Beruflich Dokumente
Kultur Dokumente
GDD-Praxishilfe DS-GVO Vb
Verzeichnis von Verarbeitungstätigkeiten –
Auftragsverarbeiter
INHALT
Für den fachlichen Rat bei der Erstellung dieser Praxishilfe dankt die GDD:
Die Ausnahmeregelungen des Art. 30 Abs. 5 Die Erstellung, Führung und Pflege eines VVT-AV
DS-GVO finden auf das VVT-AV regelmäßig keine sollte durch eine Organisationsanweisung (z.B.
Anwendung. Dies ergibt sich insbesondere schon Richtline, Policy) geregelt werden.2
daraus, dass eine Befreiung von der Führung des
VVT nur dann erfolgen kann, wenn die Verarbeitung
nur gelegentlich erfolgt. Die Verarbeitungsprozesse
eines Dienstleisters sind jedoch schon allein aus
dem Geschäftszweck auf eine regelmäßige und dau-
erhafte Durchführung angelegt.
• den Namen und die Kontaktdaten: 1. Vorblatt 1 mit den Angaben zum Auftrags-
verarbeiter:
> des Auftragsverarbeiters oder der
Auftragsverarbeiter; • Auftragsverarbeiter:
[Name, ladungsfähige Adresse und
> jedes Verantwortlichen, in dessen Auf-
Geschäftsleitung]
trag der Auftragsverarbeiter tätig ist;
• Vertreter des Auftragsverarbeiters:
> gegebenenfalls des Vertreters des
[Name, ladungsfähige Adresse
Verantwortlichen;
Geschäftsleitung] (soweit erforderlich)
> gegebenenfalls des Vertreters des
• Datenschutzbeauftragter:6
Auftragsverarbeiters3;
[Name, Telefonnummer / E-Mail-Adresse]
> eines etwaigen Datenschutzbeauftrag-
ten des Auftragsverarbeiters;
2. Vorblatt 2 mit Angaben zu den Dienst
• die Kategorien von Verarbeitungen, die im leistungen:
Auftrag jedes Verantwortlichen durchgeführt • Allgemeine Beschreibung der technischen
werden; und organisatorischen Maßnahmen gem.
Art. 32 [z.B. Sicherheitskonzepte bzw. Ver-
• ggf. Übermittlungen von personenbezogenen
weise darauf, Zertifizierungen]
Daten an ein Drittland oder an eine internati-
onale Organisation; • Datenweitergabe in ein Drittland (soweit sie
z.B. im Rahmen der Lieferkette in der Sphäre
> einschließlich der Angabe des betreffen-
des Auftragsverarbeiters liegt)
den Drittlands oder der betreffenden in-
ternationalen Organisation; • Kategorien der Dienstleistungen:
Angaben zu Kunden:
Vorblatt 1 Vorblatt 2 Hauptblatt • Kunde 1:
Angaben zum Auftragsverarbeiter: Angaben zu Dienstleistungen: Angaben zu Kunden:
• Auftragsverarbeiter:
[Name, ladungsfähige Adresse und
Geschäftsleitung]
• Allgemeine Beschreibung der technischen
und organisatorischen Maßnahmen gem.
Art. 32 [z. B. Sicherheitskonzepte bzw.
• Kunde 1:
>> Verantwortlicher
>> Verantwortlicher
[Name, ladungsfähige Adresse]
• Vertreter des Auftragsverarbeiters:
[Name, ladungsfähige Adresse
Verweise darauf, Zertifizierungen]
• Datenweitergabe in ein Drittland (soweit
>> Vertreter des Verantwortlichen:
[Name, ladungsfähige Adresse]
[Name, ladungsfähige Adresse]
Geschäftsleitung] (soweit erforderlich) sie z.B. im Rahmen der Lieferkette in der
(soweit erforderlich)
• Datenschutzbeauftragter:6 Sphäre des Auftragsverarbeiters liegt)
Kunde 1: Kunde 2:
>> Verantwortlicher: …
[Name, ladungsfähige Adresse
und Geschäftsleitung]
>> Vertreter des Verantwortlichen:
[Name, ladungsfähige Adresse]
und Geschäftsleitung)
>> Gebuchte Dienstleistungen:
n
1
Leistungs-
ng
ng
ng
tu
tu
tu
beziehung
is
is
is
le
le
le
st
st
st
en
en
en
Di
Di
Di
…
Kunde 1
Kunde 2
Kunde n
Ein Auftragsverarbeiter in einem Drittland ist regel- Im Verhältnis Verantwortlicher (Controller) – Auf-
mäßig nicht verpflichtet, einen Vertreter innerhalb tragsverarbeiter (Processor) liegen die Vorausset-
der EU gemäß Art. 27 DS-GVO zu bestellen. zungen des Art. 3 Abs. 2 DS-GVO beim Auftragsver-
arbeiter regelmäßig nicht vor. Sein Angebot richtet
Zwar gilt grundsätzlich folgendes: sich qua Definition der Auftragsverarbeitung stets
Entsprechend dem in Art. 3 Abs. 2 DS-GVO nieder- an Verantwortliche und gerade nicht an betroffene
gelegten Marktortprinzip findet die DS-GVO selbst Personen, wie es aber in Art. 3 Abs. 2 DS-GVO ge-
dann Anwendung auf die Verarbeitung personenbe- fordert ist.
zogener Daten, wenn sie durch einen nicht in der Die Folge ist, dass auf einen Auftragsverarbeiter im
Union niedergelassenen Verantwortlichen oder Auf- Drittland die DS-GVO keine – zumindest keine un-
tragsverarbeiter vorgenommen wird. mittelbare – Anwendung findet. Damit entfällt auch
Um des Verantwortlichen oder Auftragsverarbeiters die Pflicht, einen Vertreter nach Art. 27 DS-GVO zu
außerhalb der Union jedoch überhaupt habhaft bestellen. Denn dieser ist nur im Falle des Art. 27
werden zu können, trifft diese gem. Art. 27 Abs. 1 i.V.m. Art. 3 Abs. 2 zu bestellen.
DS-GVO grundsätzlich die Pflicht, schriftlich einen Mangels Anwendbarkeit des Marktortprinzips auf
Vertreter zu bestellen, der innerhalb der Union nie- den Auftragsverarbeiter im Drittland muss er auch
dergelassen sein muss. kein VVT-AV erstellen.
Allerdings gilt in diesem Zusammenhang auch zu Eine Schlechterstellung der Betroffenen in diesen
beachten: Fällen ergibt sich nicht, da der Verantwortliche
auch bei der Verarbeitung durch eine Auftragsver
Die Pflicht zur Bestellung eines Vertreters gem.
arbeitung im Drittland ihnen gegenüber in der
Art. 27 Abs. 1 DS-GVO besteht nur bei Anwendbar-
vollen datenschutzrechtlichen Verantwortung und
keit des Marktortprinzips.
Haftung bleibt.
Das Marktortprinzip nach Art. 3 Abs. 2 DS-GVO gilt
aber nur, wenn die Datenverarbeitung im Zusam-
menhang damit steht, betroffenen Personen in
der Union Waren oder Dienstleistungen anzubieten
oder ihr Verhalten zu beobachten, soweit ihr Ver-
halten in der Union erfolgt.
Herausgeber:
Heinrich-Böll-Ring 10
53119 Bonn
www.gdd.de
info@gdd.de
Ansprechpartner:
Stand: