DSGVO – Vertrag über die Auftragsverarbeitung

Wie bereits den Meisten bekannt sein dürfte, gilt ab 25.05.2018 die EU-Datenschutz-Grundverordnung (DSGVO), wodurch die EU-Datenschutzrichtlinie bzw. das in Österreich in Umsetzung der EU-Datenschutzrichtlinie ergangene Datenschutzgesetz 2000 weitgehend ersetzt wird. Dadurch kommt es zu umfassenden Neuerungen im österreichischen Datenschutzrecht.

Normadressaten der DSGVO, welche deren Bestimmungen einzuhalten haben, sind Verantwortliche und Auftragsverarbeiter. Während unter dem Begriff „Verantwortliche“ eine natürliche oder juristische Person verstanden wird, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, handelt es sich bei einem „Auftragsverarbeiter“ um eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Verantwortlichem verarbeitet, das heißt selbst nicht über Zwecke und Mittel der Datenverarbeitung entscheidet (z.B. IT-Dienstleister).

Gemäß Art. 28 DSGVO erfolgt die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Auftragsverarbeiter sind somit grundsätzlich verpflichtet, einen Vertrag über die Auftragsverarbeitung mit dem jeweiligen Kunden abzuschließen, auf dessen Weisung und in dessen Namen und Auftrag Daten verarbeitet werden.