN einzusehen und zu
diesem Zweck erforderliche Auskünfte in einem dem AN zumutbaren
Umfang bei diesem einzuholen.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
37
21.4.2015
+
Auskunft, Prüfung & Kontrollen
Mitteilungspflichten des AN
• § 11 Abs. 2 S. 2 Nr. 8 BDSG verlangt
Festlegung, welche Verstöße des AN
Mitteilungspflichten gegenüber dem AG
auslösen sollen
• Einfache Lösung: alle Verstöße
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
38
21.4.2015
+
Auskunft, Prüfung & Kontrollen
Mitteilungspflichten – Muster (1)
• „Alle Verstöße des AN, der bei ihm beschäftigten
Personen und der für ihn tätigen
Subunternehmer/Vorlieferanten einschließlich etwaiger
Unter-Unterauftragnehmer gegen Vorschriften zum Schutz
personenbezogener Daten oder gegen die im Auftrag
getroffenen Festlegungen sind dem AG mitzuteilen.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
39
21.4.2015
+
Auskunft, Prüfung & Kontrollen
Mitteilungspflichten – Muster (2)
• „Über Maßnahmen der Aufsichtsbehörde nach § 38 Abs. 5 BDSG sowie über
Ermittlungsmaßnahmen nach §§ 43, 44 BDSG bzw. §§ 85, 85a SGB X wird
der AN den AG unaufgefordert in Kenntnis setzen, sofern hierdurch die ADV
wegen personenbezogener Daten aus dem Geschäftsbereich des AG
betroffen ist. Dem AN ist bekannt, dass nach § 42a BDSG bzw. § 83a SGB X
Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten durch
Dritte bestehen können. Stellt der AN fest, dass die Voraussetzungen einer
solchen Informationspflicht wegen der Datenverarbeitung für den AG vorliegen
könnten, teilt der AN dies dem AG unverzüglich mit.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
40
21.4.2015
+
Auskunft, Prüfung & Kontrollen
Weisungsbefugnis des AG
• § 11 Abs. 2 S. 2 Nr. 9 BDSG sieht die Pflicht zur Festlegung
des Umfangs von Weisungsbefugnissen vor
• Weisungsbefugnisse sind tatsächlich nicht verhandelbar, da
AN nur „verlängerter Arm“ des AG ist
• Einschränkungen der Weisungsbefugnisse lassen
Privilegierung der ADV vollständig entfallen
• Beachte: auftragsbezogene Weisungen sind wegen § 11
Abs. 2 S. 2 BDSG schriftlich zu erteilen
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
41
21.4.2015
+
Auskunft, Prüfung & Kontrollen
Weisungsbefugnisse – Muster (1)
• „Hinsichtlich der Verfahren der im Auftrag
durchzuführenden Datenverarbeitungen
behält sich der AG ein vollumfängliches
Weisungsrecht vor.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
42
21.4.2015
+
Auskunft, Prüfung & Kontrollen
Weisungsbefugnisse – Muster (2)
• „Der AN verpflichtet sich, die ADV ausschließlich im Rahmen des Vertrags und der
Weisungen des AG durchzuführen. Weisungen für die ADV hat der AG dem AN schriftlich
mitzuteilen. Mündlich durch den AG erteilte Weisungen bedürfen der späteren schriftlichen
Bestätigung. Der AN hat den AG unverzüglich darauf hinzuweisen, wenn eine Weisung des
AG nach Ansicht des AN gegen das BDSG oder andere gesetzliche Vorschriften verstößt.
Der AN ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen,
bis der AG die Weisung überprüft und gegenüber dem AN als auszuführende Weisung
bestätigt hat. [Entstehen dem AN durch die Weisung des AG Kosten oder Aufwendungen für
die Erbringung von Leistungen, die nicht mehr Gegenstand des Vertrags sind und über
diesen vergütet werden, kann der AN diese Kosten oder Aufwendungen dem AG
entsprechend der Regelungen im Vertrag, im Übrigen nach Maßgabe des im Zeitpunkt der
Leistungserbringung gültigen Preisverzeichnisses des AN, in Rechnung stellen.]“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
43
21.4.2015
+
Kosten
TOM
Auskunft
Audits
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
44
21.4.2015
+
Kosten
Überblick
• Ergreifen und kontinuierliches Aufrechterhalten der TOM
und Mitwirkungen verursachen Arbeitsaufwand beim AN
• Regelungen über Kosten sollten vertraglich vereinbart
werden
• Ohne Vereinbarung: AN kann Anspruch auf
Aufwendungsersatz (z.B. aus § 670 BGB analog)
zustehen
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
45
21.4.2015
+
Kosten
Kosten - Musterklausel
• „Kosten, die dem AN durch die Erfüllung seiner
Pflichten aus dieser Vereinbarung entstehen, trägt
der AN vorbehaltlich einer abweichenden
Regelung in dieser Vereinbarung selbst. Die
Kosten sind im Zweifelsfall mit der im Hauptvertrag
vereinbarten Vergütung des AG abgegolten.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
46
21.4.2015
+
Haftung
Mängel
Freistellung
Pönalen
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
47
21.4.2015
+
Haftung
Überblick
• Haftung des AN beschränkt sich auf
Innenverhältnis zum AG
• Gegenüber Betroffenen haftet AG als
verantwortliche Stelle
• Absicherung Pflichten aus Vereinbarung ADV
durch AG ggf. über Vertragsstrafen
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
48
21.4.2015
+
Haftung
Haftung - Musterklausel
• „Die Haftung des AN erstreckt sich auch auf eine Verletzung der Pflichten
durch die Beschäftigten des AN sowie dessen Subunternehmer/Vorlieferanten
einschließlich derer Unter-Unterauftragnehmer. Für den Ersatz von Schäden,
die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für
den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung durch den
AN nach dieser Vereinbarung erleidet, bleibt der AG gegenüber dem
Betroffenen als verantwortliche Stelle im Sinne des BDSG verantwortlich.
Soweit der AG zum Schadenersatz gegenüber dem Betroffenen verpflichtet ist,
bleibt der Rückgriff auf den AN nach Maßgabe dieser Vereinbarung oder des
Hauptvertrags, hilfsweise nach den gesetzlichen Bestimmungen, vorbehalten.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
49
21.4.2015
+
Haftung
Vertragsstrafe – AG-freundliches Muster
• Für jeden einzelnen Fall der Verletzung der Verpflichtungen des AN aus
dieser Vereinbarung verpflichtet sich der AN zur Zahlung einer
Vertragsstrafe von XXXX,- Euro (in Worten: XXXX Euro) an den AG.
Die Verpflichtung zur Zahlung einer Vertragsstrafe gilt nicht, wenn der
AN die Pflichtverletzung nicht zu vertreten hat. Die Vertragsstrafe wird
auf etwaige Schadensersatzansprüche vom AG aus der Verletzung
dieser Vereinbarung angerechnet. Die weitere Erfüllung der
Verpflichtungen aus dieser Vereinbarung durch den AN sowie die
Geltendmachung anderer oder weitergehender Ansprüche durch den
AG bleibt von der Verpflichtung zur Zahlung einer Vertragsstrafe
unberührt.“
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
50
21.4.2015
+
Fazit
 erheblicher Gestaltungsspielraum für beide Parteien
 Erstellung einer ADV-Vereinbarung nach Mustern gefährlich
 Gestaltung maßgeblich von Stellung AN/AG abhängig
 Kosten- und Aufwandsfolgen sind zu berücksichtigen
Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b)
51
21.4.2015
+
Fragen? Fragen!
Sascha Kremer - +49(2238)5408700
sascha.kremer@loginpartners.de
www.loginpartners.de
www.twitter.com/saschakremer
www.facebook.com/lpkhb

