News

Archiv

GDD Praxishilfen zur DSGVO Teil 4 – Muster für Auftragsverarbeitungsvertrag

Die Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) hat im Rahmen ihrer Praxishilfen zur DSGVO nun auch einen neuen Mustervertragstext zur Auftragsverarbeitung nach Art. 28 DSGVO veröffentlicht. Die Vorlage ist in Deutsch und Englisch verfügbar und kann auf den Seiten der GDD kostenlos heruntergeladen werden.

ÜBERPRÜFUNG BESTEHENDER VERTRÄGE

Im Zuge der Anpassungen an die neuen Anforderungen der DS-GVO müssen Unternehmen bestehende Vertragsverhältnisse überprüfen und Vertragsmuster für zukünftige Outsourcing-Dienstleistungen anpassen. Für den Bereich der Auftragsverarbeitung sind verschiedene Einzelfragen noch nicht gänzlich geklärt, sei es die Abgrenzung zur Funktionsübertragung oder zur gemeinsamen Verantwortlichkeit, das Fortbestehen der bisherigen Privilegierung von Auftragsverhältnissen oder schlicht die Anwendung auf Fernwartungsvorgängen. Diese Fragen müssen durch Wissenschaft und Praxis und insbesondere den noch zu konstituierenden Europäischen Datenschutzausschuss befriedigend gelöst werden.

VERTRAGSVERGLEICH

In der GDD Praxishilfe werden die GDD-Vertragsmuster von 2013 (nach § 11 BDSG) und 2017 (nach Art. 28 DS-GVO) gegenübergestellt. Die Pflichtinhalte nach alter
und künftiger Rechtslage sind dabei auffällig deckungsgleich. Die GDD empfiehlt Altverhältnisse auf das neue Muster umzustellen, da dieses spezifisch auf
die gesetzlichen Erfordernisse der DSGVO abgestimmt wurde. Sofern stattdessen am alten Vertrag festgehalten werden muss, bedarf es geringfügiger Nachbesserungen, um die gesetzlichen Mindestanforderungen zu erfüllen. Die Inhalte der Praxishilfe wurden im Rahmen des GDD-Arbeitskreises „DS-GVO-Praxis“ mit freundlicher Unterstützung der Unterarbeitsgruppen „Auftragsverarbeitung“ der GDD-Erfakreise Köln und Nürnberg erstellt.

SPEZIFISCHE ÄNDERUNGEN

Die technischen und organisatorischen Maßnahmen werden im Zuge der DS-GVO neu aufgepeppt: Die bekannten Pflichten aus § 9 BDSG nebst Anlage behalten auch grundsätzlich ihre Gültigkeit. Sie werden lediglich in die Systematik des Art. 32 Abs. 1 DS-GVO eingeordnet. Diese Zuordnung ist entsprechend „nur“ redaktioneller Natur. So vermag etwa das Trennungsprinzip sowohl Aspekte der Vertraulichkeit, der Integrität als auch der Belastbarkeit zu fördern.
NEU hinzu kommt nun aber die obligatorische Einführung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung (PDCA-Zyklus). Auch wird künftig die Pseudonymisierung als eigenständige Maßnahme in der DSGVO erwähnt und taucht deshalb nun auch im Vertragsmuster als solche auf.

Vorheriger Beitrag
BSI verleiht Preise für Entwicklungen in IT-Sicherheit
Nächster Beitrag
"WannaCry" sorgst für Nachfrage für Cyberversicherungen