Veröffentlichung BayMBl. 2023 Nr. 279 vom 07.06.2023

Veröffentlichendes Ressort

Staatsministerium für Digitales

Download

Amtliche elektronische Ausgabe
(PDF, 228 KB)
Hash-Prüfsumme der PDF-Datei BayMBl(sha256): 0E714353D46821C7F50527069F01377C6677D85924AE713EE9AA0E888B177B03

Verwaltungsvorschrift

204-D
  • Verwaltung
  • Datenschutz

204-D

Allgemeine Nutzungsbedingungen
zur datenschutzrechtlichen Auftragsverarbeitung
durch staatliche Stellen für öffentliche Stellen
(Allgemeine Nutzungsbedingungen Auftragsverarbeitungsverhältnis – ANB-AVV)

Bekanntmachung der Bayerischen Staatsregierung

vom 16. Mai 2023, Az. B II 2 - G 34/20 - 1

Auf Grund des Art. 38 Abs. 2 Satz 2 und 3 des Bayerischen Digitalgesetzes (BayDiG) vom 22. Juli 2022 (GVBl. S. 374, BayRS 206-1-D), das durch Art. 57b des Gesetzes vom 22. Juli 2022 (GVBl. S. 374) geändert worden ist, macht die Bayerische Staatsregierung folgende Allgemeine Nutzungsbedingungen zur datenschutzrechtlichen Auftragsverarbeitung durch staatliche Stellen für öffentliche Stellen bekannt:

1.Allgemeines

1.1
Die nachfolgenden Bestimmungen konkretisieren die Rechte und Pflichten im Falle einer datenschutzrechtlichen Auftragsverarbeitung im Anwendungsbereich des Art. 38 Abs. 1 Satz 1 des Bayerischen Digitalgesetzes (BayDiG) zwischen Verantwortlichem und Auftragsverarbeiter, insbesondere
a)
nach Art. 28 Abs. 3 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO) oder
b)
nach entsprechenden Vorschriften in Umsetzung der Richtlinie (EU) 2016/680.
1.2
Der Verantwortliche und der Auftragsverarbeiter haben auf die Interessen des jeweils anderen und möglicher weiterer Betroffener angemessen Rücksicht zu nehmen und sich gegebenenfalls abzustimmen.

2.Mitteilung des Verantwortlichen an den Auftragsverarbeiter

1Der Verantwortliche teilt dem Auftragsverarbeiter über die nach Art. 38 Abs. 1 Satz 2 BayDiG erforderlichen Informationen hinaus die Kontaktdaten des Verantwortlichen in Textform mit. 2Über nachträgliche Änderungen der Kontaktdaten des Verantwortlichen hat der Verantwortliche den Auftragsverarbeiter unverzüglich zu informieren.

3.Verzeichnis des Auftragsverarbeiters

1Der Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung. 2Das Verzeichnis hat die Angaben aus Art. 38 Abs. 1 Satz 2 BayDiG sowie aus Nr. 2 Satz 1 zu enthalten.

4.Weisungsrecht

1Der Auftragsverarbeiter nennt dem Verantwortlichen den jeweils aktuellen Ansprechpartner für im Rahmen der Auftragsverarbeitung anfallende Weisungen sowie den zuständigen Datenschutzbeauftragten und verarbeitet personenbezogene Daten ausschließlich

a)
nach den gesetzlichen Vorgaben, insbesondere unter Wahrung der datenschutzrechtlichen Bestimmungen,
b)
auf Weisung des Verantwortlichen sowie
c)
für keine anderen als die durch den Verantwortlichen mitgeteilten Zwecke und insbesondere nicht für eigene Zwecke.

2Satz 1 Buchst. b gilt nicht, sofern der Auftragsverarbeiter durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet ist. 3Im Falle des Satzes 2 gilt Art. 28 Abs. 3 Satz 2 Buchst. a Halbsatz 2 DSGVO entsprechend. 4Der Auftragsverarbeiter hat die Weisungen des Verantwortlichen zu dokumentieren. 5Sofern Weisungen zunächst mündlich erfolgen, sind sie unverzüglich durch den Verantwortlichen in Textform zu bestätigen. 6Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen Datenschutzbestimmungen verstößt. 7Ist die Rechtmäßigkeit einer Weisung zweifelhaft, ist der Auftragsverarbeiter berechtigt, die Ausführung der Weisung solange auszusetzen, bis sie durch den Verantwortlichen in Textform bestätigt oder geändert wird. 8Stehen Verletzungen des Schutzes personenbezogener Daten im Raum, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge haben, oder nimmt der Auftragsverarbeiter bei weisungsgemäßem Handeln das Risiko einer strafbaren Handlung auf sich, darf er die Ausführung der Weisung aussetzen, bis die Parteien eine einvernehmliche Lösung gefunden haben.

