Ob Reisekosten, Leasing oder Lohn: Personalabteilungen wickeln immer mehr Aufgaben per „Cloud Computing“ ab. Seit der neuen Datenschutzverordnung (DSGVO) müssen dahingehend die Verträge zur Auftragsdatenverarbeitung angepasst werden.
Dürfen Daten bei Cloud-Anbietern außerhalb der EU ausgelagert werden?
Nach unserer Rechtsauffassung ist eine Auslagerung personenbezogener Daten auf Basis eines Auftragsverarbeitungsvertrags grundsätzlich auch außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) zulässig, sofern in dem Drittland für die Verarbeitung von personenbezogenen Daten geeignete Schutzmechanismen greifen (z.B. EU-Standard-Vertragsklauseln, Privacy-Shield-Zertifizierung). Cloud Computing durch externe Service-Provider ist also prinzipiell als Auftragsverarbeitung im Sinne von Art. 28 DSGVO möglich, sowohl innerhalb als auch außerhalb der EU.
Vorsicht: Cloud-Computing in den USA
Dennoch kann Cloud Computing zu einer Herausforderung bezüglich des Datenschutzrechts werden. Bei einem nicht sicheren Ausland (zum Beispiel USA) bedarf es einer entsprechenden vertraglichen Gestaltung: nach Art. 27 Abs. 1 DSGVO ist ein Vertreter des Dienstleisters in der EU zu benennen. Zudem sind die Arten der verarbeiteten personenbezogenen Daten sowie die Kategorien der betroffenen Personen (Lieferanten, Beschäftigte, Abonnenten, Kunden etc.) konkret zu bezeichnen.
Tipps zur Anpassung Ihrer Auftragsverarbeitungsverträge an die DSGVO
1) Gegenstand und Inhalt des Vertrags genau regeln
Legen Sie im Hauptvertrag zunächst den Vertragsgegenstand und die Dauer der Beauftragung fest. Regeln Sie außerdem idealerweise Vergütungs- und Haftungsregelungen zum vereinbarten Leistungsspektrum des Auftragnehmers. Bestimmen Sie den Auftragsinhalt näher, insbesondere im Hinblick auf die Art und den Zweck der Verarbeitung personenbezogener Daten. Haben die Parteien den Wunsch, dass die Verarbeitung der personenbezogenen Daten ausschließlich in einem Mitgliedsstaat der EU oder des EWR stattfindet, weisen Sie ausdrücklich hierauf hin.
2) Treffen Sie klare Regelungen zur Einhaltung gesetzlicher Pflichten
Zu den klaren Regelungen im Zusammenhang mit der Einhaltung der gesetzlichen Verpflichtungen gemäß Art. 28 bis 33 DSGVO gehören die Qualitätssicherung und sonstigen Pflichten des Auftragnehmers. So sind etwa alle erforderlichen DSGVO-konformen technischen und organisatorischen Maßnahmen des Art. 28 Abs. 3 Satz 2 lit. c), 32 DSGVO konkret zu bezeichnen und in einer Anlage zu beschreiben. Pauschale Aussagen reichen nicht mehr aus.
3) Pflicht zur Bestellung eines Datenschutzbeauftragten
Zu den Pflichten des Auftragsverarbeiters zählt auch die schriftliche Bestellung eines Datenschutzbeauftragten sowie die Aufnahme seiner Kontaktdaten. Alternativ bedarf es einer kurzen Dokumentation, weshalb der Auftragnehmer nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist.
——————————————————-
Als Ihr Anwalt für Arbeitsrecht prüfen wir gerne für Sie, welche Anforderungen Ihre Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO erfüllen müssen und passen sie entsprechend für Sie an. Rufen Sie uns gerne an: 0221-2921920
