Kategorien
Datenschutzrecht IT-Recht & Technologierecht

Datenschutzrecht: Mindestanforderungen an eine Auftragsdatenverarbeitungsvereinbarung


Kontakt 02404 92100 | Strafverteidiger-Notruf 02404-9599873

Das Landgericht Frankfurt am Main (2-03 O 65/16) konnte sich zu den Mindestanforderungen an eine Auftragsdatenverarbeitungsvereinbarung äussern und dabei klären, dass auch eine in Form eines Rahmvertrags geschlossene und in eine Anlage gefasste Vereinbarung dem Schriftformerfordernis genügt. Soweit zu prüfen ist, ob eine Datenschutzvereinbarung auch die im Katalog des § 11 II 2 BDSG enthaltenen Mindestangaben enthält ist dabei nicht schematisch der Inhalt des §11 Abs.2 BDSG zu prüfen, sondern es ist inhaltlich zu prüfen, ob die dortigen Kriterien letztlich in der Datenschutzvereinbarung enthalten sind. Das liest sich dann beispielsweise so:

In § 1 ist der Vertragsgegenstand festgelegt, in § 7 Vertragsbeginn und -dauer (vgl. § 11 II 2 Nr. 1 BDSG). Gleichfalls in § 1 werden die erfassten Daten und Zweck und Umfang der Erhebung, Verarbeitung und Speicherung geregelt, ebenso wie der Kreis der Betroffenen (vgl. § 11 II 2 Nr. 2 BDSG). § 2 regelt die Pflichten von C auch im Sinne von § 9 BDSG, wobei konkrete Maßnahmen beschrieben werden und erfüllt damit die Voraussetzungen von § 11 II 2 Nr. 3 BDSG und § 11 II 2 Nr. 5 BDSG. In § 2 Ziffer 5 ist die Berechtigung und Verpflichtung zur Berichtigung, Löschung und Sperrung von personenbezogenen Daten geregelt (vgl. § 11 II 2 Nr. 4 BDSG). Unterauftragsverhältnisse sind in § 4 geregelt (vgl. § 11 II 2 Nr. 6 BDSG), § 5 räumt der Beklagten entsprechende Kontrollrechte ein (§ 11 II 2 Nr. 7 BDSG). § 2 Ziffer 5 sieht eine Unterrichtungspflicht von C in Fällen schwerwiegender Störungen des Betriebsablaufs, schwerwiegender Verstöße gegen die gesetzlichen oder in der Datenschutzvereinbarung geregelten Verpflichtung zum Datenschutz sowie bei anderen Unregelmäßigkeiten bei der Verarbeitung der Daten der Beklagten vor (vgl. § 11 II Nr. 8 BDSG). Nach § 2 Ziffer 1 hat sich die Beklagte eine umfassende Weisungsbefugnis gegenüber C vorbehalten (vgl. § 11 II 2 Nr. 9 BDSG). Des Weiteren sieht § 6 eine Regelung zur Rückgabe von Datenträgern und Löschung von gespeicherten Daten vor (§ 11 II 2 Nr. 10 BDSG).

Hinweis: Ab dem 25.05.2018 gilt die Datenschutzgrundverordnung, die als Nachfolgeregelung die „Auftragsverarbeitung“ vorsieht.

Avatar of Strafverteidiger & Fachanwalt für IT-Recht Jens Ferner

Von Strafverteidiger & Fachanwalt für IT-Recht Jens Ferner

Strafverteidiger und Fachanwalt für IT-Recht im Raum Aachen & Heinsberg. Zudem Systementwickler mit zusätzlicher Fortbildung in IT-Sicherheit und IT-Forensik.
Tätig ausschließlich als Strafverteidiger mit Hilfe im gesamten Strafrecht, speziell bei Cybercrime & Cybersecurity, Arbeitsstrafrecht, BTM-Strafrecht, Jugendstrafrecht, Steuerstrafrecht und Wirtschaftsstrafrecht.

Strafrechtlicher Sofortkontakt: Unsere Strafverteidiger erreichen Sie unmittelbar unter 01579-2370323, verteidiger@ferner-alsdorf.de oder via Messenger: Signal und Threema; tagsüber Reaktionen regelmäßig binnen 60 Minuten