Nach der DSGVO müs­sen Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter bekannt­lich eine Ver­ein­ba­rung i.S.v. Art. 28 Abs. 3 DSGVO schlie­ssen (Auf­trags­da­ten­ver­ar­bei­tungs­ver­ein­ba­rung, ADV). Art. 28 Abs. 6 DSGVO sieht vor, dass ADV ggf. auf Stan­dard­ver­trags­klau­seln (Stan­dard Con­trac­tu­al Clau­ses, SSC) beru­hen kön­nen.

Auf die­ser Basis hat die däni­sche Daten­schutz­auf­sichts­be­hör­de dem Euro­päi­schen Daten­schutz­aus­schuss (EDSA) einen Ent­wurf sol­cher SSC vor­ge­legt. Es dürf­te sich dabei wohl um das auf der Web­site der Behör­de ver­füg­ba­re Muster­do­ku­ment ver­füg­ba­re Muster­do­ku­ment han­deln.

Inter­es­sant sind vor allem die fol­gen­den Bemer­kun­gen des EDSA, die sich zwar auch vor­ge­schla­ge­ne SCC bezie­hen, aber auch für ADV in Ein­zel­fäl­len rele­vant sind und bei den Ver­trags­ver­hand­lun­gen von ADV argu­men­ta­tiv ver­wen­det wer­den könn­ten. Sol­che Ver­hand­lun­gen sind in der Pra­xis immer häu­fi­ger und zuneh­mend anspruchs­voll.

  • Gene­rell ist es sinn­voll, sich bei der For­mu­lie­rung der ADV am Wort­laut von Art. 28 DSGVO anzu­leh­nen, um den Ein­druck zu ver­mei­den, dass Abwei­chun­gen beab­sich­tigt sind.
  • Dau­er: ADV soll­ten nicht sepa­rat von der zugrun­de­lie­gen­den Dienst­lei­stungs­ver­ein­ba­rung been­det wer­den kön­nen, solan­ge die Daten­ver­ar­bei­tung fort­dau­ert. In der Pra­xis begin­nen ADV spä­te­stens mit der ersten Daten­ver­ar­bei­tung und enden frü­he­stens bei ihrem Ende.
  • Daten­si­cher­heits­mass­nah­men:
    • Die vom Auf­trags­ver­ar­bei­ter zu tref­fen­den Daten­si­cher­heits­mass­nah­men müs­sen jeweils – also wäh­rend der gesam­ten Dau­er der Auf­trags­ver­ar­bei­tung – den tech­ni­schen Fort­schritt berück­sich­ti­gen.
    • In einem Anhang soll­te der ADV die Min­dest­mass­nah­men fest­le­gen. In der Pra­xis ist das ent­spre­chend einer frü­he­ren Rege­lung des deut­schen BDSG oft noch der Fall; die DSGVO schreibt das aber nicht zwin­gend vor.
  • Unter­be­auf­trag­te:
    • ADV soll­ten in einem Anhang alle vor­ab geneh­mig­ten Unter­be­auf­trag­ten auf­li­sten, damit der Ver­ant­wort­li­che über Ände­run­gen kon­kret infor­miert bleibt. In der Pra­xis erfolgt dies oft nicht, jeden­falls dann nicht, wenn alle Kon­zern­ge­sell­schaf­ten des Auf­trags­ver­ar­bei­ters als Unter­be­auf­trag­te geneh­migt wer­den.
    • Bei neu­en Unter­be­auf­trag­ten muss der Ver­ant­wort­li­che eine ech­te Wahl haben, was u.a. eine ange­mes­se­ne Frist für sein Veto­recht vor­aus­setzt.
    • Der EDSA begrüsst aus­drück­lich die Ver­pflich­tung des Auf­trags­ver­ar­bei­ters, in Unter­auf­trä­gen Direkt­an­sprü­che des Ver­ant­wort­li­chen gegen­über dem Unter­be­auf­trag­ten vor­zu­se­hen, die bspw. bei Insol­venz des Auf­trags­ver­ar­bei­ters grei­fen kön­nen.
    • Der Ver­ant­wort­li­che muss ein Audit­recht direkt beim Unter­be­auf­trag­ten haben.
  • Unter­stüt­zung: ADV soll­ten die Unter­stüt­zungs­pflich­ten des Auf­trags­ver­ar­bei­ters kon­kret regeln. Bspw. soll­ten sie fest­le­gen, ob der Auf­trags­ver­ar­bei­ter Betrof­fe­nen­an­fra­gen nur wei­ter­lei­tet (und wenn ja mit wel­cher Frist) oder nach den Wei­sun­gen des Ver­ant­wort­li­chen bear­bei­tet, und ob er mit Betrof­fe­nen direkt inter­agie­ren darf oder nicht usw.
  • Kon­kre­ti­sie­rung der Ver­ar­bei­tung: Die ADV muss bekannt­lich die Ver­ar­bei­tung kon­kre­ti­sie­ren durch Anga­be von Gegen­stand und Dau­er und von Art und Zweck der Ver­ar­bei­tung, der Art der betrof­fe­nen Per­so­nen­da­ten und der Kate­go­ri­en betrof­fe­ner Per­so­nen. Laut EDSA muss die­se Anga­be „in the most detail­ed pos­si­ble man­ner“ erfol­gen, für jede ein­zel­ne von der ADV erfass­te Ver­ar­bei­tung.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.