Common use of Weisung Clause in Contracts

Weisung. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnung des Auftraggebers. Die Weisungen werden anfänglich durch einen Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Kommentierung § 1 Generell sollte auf Rechtsnormen verwiesen werden, wenn dort die benötigten Definitionen zu finden sind. Ergänzend werden in diesem Abschnitt die Begrifflichkeiten definiert, welche einerseits für den Vertrag relevant sind, andererseits an anderer Stelle nicht definiert wurden. In § 1 des Muster-AV-Vertrages wird in den Xxxxxx 0-0 daher auf die in DS-GVO, UWG und TMG enthaltenen Definitionen verwiesen, in den Xxxxxx 0 - 27 werden die dort nicht enthaltenen Begriffe „Anonymisierung“, „Unterauftragnehmer“, „Verarbeitung im Auftrag“ sowie „Weisung“ definiert. Literatur Artikel-29-Datenschutzgruppe. (2007) Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“. [Online, zitiert am 2017-02-23]; Verfügbar unter xxxx://xx.xxxxxx.xx/xxxxxxx/xxxxxxxx/xxxxxxx/xxxx/xxxxxx/0000/xx000_xx.xxx Artikel-29-Datenschutzgruppe. (2010) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“. [Online, zitiert am 2017-02-23]; Verfügbar unter xxxx://xx.xxxxxx.xx/xxxxxxx/xxxxxxxx/xxxxxxx/ docs/wpdocs/2010/wp169_de.pdf Artikel-29-Datenschutzgruppe. (2011) Stellungnahme 15/2011 zur Definition von Einwilligung. [Online, zitiert am 2017-02-23]; Verfügbar unter xxxx://xx.xxxxxx.xx/xxxxxxx/xxxx-xxxxxxxxxx/xxxxxxx-00/xxxxxxxxxxxxx/xxxxxxx-xxxxxxxxxxxxxx/xxxxx/0000/xx000_xx.xxx § 2 Gegenstand des Auftrags Alt. 1 Gegenstand der Vereinbarung ist die Verarbeitung personenbezogener Daten (nachstehend „Daten“ genannt) durch den Auftragnehmer für den Auftraggeber in dessen Auftrag und nach dessen Weisung im Zusammenhang mit … in Ergänzung des … Vertrags der Parteien vom …, (nachstehend „Hauptvertrag“ genannt“). Die Vereinbarung gilt entsprechend für (Fern-) Prüfung und Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Der Auftragnehmer erhält Zugriff auf folgende personenbezogene Daten (dadurch, dass der Auftraggeber ihm die Daten bereitstellt oder ihm einen Zugriff auf die Daten ermöglicht), bzw. der Auftraggeber erlaubt dem Auftragnehmer, folgende personenbezogene Daten zu erheben: Bezeichnung der Daten Personalstammdaten Besondere Kategorien von Daten(arten), insbesondere rassische oder ethnische Herkunft, religiöse Überzeugung weltanschauliche (philosophische) Überzeugung politische Überzeugungen/Meinungen Gesundheit (inkl. genetischer Daten) Biometrischen Daten zur (eindeutigen) Identifizierung einer Person Gewerkschaftszugehörigkeit Sexualleben oder der sexuellen Orientierung Bei den Betroffenen der oben aufgelisteten Daten handelt es sich um: Patienten Kunden Interessenten Abonnenten Beschäftigte Lieferanten Handelsvertreter Ansprechpartner ………………………………. Der Zugriff auf die Daten bzw. die Datenerhebung erfolgt wie folgt:

