Vertrag nach § 11 BDSG | Was muss geregelt werden?

Der Gesetzgeber schreibt den Regelungsumfang eines Vertrages über Auftragsdatenverarbeitung in § 11 Absatz 2 Satz 2 Nrn. 1 bis 10 BDSG genau vor. Demnach sind folgende Punkte mit dem Auftragnehmer zu regeln:

1. Gegenstand und Dauer des Auftrags

1) Welche Leistung ist Gegenstand des Auftrags?

 Gehaltsabrechnung, Werbemailing, Papierentsorgung etc.

2) Wie lange soll der Auftrag ausgeführt werden? Einmalig, dauerhaft?

Befristet bis… läuft auf unbestimmte Zeit und ist kündbar zum…

2. Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen

1) Welche Leistungen sind im Detail zu erbringen? Dauer der Speicherung der Daten? Welche Besonderheiten sind zu beachten?

2) Personaldaten, Kundendaten, Protokollierungsdaten etc.

3) Mitarbeiter, Kunden, Interessenten, Lieferanten, Messekontakte etc.

3. Nach § 9 zu treffende technische und organisatorische Maßnahmen

Hier wird Bezug auf die Anlage zu § 9 Satz 1 BDSG genommen, erforderlich ist jedoch die Nennung konkreter Maßnahmen, die den Auftrag betreffen, zum Beispiel:

 Art der Üermittlung und Sicherheit bei der Üertragung der Daten,

 Art der Speicherung (Trennungsgebot) der Daten,

Sicherung/Backup der Daten beim Auftragnehmer sowie Vereinbarungen zur sicheren Löschung/Vernichtung,

 Maßahmen zur Ausfallsicherheit der Systeme des Auftragnehmers.

4. Die Berichtigung, Löschung und Sperrung der Daten

Es muss festgelegt werden, wann und wie Daten gesperrt oder gelöscht werden sollen. Ferner hat der Auftragnehmer eine Mitwirkungspflicht zur Bearbeitung von Anfragen Betroffener bei der Ausübung ihrer Rechte auf Auskunft, Berichtigung, Sperrung oder Löschung.

Natürlich ist das hier nur ein Auszug zu dem Thema; als ihr Datenschutzbeauftragter berate ich sie gerne detaillierter.

share

Comments are closed.