Weitere ähnliche Inhalte

Was ist angesagt?

Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandMichael Rohrlich
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenMichael Rohrlich
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtMichael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Sascha Kremer
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGigya
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch DritteMichael Rohrlich
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische RelevanzVerträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische RelevanzeBusiness-Lotse Potsdam
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)Michael Rohrlich
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Marcus Beckmann
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsMichael Rohrlich
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenMichael Rohrlich
 
Augen auf bei Cloud-Verträgen
Augen auf bei  Cloud-VerträgenAugen auf bei  Cloud-Verträgen
Augen auf bei Cloud-VerträgenOliver_Staffelbach
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiMichael Lanzinger
 

Was ist angesagt? (20)

Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins Ausland
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - German
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch Dritte
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
 
Datenschutz im Internet
Datenschutz im InternetDatenschutz im Internet
Datenschutz im Internet
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
 
Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische RelevanzVerträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
 
Augen auf bei Cloud-Verträgen
Augen auf bei  Cloud-VerträgenAugen auf bei  Cloud-Verträgen
Augen auf bei Cloud-Verträgen
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 

Andere mochten auch

Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Bernd Fuhlert
 
FindLaw | Eddie Bauer Chapter 11
FindLaw | Eddie Bauer Chapter 11FindLaw | Eddie Bauer Chapter 11
FindLaw | Eddie Bauer Chapter 11LegalDocs
 
05 ulrich-eppinger-ch7
05 ulrich-eppinger-ch705 ulrich-eppinger-ch7
05 ulrich-eppinger-ch7Not employed
 
eyepin eCRM Lösungen
eyepin eCRM Lösungeneyepin eCRM Lösungen
eyepin eCRM LösungenMatthias Funk
 
EU-Förderprogramm "Kreatives Europa"
EU-Förderprogramm "Kreatives Europa"EU-Förderprogramm "Kreatives Europa"
EU-Förderprogramm "Kreatives Europa"Christian Henner-Fehr
 
Adobe Interaktive Formulare in SAP ERP
Adobe Interaktive Formulare in SAP ERPAdobe Interaktive Formulare in SAP ERP
Adobe Interaktive Formulare in SAP ERPanthesis GmbH
 
VALORES
VALORESVALORES
VALORESrosi26
 
2 unser schulalltag
2 unser schulalltag2 unser schulalltag
2 unser schulalltag3gymtrip
 
Philosophie und Fatalismus
Philosophie und FatalismusPhilosophie und Fatalismus
Philosophie und Fatalismusmaessjuh
 
Innovationsmanagement als Methode zur Zukunftssicherung von Bibliotheken?
Innovationsmanagement als Methode zur Zukunftssicherung von Bibliotheken?Innovationsmanagement als Methode zur Zukunftssicherung von Bibliotheken?
Innovationsmanagement als Methode zur Zukunftssicherung von Bibliotheken?Rudolf Mumenthaler
 
getPLUS Informationsbroschüre
getPLUS Informationsbroschüre getPLUS Informationsbroschüre
getPLUS Informationsbroschüre doublexclusive
 
Identificacion de los riesgos del internet
Identificacion de los riesgos del internetIdentificacion de los riesgos del internet
Identificacion de los riesgos del internetXhaybe Arzapalo
 
ERP & Mini-PC Komplettlösung für den Mittelstand
ERP & Mini-PC Komplettlösung für den MittelstandERP & Mini-PC Komplettlösung für den Mittelstand
ERP & Mini-PC Komplettlösung für den MittelstandWernerHehenwarter
 

Andere mochten auch (20)

Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013
 
Datenschutz
DatenschutzDatenschutz
Datenschutz
 
FindLaw | Eddie Bauer Chapter 11
FindLaw | Eddie Bauer Chapter 11FindLaw | Eddie Bauer Chapter 11
FindLaw | Eddie Bauer Chapter 11
 