5.Sicherheit der Datenverarbeitung

1Der Auftragsverarbeiter ergreift alle nach

a)
Art. 32 DSGVO oder
b)
den entsprechenden Vorschriften in Umsetzung der Richtlinie (EU) 2016/680

erforderlichen Maßnahmen. 2Der Verantwortliche und der Auftragsverarbeiter stimmen sich über die Geeignetheit der nach Satz 1 ergriffenen Maßnahmen ab, sofern dies aufgrund von einzelfallbezogenen Erwägungen, die sich beispielsweise aus der Eintrittswahrscheinlichkeit und Schwere eines Schadens für die Rechte und Freiheiten natürlicher Personen ergeben können, angezeigt ist. 3Der Verantwortliche und der Auftragsverarbeiter informieren sich gegenseitig unverzüglich, falls in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen festgestellt werden. 4Der Auftragsverarbeiter trifft im Falle von Verletzungen des Schutzes personenbezogener Daten unverzüglich die geeigneten und erforderlichen Maßnahmen zur Sicherung der personenbezogenen Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen.

6.Verschwiegenheit

1Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. 2Soweit gesetzlich erforderlich, erfolgt dies, indem die Verarbeitung personenbezogener Daten nur durch Personen durchgeführt wird, welche

a)
Amtsträger im Sinne des § 11 Abs. 1 Nr. 2 des Strafgesetzbuches (StGB) oder
b)
für den öffentlichen Dienst besonders Verpflichtete im Sinne des § 11 Abs. 1 Nr. 4 StGB sind.

3Dieses Erfordernis hat der Verantwortliche dem Auftragsverarbeiter anzuzeigen. 4Auf Anforderung des Verantwortlichen hat der Auftragsverarbeiter die Einhaltung der Anforderungen des Satzes 1 gegenüber dem Verantwortlichen nachzuweisen.

7.Weitere Auftragsverarbeiter

7.1
Der Auftragsverarbeiter ist allgemein berechtigt, im Rahmen bestehender gesetzlicher Regelungen weitere geeignete Auftragsverarbeiter (Unterauftragsverarbeiter) in Anspruch zu nehmen.
7.2
1Für den Fall, dass der Auftragsverarbeiter hierfür eine staatliche Stelle als Unterauftragsverarbeiter in Anspruch nimmt, finden gemäß Art. 38 Abs. 2 Satz 3 BayDiG die Regelungen des Art. 38 BayDiG und die Bestimmungen dieser allgemeinen Nutzungsbedingungen auf das Verhältnis zwischen Auftragsverarbeiter und Unterauftragsverarbeiter mit der Maßgabe Anwendung, dass an die Stelle des Verantwortlichen der Auftragsverarbeiter tritt. 2Die Möglichkeit einer abweichenden individualvertraglichen Vereinbarung im Sinne von Art. 38 Abs. 2 Satz 2 BayDiG zwischen dem Auftragsverarbeiter und Unterauftragsverarbeiter bleibt unberührt.
7.3
1Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern. 2Der Verantwortliche kann unter Beachtung der in Art. 3 Abs. 1 des Bayerischen Datenschutzgesetzes (BayDSG) geregelten Sicherstellungsverpflichtung gegen derartige beabsichtigte Änderungen innerhalb von drei Werktagen nach Zugang der Information Einspruch beim Auftragsverarbeiter erheben, der innerhalb einer Frist von weiteren sieben Werktagen begründet werden soll. 3Wird dem Einspruch des Verantwortlichen nicht abgeholfen, kann sich der Verantwortliche an die für den Auftragsverarbeiter zuständige oberste Landesbehörde wenden.
7.4
Der Auftragsverarbeiter hat einem Unterauftragsverarbeiter dieselben Datenschutzpflichten aufzuerlegen, die ihm aufgrund des Auftragsverarbeitungsverhältnisses zwischen ihm und dem Verantwortlichen obliegen.
7.5
Für Verletzungen der Datenschutzpflicht des Unterauftragsverarbeiters bleiben
a)
Art. 28 Abs. 4 Satz 2 DSGVO sowie
b)
die entsprechenden Vorschriften in Umsetzung der Richtlinie (EU) 2016/680

unberührt.

7.6
Eine Beauftragung von Unterauftragsverarbeitern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen
a)
von Kapitel V DSGVO oder
b)
der entsprechenden Vorschriften in Umsetzung der Richtlinie (EU) 2016/680

erfüllt sind.

7.7
1Die Nrn. 7.1 bis 7.6 gelten nicht für Leistungen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. 2Hierzu zählen insbesondere Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungs- und Prüfungsleistungen. 3Dabei muss ein Zugriff auf personenbezogene Daten des Verantwortlichen ausgeschlossen sein. 4Der Auftragsverarbeiter trifft mit diesen Dritten im erforderlichen Umfang schriftliche Vereinbarungen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten und behält sich Kontrollmaßnahmen vor, um den Schutz und die Sicherheit der Daten des Verantwortlichen zu gewährleisten.

8.Unterstützungspflicht

8.1
1Der Auftragsverarbeiter unterstützt den Verantwortlichen
a)
nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung
aa)
der in Kapitel III DSGVO sowie
bb)
der in entsprechenden Vorschriften in Umsetzung der Richtlinie (EU) 2016/680

genannten Rechte der betroffenen Person sowie

b)
unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung der Pflichten nach
aa)
den Art. 32 bis 36 DSGVO und
bb)
den entsprechenden Vorschriften in Umsetzung der Richtlinie (EU) 2016/680.

