Hier sind die Fragen, die sich im Webinar »Auftragsverarbeitung nach DSGVO – So läuft's richtig!« ergeben haben. Das Webinar wird wiederholt veranstaltet und daher wird auch diese FAQ-Liste ständig anwachsen.

Die Fragen sind selbstverständlich anonymisiert und ich habe sie ggf. sprachlich angepasst.

Sie haben auch eine Frage zum Thema »Auftragsverarbeitung nach DSGVO«? Melden Sie sich am besten noch heute für das kostenlose Webinar an und stellen Sie im Chat Ihre Frage(n).

Informationen zu diesem und anderen Webinaren finden Sie auf meiner Webinarseite.

Stand: 14.11. 2021

FAQ

In welcher schriftlichen Form sollten nachträgliche Weisungen verfasst sein, so dass sie vertragsrelevant werden?

Jede Weisung des Verantwortlichen muss »dokumentiert« sein (vgl. Artikel 28 Absatz 3 Satz 2 Buchstabe a) DSGVO).  Der Auftragsverarbeitungsvertrag sollte daher auch Regelungen zur Sicherstellung der Dokumentationspflicht vorsehen. Die Verordnung selbst trifft keine Formvorgaben, so dass eine Weisung grundsätzlich auch »mündlich« erfolgen kann. In diesem Fall sollte eine z.B. telefonisch übermittelte Weisung aber unverzüglich protokolliert und am besten von dem Verantwortlichen z.B. per E-Mail bestätigt werden, damit eine ordnungsgemäße Dokumentation erreicht wird. Aus Sicht des Auftragsverarbeiters bietet es sich also an, den Verantwortlichen dazu zu verpflichten, mündlich erteilte Weisungen jedenfalls umgehend in Textform (eben eine E-Mail) zu bestätigen.

Was ist, wenn der Auftragsverarbeiter schon loslegt, der AVV aber noch nicht unterschrieben ist?

Das ist schlecht. Denn dann haben Sie noch keinen rechtsgültigen Auftragsverarbeitungsvertrag und die Verarbeitung ist damit rechtswidrig. Die Auftragsverarbeitung darf erst nach Abschluss eines gültigen Auftragsverarbeitungsvertrages begonnen werden.

Wie ist der Begriff »Stand der Technik« in diesem Zusammenhang zu sehen?

Grundsätzlich stellt »Stand der Technik« den (aktuell) bekannten technischen Entwicklungsstand dar sowie die darauf basierenden technischen Möglichkeiten zur Erreichung eines bestimmten praktischen Ziels.

Der angemessene Stand der Technik bedeutet im Rahmen von Auftragsverarbeitungen also immer dasjenige technische Niveau, das die Sicherheit der verarbeiteten personenbezogenen Daten in Abhängigkeit ihres Schutzbedürfnisses zu jedem Zeitpunkt gewährleistet. Das hängt natürlich immer von den Kategorien der verarbeiteten Daten ab. Einfache Datenkategorien (wie z.B. ohnehin öffentlich zugängliche Daten, z.B. Adressdaten) erfordern schon bei Aufnahme der Verarbeitung geringere Maßnahmen, als z.B. die besonderen Kategorien des Artikels 9 DSGVO. Mithin muss bei einfachen Datenkategorien also auch nicht immer das aktuelle TOP-Niveau sichergestellt sein (besser ist es natürlich). Die Verarbeitung besonderer Kategorien personenbezogener Daten benötigt aber immer die bestmögliche Absicherung.

Es muss also immer das Schadenspotential (d.h. der Grad möglicher Beeinträchtigung schutzwürdiger Belange) zuerst bestimmt werden, bevor der umzusetzende Stand der Technik erarbeitet werden kann.

Es hilft insoweit, sich an einem Schutzstufenkonzept zu orientieren. Das bekannteste ist das der Aufsichtsbehörde aus Niedersachsen:

Das Schutzstufenkonzept aus Niedersachsen geht von folgenden Stufen aus:

Stufe A: Personenbezogene Daten, die die betroffenen Personen frei zugänglich gemacht haben.

Stufe B: Personenbezogene Daten, deren unsachgemäße Handhabung zwar keine besondere Beeinträchtigung erwarten lässt, die aber die betroffenen Personen nicht frei zugänglich gemacht haben.

Stufe C: Personenbezogene Daten, deren unsachgemäße Handhabung eine betroffene Person in ihrer gesellschaftlichen Stellung oder in ihren wirtschaftlichen Verhältnissen beeinträchtigen könnte (»Ansehen«)

Stufe D: Personenbezogene Daten, deren unsachgemäße Handhabung eine betroffene Person in ihrer gesellschaftlichen Stellung oder in ihren wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte (»Existenz«)

Stufe E: Personenbezogene Daten, deren unsachgemäße Handhabung Gesundheit, Leben oder Freiheit der betroffenen Person beeinträchtigen könnte.

Bei Stufe A sind also geringere Anforderungen an den Stand der Technik zu stellen, als in der Stufe E, die höchstmögliche technische Sicherheit verlangt.

Der »Stand der Technik« ist in ständiger Bewegung; Datensicherheit ist wie die zu schützende IT extrem dynamisch. Insoweit sollte der aktuelle Stand bei relevanten Quellen fortlaufend beobachtet werden.

Als solche Quellen dienen in erster Linie

das Bundesamt für Sicherheit in der Informationstechnik (BSI),
die Aufsichtsbehörden für den Datenschutz und ggf. Fachverbände.

Ich empfehle insoweit die technischen Richtlinien des BSI (BSI-TR) sowie die Technologische Orientierungshilfen der Aufsichtsbehörden für den Datenschutz. Hilfreich sind auch die Informationen des Bundesverbandes IT-Sicherheit e.V.

Letztlich kommt es (wie so oft) auf den konkreten Einzelfall an. Wichtig ist nur, dass der Schutzbedarf der verarbeiteten Datenkategorien immer mit den aktuellen technischen Möglichkeiten gespiegelt wird.

Um die Dynamik der technischen Entwicklung in einem Auftragsverarbeitungsvertrag abzubilden, empfiehlt sich folgende Klausel:

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
You've successfully subscribed to Datenrecht.EXPERT
Great! Next, complete checkout for full access to Datenrecht.EXPERT
Welcome back! You've successfully signed in
Success! Your account is fully activated, you now have access to all content.
Unable to sign you in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Success! Your billing info is updated.
Billing info update failed.
Your link has expired.

© 2021 Ass. jur. Andreas Riehn, München.