05 ulrich-eppinger-ch7
05 ulrich-eppinger-ch705 ulrich-eppinger-ch7
05 ulrich-eppinger-ch7
 
eyepin eCRM Lösungen
eyepin eCRM Lösungeneyepin eCRM Lösungen
eyepin eCRM Lösungen
 
schau.gmuend Nr.2
schau.gmuend Nr.2schau.gmuend Nr.2
schau.gmuend Nr.2
 
EU-Förderprogramm "Kreatives Europa"
EU-Förderprogramm "Kreatives Europa"EU-Förderprogramm "Kreatives Europa"
EU-Förderprogramm "Kreatives Europa"
 
Adobe Interaktive Formulare in SAP ERP
Adobe Interaktive Formulare in SAP ERPAdobe Interaktive Formulare in SAP ERP
Adobe Interaktive Formulare in SAP ERP
 
VALORES
VALORESVALORES
VALORES
 
2 unser schulalltag
2 unser schulalltag2 unser schulalltag
2 unser schulalltag
 
Philosophie und Fatalismus
Philosophie und FatalismusPhilosophie und Fatalismus
Philosophie und Fatalismus
 
Blues Festival Basel 2014
Blues Festival Basel 2014Blues Festival Basel 2014
Blues Festival Basel 2014
 
Innovationsmanagement als Methode zur Zukunftssicherung von Bibliotheken?
Innovationsmanagement als Methode zur Zukunftssicherung von Bibliotheken?Innovationsmanagement als Methode zur Zukunftssicherung von Bibliotheken?
Innovationsmanagement als Methode zur Zukunftssicherung von Bibliotheken?
 
getPLUS Informationsbroschüre
getPLUS Informationsbroschüre getPLUS Informationsbroschüre
getPLUS Informationsbroschüre
 
Terminología
TerminologíaTerminología
Terminología
 
Planos seriados
Planos seriadosPlanos seriados
Planos seriados
 
schau.gmuend Nr.11
schau.gmuend Nr.11schau.gmuend Nr.11
schau.gmuend Nr.11
 
Identificacion de los riesgos del internet
Identificacion de los riesgos del internetIdentificacion de los riesgos del internet
Identificacion de los riesgos del internet
 
ERP & Mini-PC Komplettlösung für den Mittelstand
ERP & Mini-PC Komplettlösung für den MittelstandERP & Mini-PC Komplettlösung für den Mittelstand
ERP & Mini-PC Komplettlösung für den Mittelstand
 
Plt
PltPlt
Plt
 

Ähnlich wie Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Online-Befragungen: ADV-Vertrag für mehr Sicherheit
Online-Befragungen: ADV-Vertrag für mehr SicherheitOnline-Befragungen: ADV-Vertrag für mehr Sicherheit
Online-Befragungen: ADV-Vertrag für mehr SicherheitLamaPoll
 
«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...
«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...
«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...SOMshare
 
Softwareprojektveträge - Rechtliche Aspekte und Problemfelder bei der Vertrag...
Softwareprojektveträge - Rechtliche Aspekte und Problemfelder bei der Vertrag...Softwareprojektveträge - Rechtliche Aspekte und Problemfelder bei der Vertrag...
Softwareprojektveträge - Rechtliche Aspekte und Problemfelder bei der Vertrag...Marcus Beckmann
 
Cloud Computing nach dem NSA-Skandal, Prism & Co. - CeBit 2014
Cloud Computing nach dem NSA-Skandal, Prism & Co. - CeBit 2014 Cloud Computing nach dem NSA-Skandal, Prism & Co. - CeBit 2014
Cloud Computing nach dem NSA-Skandal, Prism & Co. - CeBit 2014 Marcus Beckmann
 
Lead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector
 
Swiss Cloud Conference 2014: die Folgen des Konkurses des Cloud Anbieters
Swiss Cloud Conference 2014: die Folgen des Konkurses des Cloud AnbietersSwiss Cloud Conference 2014: die Folgen des Konkurses des Cloud Anbieters
Swiss Cloud Conference 2014: die Folgen des Konkurses des Cloud Anbieterstopsoft - inspiring digital business
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...Symposia 360°
 
InfoSocietyDays2016_Referat_Andreas_Fritschi
InfoSocietyDays2016_Referat_Andreas_FritschiInfoSocietyDays2016_Referat_Andreas_Fritschi
InfoSocietyDays2016_Referat_Andreas_FritschiInfoSocietyDays
 
Praxisratgeber Vergaberecht - Freihändige Vergaben gemäß VOL/A
Praxisratgeber Vergaberecht - Freihändige Vergaben gemäß VOL/APraxisratgeber Vergaberecht - Freihändige Vergaben gemäß VOL/A
Praxisratgeber Vergaberecht - Freihändige Vergaben gemäß VOL/AThomas Ferber
 
Burda DiVa Gutachten TÜV
Burda DiVa Gutachten TÜVBurda DiVa Gutachten TÜV
Burda DiVa Gutachten TÜVBurdaDirect
 
GWAVACon 2015: GWAVA + MVP: GoBD und Compliance - was geht mich das an
GWAVACon 2015: GWAVA + MVP: GoBD und Compliance - was geht mich das an GWAVACon 2015: GWAVA + MVP: GoBD und Compliance - was geht mich das an
GWAVACon 2015: GWAVA + MVP: GoBD und Compliance - was geht mich das an GWAVA
 
Datenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertDatenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertBernd Fuhlert
 
Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)
Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)
Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)Agenda Europe 2035
 