2Gehen Anträge betroffener Personen auf Wahrnehmung ihrer Rechte nach

a)
den Art. 15 bis 22 DSGVO oder
b)
den entsprechenden Vorschriften in Umsetzung der Richtlinie (EU) 2016/680

beim Auftragsverarbeiter ein, verweist dieser die betroffene Person an den Verantwortlichen, sofern eine Zuordnung auf Basis der vorhandenen Angaben möglich ist.

8.2
Der Auftragsverarbeiter und der Verantwortliche unterstützen sich gegenseitig bei der Abwehr von Schadensersatzansprüchen auf datenschutzrechtlicher Grundlage.

9.Nachweis der Einhaltung von Rechtsvorschriften

9.1
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anforderung alle erforderlichen Informationen zum Nachweis der Erfüllung der
a)
in Art. 28 DSGVO und
b)
in entsprechenden Vorschriften in Umsetzung der Richtlinie (EU) 2016/680

niedergelegten Pflichten zur Verfügung.

9.2
1Der Auftragsverarbeiter ermöglicht Überprüfungen – einschließlich Inspektionen –, die von dem Verantwortlichen oder von durch den Verantwortlichen Beauftragte durchgeführt werden können. 2Inspektionen werden grundsätzlich nach Terminvereinbarung unter Berücksichtigung einer angemessenen Vorlauffrist zu den üblichen Geschäftszeiten des Auftragsverarbeiters durchgeführt. 3Der Auftragsverarbeiter hat die Überprüfungen von der Unterzeichnung einer Verschwiegenheitserklärung abhängig zu machen, soweit hierzu eine nicht öffentliche Stelle beauftragt ist. 4Der Verantwortliche stellt sicher, dass bei Überprüfungen kein Interessenkonflikt zwischen dem von ihm Beauftragten und dem Auftragsverarbeiter besteht.

10.Beendigung des Auftragsverarbeitungsverhältnisses

10.1
Das Auftragsverarbeitungsverhältnis ist in seinem Bestand abhängig von dem ihm zu Grunde liegenden Hauptvertrag.
10.2
1Im Falle eines auf unbestimmte Zeit geschlossenen Auftragsverarbeitungsverhältnisses kann dieses vom Verantwortlichen und Auftragsverarbeiter mit der im zugrundeliegenden Hauptvertrag vorgesehenen Frist ordentlich gekündigt werden. 2Sofern dieser keine ordentliche Kündigungsfrist enthält, kann das Auftragsverarbeitungsverhältnis vom Verantwortlichen und vom Auftragsverarbeiter unter Beachtung der Sicherstellungsverpflichtung nach Art. 3 Abs. 1 BayDSG mit einer Frist von drei Monaten zum Ende des jeweiligen Kalendermonats gekündigt werden.
10.3
1Als wichtiger Grund, der sowohl eine Kündigung des zugrundeliegenden Hauptvertrages als auch des Auftragsverarbeitungsverhältnisses ohne Einhaltung einer Kündigungsfrist durch den Verantwortlichen rechtfertigt, gilt, wenn
a)
der Auftragsverarbeiter seinen sich aus dieser Bekanntmachung ergebenden Pflichten nicht nachkommt,
b)
der Auftragsverarbeiter Bestimmungen der Datenschutz-Grundverordnung oder sonstige anwendbare Datenschutzvorschriften vorsätzlich oder grob fahrlässig verletzt,
c)
der Auftragsverarbeiter sich den Kontrollrechten des Verantwortlichen auf vertragswidrige Weise widersetzt,
d)
der Auftragsverarbeiter eine Weisung des Verantwortlichen nicht ausführen kann oder will oder
e)
dem Einspruch des Verantwortlichen nach Nr. 7.3 auch durch die für den Auftragsverarbeiter zuständige oberste Landesbehörde nach Nr. 7.3 Satz 3 nicht abgeholfen wird.

2Die Ausübung des Kündigungsrechtes nach Satz 1 Buchst. d und e ist nur unter Beachtung der Sicherstellungsverpflichtung nach Art. 3 Abs. 1 BayDSG möglich.

10.4
Der Auftragsverarbeiter hat nach Beendigung des Auftragsverarbeitungsverhältnisses alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben, sofern keine entgegenstehenden Regelungen zur Speicherung der personenbezogenen Daten bestehen.

11.Haftung und Schadenersatz

1Der Verantwortliche und der Auftragsverarbeiter haften entsprechend den einschlägigen gesetzlichen Bestimmungen. 2Gegenüber betroffenen Personen haften der Verantwortliche und der Auftragsverarbeiter gemäß

a)
Art. 82 DSGVO oder
b)
den entsprechenden Vorschriften in Umsetzung der Richtlinie (EU) 2016/680.

12.Inkrafttreten

Diese Bekanntmachung tritt am 15. Juni 2023 in Kraft.

Der Bayerische Ministerpräsident

Dr. Markus Söder