12. Müssen Rechtsanwälte Vereinbarungen über die Verarbeitung im Auftrag ab-schließen?

Rechtsanwälte müssen dann Vereinbarungen i. S. v. Art. 28 DS-GVO abschließen, wenn eine andere „Einheit“ für sie personenbezogene Daten im Auftrag verarbeitet. Der Auftragsverarbeiter ist von den Weisungen des Rechtsanwaltes abhängig (Art. 29 DSGVO).

Erfolgt eine Verarbeitung im Auftrag eines Kanzleiinhabers, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“ (Art. 28 Abs. 1 DS-GVO).

Die Verarbeitung durch den Auftragsverarbeiter erfolgt auf Grundlage eines Vertrags, der schriftlich oder elektronisch abgeschlossen werden kann. Darin müssen „Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt“ werden. Der Vertrag soll zudem u. a Regelungen nach Maßgabe von Art. 28 Abs. 3 Satz 2a – h DS-GVO enthalten.

Bespiele für Auftragsverarbeitungsverhältnisse:

  • Daten- bzw. Aktenvernichtungsunternehmen,
  • externes Rechenzentrum,
  • externes Archiv,
  • Cloud-Dienstleister,
  • externes Lohn- und Gehaltsbuchhaltungsbüro.

 

In dem schriftlichen bzw. elektronischen Vertrag muss der Auftragnehmer die Vertraulichkeit gewährleisten und es muss geregelt sein, dass er technische und auch organisatorische Maßnahmen nach Art. 32 DSGVO (Datensicherheit) ergreift.

Der Auftragsverarbeiter muss den Rechtsanwalt bei der Erstellung der Datenschutz-Folgenabschätzung, die auch den Auftragsverarbeiter umfassen muss, bei der Behebung von Datenpannen und deren Meldung bzw. bei der Wahrnehmung von Betroffenenrechten unterstützen.

Der Rechtsanwalt muss seinen Auftragsverarbeiter sorgfältig auswählen und kontrollieren. Es bietet sich an, ein zertifiziertes Unternehmen zu wählen.

Das Kurzpapier zur Auftragsverarbeitung der Datenschutz-Konferenz kann unter diesem Link eingesehen werden: https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/DSGVO_Kurzpapiere1-3.html.

Die GDD-Praxishilfe zur DS-GVO Muster zur Auftragsverarbeitung findet sich hier: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_4.pdf

Eine Mustervertragsanlage des bitkom findet sich hier: https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/EU-DSG/170515-Auftragsverarbeitung-Anlage-Mustervertrag-online.pdf

 
Copyright 2018 - Bundesrechtsanwaltskammer