Rechtliche Aspekte von Homeoffice, Hybrid Work und Mitarbeiterüberwachung
Rechtliche Aspekte von Homeoffice, Hybrid Work und  MitarbeiterüberwachungRechtliche Aspekte von Homeoffice, Hybrid Work und  Mitarbeiterüberwachung
Rechtliche Aspekte von Homeoffice, Hybrid Work und MitarbeiterüberwachungMarcus Beckmann
 
DiVa - Datenschutz
DiVa - DatenschutzDiVa - Datenschutz
DiVa - DatenschutzBurdaDirect
 
Vergabeverfahren gemäß SektVO
Vergabeverfahren gemäß SektVOVergabeverfahren gemäß SektVO
Vergabeverfahren gemäß SektVOThomas Ferber
 
Praxisratgeber Vergaberecht - Besondere Dringlichkeit bei Vergabeverfahren
Praxisratgeber Vergaberecht - Besondere Dringlichkeit bei VergabeverfahrenPraxisratgeber Vergaberecht - Besondere Dringlichkeit bei Vergabeverfahren
Praxisratgeber Vergaberecht - Besondere Dringlichkeit bei VergabeverfahrenThomas Ferber
 

Ähnlich wie Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung (20)

Online-Befragungen: ADV-Vertrag für mehr Sicherheit
Online-Befragungen: ADV-Vertrag für mehr SicherheitOnline-Befragungen: ADV-Vertrag für mehr Sicherheit
Online-Befragungen: ADV-Vertrag für mehr Sicherheit
 
«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...
«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...
«SOMshare» 22.6.2016: «4 Likes für ein Hallelujah / Beachten Sie die Packungs...
 
Softwareprojektveträge - Rechtliche Aspekte und Problemfelder bei der Vertrag...
Softwareprojektveträge - Rechtliche Aspekte und Problemfelder bei der Vertrag...Softwareprojektveträge - Rechtliche Aspekte und Problemfelder bei der Vertrag...
Softwareprojektveträge - Rechtliche Aspekte und Problemfelder bei der Vertrag...
 
Cloud Computing nach dem NSA-Skandal, Prism & Co. - CeBit 2014
Cloud Computing nach dem NSA-Skandal, Prism & Co. - CeBit 2014 Cloud Computing nach dem NSA-Skandal, Prism & Co. - CeBit 2014
Cloud Computing nach dem NSA-Skandal, Prism & Co. - CeBit 2014
 
Lead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector und Datenschutz
Lead Inspector und Datenschutz
 
Swiss Cloud Conference 2014: die Folgen des Konkurses des Cloud Anbieters
Swiss Cloud Conference 2014: die Folgen des Konkurses des Cloud AnbietersSwiss Cloud Conference 2014: die Folgen des Konkurses des Cloud Anbieters
Swiss Cloud Conference 2014: die Folgen des Konkurses des Cloud Anbieters
 
Datenschutz in der Cloud
Datenschutz in der CloudDatenschutz in der Cloud
Datenschutz in der Cloud
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
 
InfoSocietyDays2016_Referat_Andreas_Fritschi
InfoSocietyDays2016_Referat_Andreas_FritschiInfoSocietyDays2016_Referat_Andreas_Fritschi
InfoSocietyDays2016_Referat_Andreas_Fritschi
 
Praxisratgeber Vergaberecht - Freihändige Vergaben gemäß VOL/A
Praxisratgeber Vergaberecht - Freihändige Vergaben gemäß VOL/APraxisratgeber Vergaberecht - Freihändige Vergaben gemäß VOL/A
Praxisratgeber Vergaberecht - Freihändige Vergaben gemäß VOL/A
 
Burda DiVa Gutachten TÜV
Burda DiVa Gutachten TÜVBurda DiVa Gutachten TÜV
Burda DiVa Gutachten TÜV
 
GWAVACon 2015: GWAVA + MVP: GoBD und Compliance - was geht mich das an
GWAVACon 2015: GWAVA + MVP: GoBD und Compliance - was geht mich das an GWAVACon 2015: GWAVA + MVP: GoBD und Compliance - was geht mich das an
GWAVACon 2015: GWAVA + MVP: GoBD und Compliance - was geht mich das an
 
Datenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertDatenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlert
 
Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)
Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)
Michele Schönherr (d.velop AG), Ing. Nikolaus Proske (d.velop GmbH)
 
Rechtliche Aspekte von Homeoffice, Hybrid Work und Mitarbeiterüberwachung
Rechtliche Aspekte von Homeoffice, Hybrid Work und  MitarbeiterüberwachungRechtliche Aspekte von Homeoffice, Hybrid Work und  Mitarbeiterüberwachung
Rechtliche Aspekte von Homeoffice, Hybrid Work und Mitarbeiterüberwachung
 
DiVa - Datenschutz
DiVa - DatenschutzDiVa - Datenschutz
DiVa - Datenschutz
 
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | UpdateIM16 | Hambur...
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | UpdateIM16 | Hambur...[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | UpdateIM16 | Hambur...
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | UpdateIM16 | Hambur...
 
Vergabeverfahren gemäß SektVO
Vergabeverfahren gemäß SektVOVergabeverfahren gemäß SektVO
Vergabeverfahren gemäß SektVO
 
Praxisratgeber Vergaberecht - Besondere Dringlichkeit bei Vergabeverfahren
Praxisratgeber Vergaberecht - Besondere Dringlichkeit bei VergabeverfahrenPraxisratgeber Vergaberecht - Besondere Dringlichkeit bei Vergabeverfahren
Praxisratgeber Vergaberecht - Besondere Dringlichkeit bei Vergabeverfahren
 
Whitepaper Virtuelle Abnahme im Maschinenbau Juli 2017
Whitepaper Virtuelle Abnahme im Maschinenbau Juli 2017Whitepaper Virtuelle Abnahme im Maschinenbau Juli 2017
Whitepaper Virtuelle Abnahme im Maschinenbau Juli 2017
 

Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

  • 2. + Wer?  Sascha Kremer  Rechtsanwalt, Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter  Lehrbeauftragter Hochschulen Düsseldorf und Bonn-Rhein-Sieg  Dozent u.a. TÜV Rheinland, BvD, GDD, DataKontext, DGRI/DSRI, DAA, OVS  Agiles, Mobiles, Wolkiges, Virtualisiertes  Social Media (CC-BY-SA 4.0):  www.twitter.com/saschakremer und www.twitter.com/loginpartners  www.slideshare.net/saschakremer  www.nicht.koeln  www.facebook.com/lpkhb  www.cr-online.de/blog 21.4.2015Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 2
  • 3. + Was? Überblick Subunternehmer Datenschutzkonzept Auskunft, Prüfung & Kontrollen Kosten Haftung & Pönalen Fazit Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 3 21.4.2015
  • 4. + Abgrenzung ADV FÜ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 4 21.4.2015
  • 5. + Abgrenzung Grundsätzliches zur ADV • Übermittlung personenbezogener Daten (pbD) setzt wegen des im BDSG statuierten Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG) Gestattung voraus durch • Rechtsvorschrift oder • Einwilligung des Betroffenen • Beachte: kein datenschutzrechtliches Konzernprivileg = jede Übermittlung zwischen Konzernunternehmen eine erlaubnispflichtige Übermittlung Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 5 21.4.2015
  • 6. + Abgrenzung Privilegierung durch ADV • ADV keine Rechtsvorschrift = kein Erlaubnistatbestand i.S.d. § 4 Abs. 1 BDSG • Gesetzliche Fiktion • Auftragnehmer (AN) ist eigentlich Dritter • AN wird Auftraggeber (AG) als verantwortlicher Stelle zugerechnet • keine erlaubnispflichtige Übermittlung i.S.d. § 3 Abs. 3 Nr. 3 BDSG • AN handelt als verlängerter Arm des AG Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 6 21.4.2015
  • 7. + Gesetze ADV § 11 BDSG § 80 SGB X § 11 DSG- EKD Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 7 21.4.2015
  • 8. + Form Schriftform • § 11 Abs. 2 S. 2 BDSG ordnet die Schriftform i.S.v. § 126 BGB an • Eigenhändige Unterzeichnung • Nicht erforderlich ist körperliche Verbindung der einzelnen Blätter • Ersetzung durch elektronische Form i.S.v. § 126a BGB möglich Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 8 21.4.2015
  • 9. + Inhalt Inhalt, § 11 Abs. 2 S. 2 BDSG • Gegenstand und Dauer des Auftrages • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung, Art der Daten und der Kreis der Betroffenen • Technische und organisatorische Maßnahmen (TOM) Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 9 21.4.2015
  • 10. + Inhalt Inhalt, § 11 Abs. 2 S. 2 BDSG (Fortsetzung) • Berichtigung, Löschung und Sperrung von Daten • Pflichten des Auftragnehmers nach § 11 Abs. 4 BDSG • Unterauftragsverhältnisse • Duldungs- und Mitwirkungspflichten • Mitzuteilende Verstöße des Auftragnehmers Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 10 21.4.2015
  • 11. + Inhalt Weiterer denkbarer Inhalt • Kosten der Durchführung der ADV • Mitwirkungen/Beistellungen des AG • Kündigung/Laufzeit • Sonstiges Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 11 21.4.2015
  • 12. + Allgemeine Pflichten des AN Geltung der ADV-Vereinbarung Begriffe Präambel Struktur einer ADV-Vereinbarung: Beispiel (1) Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 12 21.4.2015
  • 13. + Weisungsrecht des AG Beauftragung von Subunternehmern Gegenstand der ADV Informationspflichten & Verhalten bei Störungen Struktur einer ADV-Vereinbarung: Beispiel (2) Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 13 21.4.2015
  • 14. + Pflichten des AG Erteilung von Auskünften Prüf-, Zutritts und Auskunftsrechte des AG Datensicherheitskonzept (TOM) des AN Struktur einer ADV-Vereinbarung: Beispiel (3) Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 14 21.4.2015
  • 15. + Schlussbestimmungen Laufzeit der ADV-Vereinbarung Kosten Haftung der Parteien Struktur einer ADV-Vereinbarung: Beispiel (4) Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 15 21.4.2015
  • 17. + Subunternehmer Zulässigkeit • § 11 BDSG: Unterbeauftragung grundsätzlich zulässig • § 11 Abs. 2 S. 2 Nr. 6 BDSG verpflichtet die Parteien nur dazu, beim „ob“ Regelungen zum „wie“ zu treffen • Unterbeauftragung kann ausgeschlossen werden (z.B. durch Nichtregelung) Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 17 21.4.2015
  • 18. + Subunternehmer Zustimmung • AG bleibt trotz Leistungskette wegen § 11 Abs. 1 S. 1 BDSG verantwortliche Stelle • AN muss daher über Unterauftragsverhältnisse informieren • AG-freundliche Verträge sehen Zustimmungsvorbehalt vor • AN-freundliche Verträge bestimmen Verweigerungsrecht nur aus wichtigem Grund Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 18 21.4.2015
  • 19. + Subunternehmer AG-freundliche Klausel (Muster) • „Der AN ist zur Beauftragung eines Subunternehmers/Vorlieferanten nur berechtigt, wenn (a) der AG der Beauftragung des Subunternehmers/Vorlieferanten vor dessen erstmaligem Tätigwerden schriftlich zugestimmt hat, (b) dem AG im Verhältnis zum Subunternehmer/Vorlieferanten vergleichbare Prüf-, Auskunfts- und Zutrittsrechte wie gegenüber dem AN eingeräumt werden, und (c) der Subunternehmer/Vorlieferant seinen Sitz innerhalb von EU/EWR genommen hat, seine Leistungen als Subunternehmer/Vorlieferant des AN nur innerhalb von EU/EWR erbringt und den Anforderungen der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie den im jeweiligen Mitgliedsland getroffenen nationalen Regelungen zur Umsetzung der vorgenannten Richtlinie genügt.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 19 21.4.2015
