Hinweis: Mit Aktivierung des Videos wird YouTube im erweiterten Datenschutzmodus abgespielt. Mit der Aktivierung stimmen Sie den Datenschutzbestimmungen von YouTube und den Datenschutzbestimmungen der Mammut Aktenvernichtung zu.
Auftragsverarbeitungsverträge mit IT-Dienstleistern:
Wichtige Datenschutzklauseln und rechtliche Absicherung
Wenn Unternehmen IT-Dienstleister oder Softwareanbieter beauftragen, werden häufig sensible Unternehmensdaten in fremde Hände gegeben. Um sicherzustellen, dass diese Daten bei externen Partnern geschützt sind, ist es essenziell, datenschutzrechtliche Klauseln in Verträgen zu berücksichtigen.
Ein zentraler Bestandteil ist der Auftragsverarbeitungsvertrag (AVV), der regelt, wie Dienstleister personenbezogene Daten im Auftrag verarbeiten dürfen und welche technischen und organisatorischen Maßnahmen sie ergreifen müssen, um die Datensicherheit zu gewährleisten.
Transkript des Videos:
Ein Mammut Kunde fragt:
„Welche datenschutzrechtlichen Klauseln sind bei der Vertragsgestaltung mit IT-Dienstleistern und Softwareanbietern besonders wichtig, und wie können wir uns rechtlich absichern, dass unsere Daten bei externen Partnern geschützt sind?“
Mein Name ist Thomas Rosin, ich bin Datenschutzbeauftragter und berate Unternehmen zum Daten- und Informationsschutz.
Wenn Unternehmen IT-Dienstleister oder Cloudanbieter beauftragen, werden damit oft zwangsläufig Schutzbedürftige Unternehmensdaten in fremde Hände gegeben.
Auch wenn diese Dienstleister zum Teil für den technischen Schutz zuständig sind, so bleibt doch das beauftragende Unternehmen datenschutzrechtlich verantwortlich, für all das, was der Dienstleister macht … oder auch eben nicht macht.
Um Datenschutzrisiken zu minimieren, ist der Abschluss eines Vertrags zum Thema Datenschutz und Schutzmaßnahmen erforderlich. Hierbei handelt es sich in der Regel um einen sogenannten Auftragsverarbeitungsvertrag, in englischsprachigen Verträgen auch „Data Processing Adendum“ genannt.
Bei den großen internationalen Cloudanbietern sind solche Verträge meist bereits in den kfm. Verträgen als Anlage enthalten. Bei dem kleinen oder mittelständischen IT-Dienstleister um die Ecke muss so etwas oft proaktiv angesprochen werden.
Während große Anbieter eigene und vielfach geprüfte Standardverträge einsetzen, die meist nicht verhandelbar sind, gibt es bei kleineren Anbietern mehr Spielraum für eigene Gestaltung. Das ist auch immer wieder nötig, da kleinere IT-Dienstleister zwar durchaus gute Arbeit leisten können, aber bei der Vertragsgestaltung nicht immer gut beraten sind. Spätestens hier lohnt es sich, von Auftragsgeberseite einen Datenschützer beratend hinzuzuziehen.
Die vertragliche Regelung von Kontroll- und Auditrechten, von Haftung und Nachweispflichten oder auch die geeigneten technischen und organisatorischen Schutzmaßnahmen gehört in die Hand einer Fachperson.
Ja, es gibt auch Musterverträge. Diese gibt es beispielsweise bei den Datenschutz-Aufsichtsbehörden. Darin enthalten sind alle vorgeschriebenen Regelungen. Aber auch diese müssen an den jeweiligen Sachverhalt korrekt angepasst werden.
Beachten Sie: aus Datenschutzsicht bleibt ihr Unternehmen rechtlich verantwortlich.
Ihr Team Datenschutz
Unsere Datenschutzexperten beantworten Ihre Fragen und bieten Ihnen bei Bedarf umfassende Unterstützung rund um den Schutz Ihrer Daten. Mit langjähriger Erfahrung, klarem Blick auf aktuelle Entwicklungen und fundiertem Fachwissen entwickeln sie maßgeschneiderte Lösungen, die genau auf Ihre Bedürfnisse zugeschnitten sind.
Thomas Rosin
Bad Schwartau
Berater für Datenschutz und Informationssicherheit
Melodie Lange
Ingolstadt
Beraterin für Datenschutz und Informationssicherheit
Christian Schröder
Oberhausen b. München
Berater für Datenschutz und Informationssicherheit
Aaron Nourbakhsh
Hannover
Berater für Datenschutz und Informationssicherheit