Weisung. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnung des Auftraggebers. Die Weisungen werden anfänglich durch einen Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Kommentierung § §1 Generell sollte auf Rechtsnormen verwiesen werden, wenn dort die benötigten Definitionen zu finden sind. Ergänzend werden in diesem Abschnitt die Begrifflichkeiten definiert, welche einerseits für den Vertrag relevant sind, andererseits an anderer Stelle nicht definiert wurden. In § §1 des Muster-AVADV-Vertrages wird in den Xxxxxx 0-0 - 4 daher auf die in DS-GVO, UWG im BDSG und TMG enthaltenen Definitionen verwiesen, in den Xxxxxx 0 - 27 werden 17 die dort nicht enthaltenen Begriffe „Anonymisierung“, „Unterauftragnehmer“, „Verarbeitung Datenverarbeitung im Auftrag“ sowie „Weisung“ definiert. Entsprechend dem Verständnis der Artikel 29 Gruppe ist „Anonymisierung als ein auf personenbezogene Daten angewandtes technisches Verfahren nach dem aktuellen Stand der Technik“ anzusehen, d. h. das Ergebnis einer Anonymisierung muss „so dauerhaft sein wie eine Löschung“24. Dabei ist ein Anonymisierungsverfahren „als eine Form der Weiterverarbeitung“ personenbezogenen Daten mit dem Ziel ihrer Anonymisierung anzusehen24. Daher muss bei einer Anonymisierung „geprüft werden, ob sie das Kriterium der Vereinbarkeit im Sinne der Leitlinien erfüllt, die von der Datenschutzgruppe in ihrer Stellungnahme 03/2013 zur Zweckbindung vorgelegt wurden“25. Dementsprechend ist eine Anonymisierung nur erlaubt, wenn mindestens einer der in Artikel 7 der Richtlinie 95/46/EG genannten Gründe zutrifft24. Literatur Artikel-29-Datenschutzgruppe. (2007) Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“. [Online, zitiert am 20172014-0208-23]; Verfügbar unter xxxx://xx.xxxxxx.xx/xxxxxxx/xxxxxxxx/xxxxxxx/xxxx/xxxxxx/0000/xx000_xx.xxx Artikel-29-Datenschutzgruppe. (2010) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“. [Online, zitiert am 20172014-0208-23]; Verfügbar unter xxxx://xx.xxxxxx.xx/xxxxxxx/xxxxxxxx/xxxxxxx/ docs/wpdocs/2010/wp169_de.pdf xxxx://xx.xxxxxx.xx/xxxxxxx/xxxxxxxx/xxxxxxx/xxxx/xxxxxx/0000/xx000_xx.xxx Artikel-29-Datenschutzgruppe. (2011) Stellungnahme 15/2011 zur Definition von Einwilligung. [Online, zitiert am 20172014-0208-23]; Verfügbar unter xxxx://xx.xxxxxx.xx/xxxxxxx/xxxx-xxxxxxxxxx/xxxxxxx-00/xxxxxxxxxxxxx/xxxxxxx-xxxxxxxxxxxxxx/xxxxx/0000/xx000_xx.xxx § §2 Gegenstand Gegenstand, Verantwortlichkeit und Dauer des Auftrags Alt. 1 Gegenstand der Vereinbarung ist die Verarbeitung personenbezogener Daten (nachstehend „Daten“ genannt) durch den Auftragnehmer für den Auftraggeber in dessen Auftrag und nach dessen Weisung im Zusammenhang mit … in Ergänzung des … Vertrags der Parteien vom …, (nachstehend „Hauptvertrag“ genannt“). Die Vereinbarung gilt entsprechend für (Fern-) Prüfung und Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Der Auftragnehmer erhält Zugriff auf folgende personenbezogene Daten (dadurch, dass der Auftraggeber ihm die Daten bereitstellt oder ihm einen Zugriff auf die Daten ermöglicht), bzw. der Auftraggeber erlaubt dem Auftragnehmer, folgende personenbezogene Daten zu erheben: Bezeichnung der Daten Personalstammdaten Besondere Kategorien von Daten(arten), insbesondere rassische oder ethnische Herkunft, religiöse Überzeugung weltanschauliche (philosophische) Überzeugung politische Überzeugungen/Meinungen Gesundheit (inkl. genetischer Daten) Biometrischen Daten zur (eindeutigen) Identifizierung einer Person Gewerkschaftszugehörigkeit Sexualleben oder der sexuellen Orientierung Bei den Betroffenen der oben aufgelisteten Daten handelt es sich um: Patienten Kunden Interessenten Abonnenten Beschäftigte Lieferanten Handelsvertreter Ansprechpartner ………………………………. Der Zugriff auf die Daten bzw. die Datenerhebung erfolgt wie folgt:Auftrags