  • 20. + Subunternehmer AN-freundliche Klausel (Muster) • „Der AN ist zur Beauftragung eines Subunternehmers/Vorlieferanten nur berechtigt, wenn (a) dem AG im Verhältnis zum Subunternehmer/Vorlieferanten mindestens den Anforderungen dieser Vereinbarung entsprechende Prüf-, Auskunfts- und Zutrittsrechte unmittelbar gegenüber dem Subunternehmer/Vorlieferanten eingeräumt werden, und (b) der Subunternehmer/Vorlieferant seinen Sitz innerhalb von EU/EWR genommen hat, seine Leistungen als Subunternehmer/Vorlieferant des AN nur innerhalb von EU/EWR erbringt und den Anforderungen der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie den im jeweiligen Mitgliedsland getroffenen nationalen Regelungen zur Umsetzung der vorgenannten Richtlinie genügt. Der AN wird auf Verlangen des AG diesem die beauftragten Subunternehmer/Vorlieferanten benennen.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 20 21.4.2015
  • 21. + Subunternehmer Unter-Unterauftragnehmer • Unter-Unterauftragsverhältnisse grundsätzlich zulässig • Auch mehrstufig, aber Gefahr: Aushöhlung der Stellung des AG als „Herr der Daten“ • Mindestregelung: Durchgriff des AG durch Kotroll- und Weisungsbefugnisse auf Unter- Unterauftragnehmer Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 21 21.4.2015
  • 22. + Subunternehmer AG-freundliche Klausel (Muster) • „Bedient sich der AN bei der Erbringung der Leistungen eines Subunternehmers/Vorlieferanten, wird der AN jederzeit auf Verlangen des AG diesem die Dokumentation der vom AN dort durchgeführten Erstkontrolle und regelmäßigen Kontrollen zugänglich machen. Der AN ist auf Verlangen des AG verpflichtet, die regelmäßigen Kontrollen bei den Subunternehmern/Vorlieferanten in angemessener Frist durchzuführen.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 22 21.4.2015
  • 23. + Datenschutzkonzept (TOM) TOM Aktualisierungen Nachweise Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 23 21.4.2015
  • 24. + Datenschutzkonzept (TOM) TOM nach § 9 BDSG • nicht zwingend in der Vereinbarung selbst aufzuführen • Festlegung der TOM regelmäßig in Anlage „Datenschutzkonzept“ • Beachte: Schriftformerfordernis aus § 11 Abs. 2 S. 2 BDSG gilt wegen § 11 Abs. 2 S. 2 Nr. 3 BDSG auch für Anlage TOM Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 24 21.4.2015
  • 25. + Datenschutzkonzept (TOM) TOM - Standardklausel • „Der AN stellt sicher, bei der Auftragsdatenverarbeitung die gemäß § 9 BDSG und Anlage bzw. § 78a SGB X erforderlichen technischen und organisatorischen Maßnahmen [auf seine Kosten] zu treffen. Diese Maßnahmen sind in einem Datensicherheitskonzept des AN festgeschrieben, dass dieser Vereinbarung als Anlage beigefügt ist.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 25 21.4.2015
  • 26. + Datenschutzkonzept (TOM) Aktualisierungen der TOM • Vertrag sollte Änderungsklausel für AN enthalten, anderenfalls dauerhafte Festlegung auf bestimmte Maßnahmen • Absicherung des AG durch Zusage des AN, dass Änderungen stets mindestens das Schutzniveau im Zeitpunkt des Vertragsschlusses erhalten müssen • Beachte: Schriftformerfordernis aus § 11 Abs. 2 S. 2 BDSG gilt auch für Änderungen wegen § 11 Abs. 2 S. 2 Nr. 3 BDSG Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 26 21.4.2015
  • 27. + Datenschutzkonzept (TOM) TOM - Aktualisierungen (Muster) • „Das Datensicherheitskonzept des AN ist wegen Änderungen der gesetzlichen Rahmenbedingungen sowie zwingender gerichtlicher oder behördlicher Vorgaben gegenüber einer der Parteien fortzuschreiben. Im Übrigen ist der AN zur Fortschreibung des Datensicherheitskonzepts berechtigt, aber nicht verpflichtet. Der AN sichert zu, dass durch derartige Fortschreibungen das im Zeitpunkt der Unterzeichnung dieser Vereinbarung bestehende Sicherheitsniveau nicht unterschritten, sondern zumindest aufrechterhalten wird.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 27 21.4.2015
  • 28. + Datenschutzkonzept (TOM) Nachweise über Einhaltung TOM • Vernichtung und Löschung von Gegenständen auf Verlangen • Vernichtung und Löschung von Gegenständen mit Vertragsbeendigung • Problematisch: Sicherungsübereignung von Gegenständen mit pbD an den AG (z.B. auch Datenträger in Endgeräten) Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 28 21.4.2015
  • 29. + Datenschutzkonzept (TOM) Herausgabe/Löschung von pbD (Muster) • „Nicht mehr erforderliche pbD sind vom AN unverzüglich an den AG herauszugeben oder zu löschen. Auf jederzeitiges Verlangen des Auftraggebers, spätestens aber mit Beendigung des Hauptvertrags, wird der AN alle ihm von dem AG übergebenen und bis dahin noch nicht gelöschten pbD zurückgeben bzw. den Nachweis einer datenschutzgerechten Vernichtung führen, soweit nicht ausnahmsweise berechtigte Gründe des Auftragnehmers im Sinne von § 35 Abs. 3 BDSG bzw. § 84 Abs. 3 SGB X einer Löschung entgegenstehen. Ein Zurückbehaltungsrecht des AN ist ausgeschlossen.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 29 21.4.2015
  • 30. + Datenschutzkonzept (TOM) Verpflichtung nach § 5 BDSG (Muster) • „Der AN setzt für den Umgang mit pbD nur solche Beschäftigte oder Subunternehmer/Vorlieferanten ein, die entsprechend § 5 BDSG unter Hinweis auf die ordnungswidrigkeits- und strafrechtlichen Folgen auf das das Datengeheimnis schriftlich verpflichtet worden sind. Auf Verlangen des AG wird der AN diese Verpflichtung nachweisen.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 30 21.4.2015
  • 31. + DSB Bestellung Meldepflicht Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 31 21.4.2015
  • 32. + Auskunft, Prüfung & Kontrollen Art und Weise Häufigkeit Mitwirkungen Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 32 21.4.2015
  • 33. + Auskunft, Prüfung & Kontrollen Kontrolle durch unabhängige Dritte: i.d.R. durch Zertifikate oder Testate, Nachweise vom AG auf Eignung, Plausibilität und Vollständigkeit zu prüfen (z.B. ISO 27001 Zertifizierung) Selbstauskünfte: i.d.R. durch vom AN ausgefüllte und dem AG übermittelte Fragebögen Vor-Ort-Kontrolle: Für AG und AN aufwändig und nicht zwingend erforderlich Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 33 21.4.2015
  • 34. + Auskunft, Prüfung & Kontrollen Art und Weise - Musterklausel • „Der Datenschutzbeauftragte des AG, die für den AG zuständigen Aufsichtsbehörden oder deren Vertreter oder ein sonst von dem AG beauftragter und von Berufs wegen zur Verschwiegenheit Verpflichteter nehmen bei dem AG die Erstkontrolle und die regelmäßigen Kontrollen vor. Erstkontrolle und regelmäßige Kontrollen können nach billigem Ermessen des AG (§ 315 BGB) durch eine Selbstauskunft des AN oder von dem AN nachgewiesene Testate und Zertifizierung Dritter (z.B. Datenschutzaudit, TÜV/ISO-Zertifizierung) ersetzt werden.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 34 21.4.2015
  • 35. + Auskunft, Prüfung & Kontrollen Häufigkeit • Bestimmte Häufigkeit der regelmäßigen Kontrollen nicht vorgeschrieben • Vereinbarung der Parteien • Abhängig vom Schutzbedürfnis der pbD • LDA Bayern (4. Tätigkeitsbericht 2009/2010): Angemessen sind Prüfungen alle ein bis drei Jahre • Wichtig: AG darf sich nicht der Möglichkeit zu unangekündigten oder gegebenenfalls häufigeren Kontrollen im Vertrag begeben, z.B. falls Unregelmäßigkeiten beim AN auftreten Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 35 21.4.2015
  • 36. + Auskunft, Prüfung & Kontrollen Häufigkeit - Musterklausel • „Die regelmäßigen Kontrollen finden in der Regel einmal jährlich zu den üblichen Betriebszeiten des AN, ohne Störung anderer Betriebsabläufe und nach einer Ankündigungszeit von mindestens einer Woche statt.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 36 21.4.2015
  • 37. + Auskunft, Prüfung & Kontrollen Mitwirkungen - Musterklausel • „Der AN verpflichtet sich, Erstkontrollen und regelmäßige Kontrollen zu dulden. Der AN räumt dem AG zu diesem Zweck das Recht ein, sich nach rechtzeitiger Anmeldung zur Prüfung des Betriebsablaufes von der Angemessenheit der vom AN getroffenen organisatorischen und technischen Maßnahmen zur Einhaltung der Erfordernisse der für die ADV einschlägigen Bestimmungen zu überzeugen sowie geschäftliche Unterlagen, für den AG verarbeitete personenbezogene Daten sowie die Datenverarbeitungseinrichtungen des AN einzusehen und zu diesem Zweck erforderliche Auskünfte in einem dem AN zumutbaren Umfang bei diesem einzuholen.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 37 21.4.2015
  • 38. + Auskunft, Prüfung & Kontrollen Mitteilungspflichten des AN • § 11 Abs. 2 S. 2 Nr. 8 BDSG verlangt Festlegung, welche Verstöße des AN Mitteilungspflichten gegenüber dem AG auslösen sollen • Einfache Lösung: alle Verstöße Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 38 21.4.2015
  • 39. + Auskunft, Prüfung & Kontrollen Mitteilungspflichten – Muster (1) • „Alle Verstöße des AN, der bei ihm beschäftigten Personen und der für ihn tätigen Subunternehmer/Vorlieferanten einschließlich etwaiger Unter-Unterauftragnehmer gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen sind dem AG mitzuteilen.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 39 21.4.2015
  • 40. + Auskunft, Prüfung & Kontrollen Mitteilungspflichten – Muster (2) • „Über Maßnahmen der Aufsichtsbehörde nach § 38 Abs. 5 BDSG sowie über Ermittlungsmaßnahmen nach §§ 43, 44 BDSG bzw. §§ 85, 85a SGB X wird der AN den AG unaufgefordert in Kenntnis setzen, sofern hierdurch die ADV wegen personenbezogener Daten aus dem Geschäftsbereich des AG betroffen ist. Dem AN ist bekannt, dass nach § 42a BDSG bzw. § 83a SGB X Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten durch Dritte bestehen können. Stellt der AN fest, dass die Voraussetzungen einer solchen Informationspflicht wegen der Datenverarbeitung für den AG vorliegen könnten, teilt der AN dies dem AG unverzüglich mit.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 40 21.4.2015
