Info-Telefon: +49 (0)201 - 78 82 40 info@trockel-consulting.de

Datenschutz einfach besser machen.

[/db_pb_slide]
[/db_pb_fullwidth_slider]

Modul 4: Drittanbieter – was Sie beachten müssen

Was müssen Sie bezüglich der Auftragsverarbeiter beachten?

Nicht jeder externe Dienstleister, der Zugang zu personenbezogenen Daten von Ihnen bekommt, ist automatisch ein Auftragsverarbeiter. So kannte das BDSG alter Fassung noch die sog. „Funktionsübertragung“, die jedoch in der DSGVO keine Erwähnung mehr findet und daher zur Zeit noch diskutiert wird. Im Falle der Beziehung zu einem steuerlichen Berater wird jedoch zur Zeit trotz des fehlenden Begriffes in der DSGVO auch weiterhin von einer Funktionsübertragung ausgegangen.

Im Falle einer Auftragsverarbeiter-Beziehung brauchen Sie einen AV-Vertrag. Bei einem Auftragsverarbeiter gilt: er handelt in Ihrem expliziten Auftrag und Sie bestimmen als Verantwortlicher Zweck und Mittel der Datenverarbeitung. Diese sind ebenso Bestandteil der AV-Vertrages wie die Vertragsdauer und die durch den Auftragnehmer zu treffenden Maßnahmen zum Schutze der Ihm zur Vertragserfüllung überlassenen personenbezogenen Daten.

Was ist in Bezug auf die Auftragsverarbeiter zu tun?

Mit allen Drittanbietern muss zudem ein Vertrag zur Auftragsverarbeitung (oft auch Auftragsdatenverarbeitung oder kurz AV/AV-Vertrag) geschlossen werden. Dies ist nichts anderes als eine formale Vereinbarung zwischen Ihnen und dem Drittanbieter zur DSGVO-konformen Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten.

Wenn Sie Auftragsverarbeiter außerhalb der EU verwenden, beispielsweise aus den USA, kann es vorkommen, dass diese für Ihre Kunden/Partner keinen AV-Vertrag anbieten. In diesem Fall sollten Sie die Wahl Ihrer Tools neu überdenken. Sie haben hierdurch die Möglichkeit Ihre internen Prozesse zu optimieren und sie gleichzeitig DSGVO-konform zu überarbeiten.

Hinweis: Bei der Zusammenarbeit mit einem Anbieter aus einem Drittstaat ist zu prüfen, ob es sich um einen sicheren oder unsicheren Drittstaat handelt. Als sichere Drittstaaten gelten jene, für die es von der EU einen Angemessenheitsbeschluss gibt, oder US Unternehmen, welche eine Privacy Shield Zertifizierung vorweisen können. Ist dies nicht der Fall, handelt es sich um ein unsicheres Drittland. Dann benötigen Sie ein von der EU vorgegebenes Vertragsmuster, auch „Model Clause“ Vertrag genannt.

Weitere Details finden Sie hier:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en

Überprüfen Sie Ihr Wissen!

[WpProQuiz 1]