Das Datenschutzrecht schreibt beim Cloud-Computing in vielen Fällen den Abschluss eines Vertrags über die Verarbeitung von Daten im Auftrag bzw. über Auftragsverarbeitung (AV-Vertrag) vor.
Was ist ein Vertrag über Auftragsverarbeitung?
Immer mehr Unternehmen setzen bei der Betreuung der eigenen IT auf externe Dienstleister, sei es durch Fernwartung der eigenen Systeme, durch Colocation in einem Rechenzentrum oder durch vollständige Auslagerung von Technologien bzw. Daten in die Cloud.
In all diesen Fällen bleiben die Unternehmen jedoch selbst für den Schutz ihrer personenbezogenen Daten verantwortlich. Besteht die Möglichkeit, dass der Dienstleister mit den Daten des Unternehmens in Berührung kommen kann, verlangt das Gesetz den Abschluss eines Vertrags über die Auftragsverarbeitung (AV).
In dem Vertragswerk zur Verarbeitung von Daten im Auftrag müssen dem externen Dienstleister verbindliche Vorgaben für den Umgang mit Daten des Auftraggebers gemacht werden. Diese Vorgaben reichen vom Umfang der Weisungsbefugnisse des Auftraggebers bis hin zu den konkreten Schutzmaßnahmen, die der Dienstleister ergreifen muss.
Die korrekte Abfassung einer tauglichen Vereinbarung über die Verarbeitung von Daten im Auftrag ist nicht ganz einfach. Deshalb stellen wir Ihnen auf dieser Seite zwei kostenlose Musterverträge für die Auftragsverarbeitung zur Verfügung.
Inhalte eines Auftragsverarbeitungs-Vertrags
Die Mindestanforderungen, die an einen rechtskonformen Auftragsverarbeitungsvertrag gestellt werden, lassen sich Art. 28 Datenschutz-Grundverordnung (DSGVO) entnehmen.
Dementsprechend ist insbesondere folgendes verbindlich festzulegen:
- der Gegenstand und die Dauer des Auftrags;
- die Art und der Zweck der vorgesehenen Verarbeitung von Daten, die Art der Daten und die Kategorien der Betroffenen;
- die nach Art. 32 DSGVO zu treffenden technischen und organisatorischen Maßnahmen;
- die Pflichten des Auftragnehmers, bspw. die Pflicht, Mitarbeiter zur Vertraulichkeit zu verpflichten und den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen;
- Regelungen bezüglich der Begründung von Unterauftragsverhältnissen;
- die Informationspflichten des Auftragnehmers gegenüber dem Auftraggeber sowie die Kontrollrechte des Auftraggebers samt den entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers;
- Vorgehensweise und Unterstützung bei Datenschutzverletzungen („Datenpannen“);
- die Löschung oder Rückgabe beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Vertrag zur Verarbeitung von Daten im Auftrag mit Global Access (PDF)
Bitte verwenden Sie ausschließlich diese Vorlage, wenn Sie mit Global Access einen AV-Vertrag abschließen wollen. Die aktuelle Beschreibung unserer technischen und organisatorischen Maßnahmen finden Sie im Datenschutzkonzept von Global Access.