Hallo zusammen.
Ich bin auf der Suche nach Ideen bzw. Rat.
Folgender Sachverhalt: ein Auftragsverarbeiter ist für Unternehmen aber auch für Behörden oder KdöR und AdöR tätig. Des öfteren kommen Anmerkungen der Auftraggeber, dass ein bestimmtes Landesdatenschutzgesetz in der AV-Vorlage fehlt: beispielsweise möchte die Behörde XY in Nordrhein-Westfalen das DSG-NRW in der AVV explizit genannt bekommen.
Nun ist allerdings die Zielsetzung, dass die AV-Vorlage so statisch wie möglich ist und bei 16 Ländern in Deutschland in denen der Dienstleister tätig ist, wäre dies alles andere als statisch, wenn für jedes Land eine AV-Vorlage vorgehalten wird.
Was wäre eure Idee, damit umzugehen?
Jegliche Norm in der AV-Vorlage mit aufnehmen, also z. B. “Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO, § 52 DSG-NRW, § 51 LDSG-RLP, …” usw usw?
Oder könnte man auch eine Anmerkung im Sinne “Unterliegt der Auftraggeber den Landesdatenschutzgesetzen seines Bundeslandes, so gilt dies auch für den Auftragnehmer entsprechend”
Oder gar nicht … Welche abweichenden Pflichten würden denn aus dem Landesgesetz hervorgehen?
D., der sich einen unveränderlichen amtlichen Text wünscht (wie Standarddatenschutzklauseln) und bis dahin eine eigene feste Vorlage hat, die er nur im Anhang spezifiziert, aber auch schon mal unbedingt kirchliches Datenschutzrecht aufnehmen sollte.
Ich sehe das wie @Domasla: Wenn ein LDSG keine abweichenden Pflichten für eine AV vorgibt, würde ich Gesetzesverweise in dem AVV-Muster komplett streichen. In meinen Vorlagen verzichte ich generell darauf.
Ich habe mal nach Ergänzungen der LDI – NRW zur DS-GVO gesucht und ein Fundstück mit Gesundheitsdaten beispielhaft gefunden.
Im Gesundheitsdatenschutzgesetz NRW steht in §7 „(3) Vor der Vergabe eines Auftrages zur Verarbeitung von Patientendaten hat sich der Auftraggeber zu vergewissern, dass beim Auftragnehmer die Wahrung der Datenschutzbestimmungen dieses Gesetzesund der ärztlichen Schweigepflichtsichergestellt ist.“
Im §9 Abs.3 DS-GVO steht dies zwar sinngemäß auch, allerdings ergänzt um „oder wenndie Verarbeitung durcheine andere Personerfolgt, dieebenfallsnach dem Unionsrecht oder dem Recht eines Mitgliedstaatsoderden Vorschriften nationaler zuständiger Stelleneiner Geheimhaltungspflicht unterliegt.“ Die Formulierung ist also offener gestaltet.
In dem Eckpunktepapier der LDI – NRW von 2017 weist sie auf diese und andere Punkte hin. Unter der (PDF-) Suchfunktion „SG NRW“ finden sich noch mehr Hinweise. Folglich muss ich beim AV auf die zusätzliche Einhaltung der Landesgesetzgebung hinweisen.
Folgefrage: „ Wo kann ich denn in einigermaßen übersichtlicher Form die Ergänzungen der Landesgesetze zur DS – GVO und ggf. Abweichungen zu anderen Landesgesetzen finden?
Kundenanforderungen kann man - wie domasla schon sagte - über einen Anhang / eine Ergänzung behandeln, weil eben nicht weniger als in der DS-GVO rauskommen kann. Das gilt natürlich auch für Landesrecht. Es gibt (für mich) keinen praktischen Grund, die Bundesländer etc. vorauseilend in Varianten abzubilden. Eher eine englische Version für Kunden in der EU - oder außerhalb.
In einem AVV müssen m.E. keine §§ zitiert werden. Es genügt die Übereinstimmung mit der DSGVO und dem nationalen Recht. Hat das geltende Landesrecht höhere Anforderungen, müssten diese berücksichtigt aber nicht notwendig auch zitiert werden.