Brunata Minol Auftragsverarbeitung

Diese FAQ sollen dem Leser bei Bedarf die der Auftragsverarbeitung zugrunde liegenden Rechtsvorschriften erläutern und verständlicher machen. Die FAQ können diese jedoch nicht ersetzen und haben selbstverständliche keine Rechtswirkung.

Auf welchen rechtlichen Grundlagen basiert ein Auftragsverarbeitungsvertrag (AVV)?

Die rechtliche Grundlage zu einem Auftragsverarbeitungsvertrag ist die EU-Datenschutz-Grundverordnung (EU-DSGVO), die am 25. Mai 2018 in Kraft getreten ist. Diese aktualisiert und ergänzt das bisherige Datenschutzrecht, das im Bundesdatenschutzgesetz BDSG verankert war. Im „BDSG neu“ sind die in der EU-Datenschutz-Grundverordnung (EU-DSGVO) verankerten Regeln auf nationales Recht eingeflossen. Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, in der die weiteren Vorgaben zur Auftragsverarbeitung zu beschreiben und zu vereinbaren sind; dazu gehören unter anderem die Pflichten und Rechte des Verantwortlichen und Auftragsverarbeiters oder der Umgang mit personenbezogenen Daten.

Der Artikel 28 - EU-DSGVO – Auftragsverarbeiter regelt insbesondere, dass eine Verarbeitung im Auftrag eines Verantwortlichen nur mit Auftragsverarbeitern durchzuführen ist, die hinreichend Garantien dafür bieten, dass der Schutz der Rechte von möglicherweise betroffenen Personen gewährleistet ist. Dazu hat der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen so durchzuführen, dass die Verarbeitung der übertragenen Daten im Einklang mit den Anforderungen dieser Verordnung erfolgt.

Warum senden wir Ihnen einen Auftragsverarbeitungsvertrag (AVV) zu?

Die Minol Messtechnik erbringt im Auftrag von Auftraggebern wie Gebäudeeigentümer, Hausverwaltungen, Wohnungseigentümergemeinschaften verschiedene Dienstleistungen. Dazu überträgt der Auftraggeber auch personenbezogene Daten, die von der Minol Messtechnik verarbeitet werden. Somit liegt eine Auftragsverarbeitung vor.

Die Minol Messtechnik sowie die anderen Messdienstleister werden von den Datenschutz-Aufsichtsbehörden entsprechend als „klassische“ Auftragsverarbeiter eingestuft. In dieser Konstellation greift Artikel 28 - EU-DSGVO – Auftragsverarbeiter unmittelbar.

In der Ihnen vorliegenden Vereinbarung sind zwischenzeitlich auch Rückmeldungen von Datenschutzbeauftragten unserer Kunden berücksichtigt, sodass die gesetzlichen Belange und die branchenspezifischen Notwendigkeiten umfassend berücksichtigt sind.

Wäre eine Verschwiegenheitserklärung ein ausreichendes Rechtsinstrument?

Eine Verschwiegenheitserklärung oder eine ähnliche Vereinbarung genügt nach Auffassung der Datenschutz-Aufsichtsbehörden nicht den  Anforderungen des Artikel 28 - EU-DSGVO – Auftragsverarbeiter.

Was bedeutet Verantwortlicher und Auftragsverarbeiter?

Nach Artikel 28 - EU-DSGVO – Auftragsverarbeiter wird der Auftraggeber als Verantwortlicher und der Dienstleister im Sinne des Art. 28 als Auftragsverarbeiter bezeichnet.
Der Auftragnehmer wird im Verordnungstext als „Auftragsverarbeiter“ (früher „Auftragsdatenverarbeiter“) aufgeführt.

Sind nach dem bisher geltenden BDSG abgeschlossenen AVV unwirksam?

Nach dem bisher geltenden BDSG (insbesondere §11) abgeschlossene Verträge sind nicht unwirksam. Diese decken jedoch die in der EU-Datenschutz-Grundverordnung (EU-DSGVO) geregelten Anforderungen nicht umfassend ab. Teilweise können auch Bezüge und Verweise aus dem bisherigen Recht zu Missverständnissen führen.
Ein Vertrag gemäß Artikel 28 - EU-DSGVO ist auf jeden Fall die bessere Lösung.

Welche personenbezogenen Daten werden ausgetauscht und müssen geschützt werden?

Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:

• Adress- und Anmeldedaten der Nutzer / Bewohner in den Gebäuden des Auftraggebers sowie Funktions- und/ oder Verbrauchsdaten der Messgeräte in Nutzeinheiten.
• Von der Datenverarbeitung sind die Nutzer und / oder Bewohner in den Gebäuden des Auftraggebers und Beschäftigte des Auftraggebers und –nehmers betroffen.

Muss mit Wohnungseigentümern ein AVV vereinbart werden?

Eine AVV muss zwischen den Vertragsparteien geschlossen werden, bei denen die Konstellation nach Artikel 28 - EU-DSGVO – Auftragsverarbeiter gegeben ist. Das heißt, ein Auftraggeber gibt personenbezogene Daten an einen Dienstleister zur Verarbeitung weiter. An die Minol Messtechnik kann die Weitergabe einerseits durch die von Wohnungseigentümer (-gemeinschaften) beauftragten Unternehmen / Personen erfolgen. Dann ist zwischen diesen Unternehmen / Personen und der Minol Messtechnik eine AVV abzuschließen. Andererseits kann die Weitergabe der personenbezogenen Daten direkt von Gebäude - / Wohnungseigentümern an die Minol Messtechnik erfolgen. Dann ist zwischen Gebäude - / Wohnungseigentümern und der Minol Messtechnik eine AVV abzuschließen.

Was könnte passieren, wenn kein unterzeichneter Vertrag vorliegt?

Dieser Vertrag deckt nach Auffassung der Minol Messtechnik die Anforderungen des Artikel 28 - EU-DSGVO – Auftragsverarbeiter umfassend für Auftraggeber und Dienstleister zum Schutz der Betroffenen ab. Da der Abschluss einer solchen Vereinbarung in Artikel 28 – EU-DSGVO – ausdrücklich gefordert wird, kann das Fehlen einer solchen Vereinbarung durch eine Aufsichtsbehörde mit den in Artikel 83 Abs. 4 – EU-DSGVO – genannten Geldbußen sanktioniert werden.

Warum soll die Vereinbarung separat zurückgesandt werden?

Mit dem separaten Rückversand ist eine automatische Verarbeitung der Verträge für Minol Messtechnik möglich. Ansonsten kann der Vertrag ggfs. nicht richtig zugeordnet werden.

An wen können Sie sich wenden, wenn Sie Fragen zu Ausführungen im Vertrag haben?

Sollten Bestandteile des Vertrages dennoch Fragen oder Unklarheiten aufwerfen, zögern Sie nicht, sich bei der Minol Messtechnik an die zuständigen Stellen zu wenden. Diese erreichen Sie am Schnellsten über diese Mailadresse: datenschutz@minol.com