Brandmauer-it-security_Verlauf_heller_1920-x-600-px-Banner.jpg

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

7 wichtige Punkte zu einem guten Auftragsverarbeitungsvertrag

Volker Bentz | 01.08.2018 12:00:00 | Lesezeit ca. 3 Minuten

Auftragsverarbeitungsverträge sollen den Schutz der eigenen Daten in fremden Unternehmen garantieren. Damit stellen sie ein wichtiges Element Ihres Datenschutzes dar. Gleichzeitig müssen Sie aber auch immer wieder selbst Auftragsverarbeitungsverträge unterschreiben. Andere Unternehmen müssen ihre Daten schließlich auch schützen. In diesem Artikel erfahren Sie, worauf Sie beim Lesen bzw. Verfassen eines Auftragsverarbeitungsvertrags achten müssen.

 

Was ein Auftragsverarbeitungsvertrag enthalten sollte

  • Allgemeines: Ähnlich wie bei den meisten Verträgen sollten zuerst ein paar allgemeine Dinge geklärt werden. Dazu zählen zum Beispiel Gegenstand und Dauer des Auftrags. Es sollte also schriftlich festgehalten sein, über welche Zeit welche Dienstleistungen erbracht und damit Daten verarbeitet werden.
  • Datenverarbeitung: Ergänzend zu Punkt 1 empfiehlt es sich, vor allem die Datenverarbeitung genauer zu spezifizieren. Es kann hier zum Beispiel die Art, der Zweck und der Umfang der Datenverarbeitung festgehalten werden. Ferner sollte auch auf die Daten an sich näher eingegangen werden und klar sein, um welche personenbezogenen Daten (z.B. Email-Adressen, Telefonnummern...) es sich handelt und welche Personenkategorien betroffen sind.
  • Rechte und Pflichten des Auftragsgebers: Zudem ist festzulegen, welche Rechte und Pflichten der Auftraggeber hat. Beispielsweise kann man vereinbaren, dass der Auftraggeber sich jederzeit ein Bild über den Schutz der Daten machen darf. Weiterhin macht es Sinn, im Auftragsverarbeitungsvertrag festzuhalten, wer die Ansprechpartner/Weisungsempfänger beim Auftragsverarbeiter sind und wer der Auftraggeber ist (z.B. alle Mitglieder der Geschäftsleitung).
  • Pflichten des Auftragsverarbeiters: Als nächstes folgt einer der wichtigsten Punkte. Und zwar soll es nun um die Pflichten des Auftragsverarbeiters gehen. Auch wenn nicht immer die gleichen Pflichten Sinn machen, sollten folgende beispielhafte Punkte in der Regel geklärt sein. Dem Auftragsverarbeiter sollte nicht erlaubt sein, ohne Erlaubnis Kopien von Daten zu erstellen. Er sollte zudem keine Daten an Dritte weitergeben dürfen und sollte die Vertraulichkeit der Daten wahren. Der Auftragsverarbeiter sollte Daten ferner grundsätzlich nur in gesicherten Firmengebäuden aufbewahren und verarbeiten dürfen. Allerdings kommt es wie gesagt auf den Einzelfall an und deshalb kann jeder Auftragsverarbeitungsvertrag andere Pflichten des Auftragsverarbeiters festlegen.
  • Meldepflichten: Ein weiterer wichtiger Punkt sind die Meldepflichten des Auftragsverarbeiters. Es muss klar sein, welche Vorkommnisse wie und wann gemeldet werden müssen.
  • Subunternehmer: Auch sollte geklärt sein, wie mit eventuellen Subunternehmern umgegangen wird. Beispielsweise sollte ein solcher Subunternehmen nur bei Notwendigkeit und nach Absprache mit dem Auftraggeber beauftragt werden. Dabei sollte in der Regel der Auftragsverarbeiter in Ihrem Auftrag sicherstellen, dass die entsprechenden Daten auch beim Subunternehmer sicher sind.

 

Jetzt Blog abonnieren!

 

Technische und organisatorische Maßnahmen und Datenschutzkonzept

Dieser Punkt gehört ergänzend zu den oben genannten dazu. Jeder gute Auftragsverarbeitungsvertrag sollte nämlich ein vernünftiges Datenschutzkonzept enthalten. Dazu gehört auch, die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit nach DSGVO umzusetzen. Dabei spielen vor allem die technischen und organisatorischen Maßnahmen als Mittel zum Erreichen der Schutzziele eine Rolle. Diese müssen so geeignet sein, dass sie langfristig Risiken eindämmen.

Zum Datenschutzkonzept an sich können Sie hier mehr erfahren.

Das könnte Sie auch interessieren: "Wer haftet für die IT Sicherheit im Unternehmen?"

 

Fazit

Überprüfen Sie Auftragsverarbeitungsverträge immer, ob diese Ihren Anforderungen an den Datenschutz gerecht werden bzw. ob Sie die Anforderungen aus dem Auftragsverarbeitungsvertrag erfüllen können. Achten Sie darauf, dass Sie in Ihren AV-Verträgen kein geringeres Datenschutzniveau akzeptieren, als es bei Ihnen im Betrieb vorhanden ist. Daher ist "ein Mehr" an Sicherheit an dieser Stelle immer zu empfehlen, zumal Sie es bei einem erstmal abgeschlossenen Vertrag nicht leicht haben werden, diesen ohne Kündigung auf ein höheres Schutzniveau anzuheben. Bedenken Sie immer: Datenschutz ist - wie eine Kette – nur so stark wie das schwächste Glied!

 

Das könnte Sie auch interessieren: "Wer haftet für die IT Sicherheit im Unternehmen?"

 

Themen: Haftung Geschäftsführer, Datenschutz

Autor: Volker Bentz

Volker Bentz ist seit 1989 im IT-Business tätig. Als Gründer und Gesellschafter prägt er seit über 25 Jahren die Geschicke der BRANDMAUER IT GmbH. Der IT-Experte berät, erstellt und implementiert IT-Lösungen für Unternehmen und Organisationen. Seine langjährigen Erfahrungen im Bereich des IT-Outsourcings und der IT Security machen Ihn zu einem Kenner der Thematik und ersten Ansprechpartner.

Telefon: (+49) 7272 92975 200
E-Mail: v.bentz@brandmauer.de