Auftragsverarbeitung (AV)
Die Universität ist für alle Verarbeitungen personenbezogener Daten verantwortlich, bei denen sie die Zwecke und Mittel bestimmt. Sie kann dabei personenbezogene Daten auch durch Auftragsverarbeiter (externe Dienstleister) verarbeiten lassen. Das kommt beispielsweise vor, wenn
- Befragungen von einer Firma durchgeführt werden,
- eine Tagung durch einen kommerziellen Anbieter organisiert wird (Teilnehmeranmeldung, Abrechnung, ...) oder
- eine Datenverarbeitung mit Hilfe eines externen Cloud-Dienstes stattfindet.
Die Universität benötigt in solchen Fällen für die Weitergabe der personenbezogenen Daten an den Auftragsverarbeiter keine gesonderte Rechtsgrundlage, da hierfür die der Datenverarbeitung zugrundeliegende Rechtsgrundlage herangezogen werden kann. Der externe Dienstleister ist dann kein Dritter (Artikel 4 Nr. 10 DSGVO), sondern Auftragsverarbeiter (Artikel 4 Nr. 8, Artikel 28 DSGVO). Die Verarbeitung durch den Auftragsverarbeiter wird grundsätzlich der Universität zugerechnet.
Die Datenverarbeitung durch einen Auftragsverarbeiter muss durch einen Vertrag zur Auftragsverarbeitungs datenschutzrechtlich geregelt werden (s. u.).
Fernwartung
Eine Auftragsverarbeitung liegt auch dann vor, wenn bereits die Möglichkeit eines Zugriffs auf personenbezogene Daten besteht, also beispielsweise
- bei der Administration oder Fernwartung von IT-Systemen durch Firmen oder
- bei der externen Bereitstellung und Wartung von Multifunktionsgeräten ("Festplattendrucker").
Vertrag zur Auftragsverarbeitung / AV-Vertrag
Der Auftragsverarbeiter ist sorgfältig auszuwählen und muss geeignete Garantien bieten, den Datenschutz und die Sicherheit der Verarbeitung zu gewährleisten.
Artikel 28 DSGVO enthält Regelungen, die zwischen der Universität und dem Auftragsverarbeiter vertraglich vereinbart werden müssen, u. a.:
- Der Auftragsverarbeiter darf ausschließlich auf Weisung der Universität Paderborn handeln und keine personenbezogenen Daten zu eigenen Zwecken verarbeiten.
- Die Beschäftigten des Auftragsverarbeiters sind zur Vertraulichkeit zu verpflichten oder müssen einer gesetzlichen Verschwiegenheitspflicht unterliegen.
- Werden Unterauftragnehmer eingesetzt, so ist dies von der Universität Paderborn zu genehmigen.
AV-Vertragsmuster
Liegt eine Auftragsverarbeitung vor, sollte das Muster zur Auftragsverarbeitung der Universität genutzt werden.
- Muster-Vertrag zur Datenverarbeitung im Auftrag
- Muster-Vertrag zur Datenverarbeitung im Auftrag für Fernwartung
Der Vertrag muss von der Zentralverwaltung der Universität mit dem Auftragsverarbeiter geschlossen werden. Im Vorfeld sollten die Datenschutzkoordinatorin oder der Datenschutzkoordinator des betreffenden Bereichs der Universität hinzugezogen werden.
Sollten Firmen ihre eigenen Vertragsmuster nutzen wollen, so müssten diese Verträge dann einzeln und im Detail geprüft werden, ob sie die gesetzlich geforderten Regungen erfüllen. Auch dazu sollten die Datenschutzkoordinatorin bzw. der Datenschutzkoordinator beteiligt werden, um ggf. die Prüfung durch die Datenschutzbeauftragte und das Justiziariat zu veranlassen.