  • 41. + Auskunft, Prüfung & Kontrollen Weisungsbefugnis des AG • § 11 Abs. 2 S. 2 Nr. 9 BDSG sieht die Pflicht zur Festlegung des Umfangs von Weisungsbefugnissen vor • Weisungsbefugnisse sind tatsächlich nicht verhandelbar, da AN nur „verlängerter Arm“ des AG ist • Einschränkungen der Weisungsbefugnisse lassen Privilegierung der ADV vollständig entfallen • Beachte: auftragsbezogene Weisungen sind wegen § 11 Abs. 2 S. 2 BDSG schriftlich zu erteilen Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 41 21.4.2015
  • 42. + Auskunft, Prüfung & Kontrollen Weisungsbefugnisse – Muster (1) • „Hinsichtlich der Verfahren der im Auftrag durchzuführenden Datenverarbeitungen behält sich der AG ein vollumfängliches Weisungsrecht vor.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 42 21.4.2015
  • 43. + Auskunft, Prüfung & Kontrollen Weisungsbefugnisse – Muster (2) • „Der AN verpflichtet sich, die ADV ausschließlich im Rahmen des Vertrags und der Weisungen des AG durchzuführen. Weisungen für die ADV hat der AG dem AN schriftlich mitzuteilen. Mündlich durch den AG erteilte Weisungen bedürfen der späteren schriftlichen Bestätigung. Der AN hat den AG unverzüglich darauf hinzuweisen, wenn eine Weisung des AG nach Ansicht des AN gegen das BDSG oder andere gesetzliche Vorschriften verstößt. Der AN ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis der AG die Weisung überprüft und gegenüber dem AN als auszuführende Weisung bestätigt hat. [Entstehen dem AN durch die Weisung des AG Kosten oder Aufwendungen für die Erbringung von Leistungen, die nicht mehr Gegenstand des Vertrags sind und über diesen vergütet werden, kann der AN diese Kosten oder Aufwendungen dem AG entsprechend der Regelungen im Vertrag, im Übrigen nach Maßgabe des im Zeitpunkt der Leistungserbringung gültigen Preisverzeichnisses des AN, in Rechnung stellen.]“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 43 21.4.2015
  • 44. + Kosten TOM Auskunft Audits Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 44 21.4.2015
  • 45. + Kosten Überblick • Ergreifen und kontinuierliches Aufrechterhalten der TOM und Mitwirkungen verursachen Arbeitsaufwand beim AN • Regelungen über Kosten sollten vertraglich vereinbart werden • Ohne Vereinbarung: AN kann Anspruch auf Aufwendungsersatz (z.B. aus § 670 BGB analog) zustehen Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 45 21.4.2015
  • 46. + Kosten Kosten - Musterklausel • „Kosten, die dem AN durch die Erfüllung seiner Pflichten aus dieser Vereinbarung entstehen, trägt der AN vorbehaltlich einer abweichenden Regelung in dieser Vereinbarung selbst. Die Kosten sind im Zweifelsfall mit der im Hauptvertrag vereinbarten Vergütung des AG abgegolten.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 46 21.4.2015
  • 47. + Haftung Mängel Freistellung Pönalen Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 47 21.4.2015
  • 48. + Haftung Überblick • Haftung des AN beschränkt sich auf Innenverhältnis zum AG • Gegenüber Betroffenen haftet AG als verantwortliche Stelle • Absicherung Pflichten aus Vereinbarung ADV durch AG ggf. über Vertragsstrafen Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 48 21.4.2015
  • 49. + Haftung Haftung - Musterklausel • „Die Haftung des AN erstreckt sich auch auf eine Verletzung der Pflichten durch die Beschäftigten des AN sowie dessen Subunternehmer/Vorlieferanten einschließlich derer Unter-Unterauftragnehmer. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung durch den AN nach dieser Vereinbarung erleidet, bleibt der AG gegenüber dem Betroffenen als verantwortliche Stelle im Sinne des BDSG verantwortlich. Soweit der AG zum Schadenersatz gegenüber dem Betroffenen verpflichtet ist, bleibt der Rückgriff auf den AN nach Maßgabe dieser Vereinbarung oder des Hauptvertrags, hilfsweise nach den gesetzlichen Bestimmungen, vorbehalten.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 49 21.4.2015
  • 50. + Haftung Vertragsstrafe – AG-freundliches Muster • Für jeden einzelnen Fall der Verletzung der Verpflichtungen des AN aus dieser Vereinbarung verpflichtet sich der AN zur Zahlung einer Vertragsstrafe von XXXX,- Euro (in Worten: XXXX Euro) an den AG. Die Verpflichtung zur Zahlung einer Vertragsstrafe gilt nicht, wenn der AN die Pflichtverletzung nicht zu vertreten hat. Die Vertragsstrafe wird auf etwaige Schadensersatzansprüche vom AG aus der Verletzung dieser Vereinbarung angerechnet. Die weitere Erfüllung der Verpflichtungen aus dieser Vereinbarung durch den AN sowie die Geltendmachung anderer oder weitergehender Ansprüche durch den AG bleibt von der Verpflichtung zur Zahlung einer Vertragsstrafe unberührt.“ Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 50 21.4.2015
  • 51. + Fazit  erheblicher Gestaltungsspielraum für beide Parteien  Erstellung einer ADV-Vereinbarung nach Mustern gefährlich  Gestaltung maßgeblich von Stellung AN/AG abhängig  Kosten- und Aufwandsfolgen sind zu berücksichtigen Sascha Kremer: Auftragsdatenverarbeitung - Praxishinweise zur Vertragsgestaltung (V1.2b) 51 21.4.2015
  • 52. + Fragen? Fragen! Sascha Kremer - +49(2238)5408700 sascha.kremer@loginpartners.de www.loginpartners.de www.twitter.com/saschakremer www.facebook.com/lpkhb