Auftragsverarbeitung

Auftragsverarbeitung: DSGVO-konforme Datenverarbeitung im Auftrag
Auftragsverarbeitung – was versteht man darunter?

Unter Auftragsverarbeitung fällt die Verarbeitung personenbezogener Daten durch einen externen Dienstleister im Auftrag eines Verantwortlichen. Dies ist in Artikel 28 der DSGVO geregelt. Der beauftragte Auftragsverarbeiter handelt ausschließlich nach den Vorgaben des Verantwortlichen (z. B. eines Unternehmens) und ist zur Einhaltung der Datenschutzbestimmungen verpflichtet.

Jetzt unverbindliche Beratung anfragen

Auftragsverarbeitung – Beispiele

E-Mail-Marketing:

Versand von Newslettern über einen externen Anbieter (z. B. Mailchimp).

Lohnbuchhaltung:

Verarbeitung von Gehaltsabrechnungen durch Steuerberater oder Buchhaltungssoftware.

Cloud-Dienste:

Speicherung von Kundendaten auf den Servern eines Cloud-Providers.

Web-Hosting:

Betrieb einer Website durch einen externen Hosting-Dienst.

Kundenservice:

Nutzung eines externen Call-Centers zur Bearbeitung von Kundenanfragen.

Auftragsverarbeitung – Voraussetzungen

Die DSGVO schreibt bestimmte Anforderungen für die Beauftragung externer Dienstleister vor:

Vertrag zur Auftragsverarbeitung (AV-Vertrag):

Ein schriftlicher oder elektronischer Vertrag zwischen Verantwortlichem und Auftragsverarbeiter ist verpflichtend.

Kontrollen & Überwachung:

Der Verantwortliche trägt die Verantwortung, die Einhaltung der Datenschutzstandards regelmäßig zu prüfen.

Klare Anweisungen:

Der Verantwortliche muss genau definieren, wie die Daten verarbeitet werden dürfen.

Sorgfältige Auswahl:

Der Auftragsverarbeiter muss nachweisen, dass er ausreichende Datenschutzmaßnahmen bietet.

Auftragsverarbeitung – Kontrollmechanismen zur Einhaltung der DSGVO

  • Prüfung vor Vertragsabschluss:
    Bewertung der Datenschutzmaßnahmen des Dienstleisters (z. B. durch Zertifikate oder Audits).
  • Regelmäßige Überwachung:
    Durchführung von Audits oder Sicherheitskontrollen, um Datenschutzstandards sicherzustellen.
  • Berichtspflichten:
    Der Auftragsverarbeiter muss regelmäßig über Datenschutzmaßnahmen informieren.

Auftragsverarbeitung – Inhalte eines AV-Vertrags gemäß Artikel 28 DSGVO

Ein Vertrag zur Auftragsverarbeitung muss folgende Punkte enthalten:

  • Zweck & Dauer der Verarbeitung: Beschreibung des Verarbeitungsumfangs und der Speicherdauer.
  • Art der Daten & betroffene Personen: Klare Definition der verarbeiteten personenbezogenen Daten (z. B. Name, Adresse) und der betroffenen Gruppen (z. B. Kunden, Mitarbeitende).
  • Rechte & Pflichten des Verantwortlichen: Anweisungsrecht und Kontrollpflichten.
  • Pflichten des Auftragsverarbeiters:
    - Verarbeitung der Daten ausschließlich nach Weisung des Verantwortlichen.
    - Verpflichtung zur Vertraulichkeit sowie Schulung der Mitarbeitenden.
    - Umsetzung technischer und organisatorischer Maßnahmen (TOMs) zum Datenschutz.
    - Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten.
    - Meldung von Datenschutzverstößen an den Verantwortlichen.
    - Löschung oder Rückgabe der Daten nach Abschluss der Verarbeitung.
  • Einsatz von Unterauftragsverarbeitern: Bedingungen für die Weitergabe der Daten an Subdienstleister, einschließlich der Zustimmung des Verantwortlichen.

Auftragsverarbeitung – Pflichten des Verantwortlichen

  • Sorgfältige Auswahl: Beauftragung nur von Dienstleistern mit ausreichenden Datenschutzmaßnahmen.
  • Regelmäßige Kontrolle: Überprüfung der Einhaltung der Datenschutzvorgaben (z. B. durch Audits).
  • Gesamtverantwortung: Trotz Auslagerung der Verarbeitung bleibt der Verantwortliche für die Einhaltung der DSGVO haftbar.

Auftragsverarbeitung – Pflichten des Auftragsverarbeiters

  • Verarbeitung nach Weisung: Daten dürfen nur gemäß den Anweisungen des Verantwortlichen verarbeitet werden.
  • Umsetzung technischer & organisatorischer Maßnahmen: Sicherstellung des Schutzes personenbezogener Daten (z. B. durch Verschlüsselung und Zugriffskontrollen).
  • Meldung von Datenschutzverletzungen: Verstöße müssen umgehend an den Verantwortlichen gemeldet werden.
  • Einsatz von Subdienstleistern: Weitergabe von Daten an Unterauftragsverarbeiter ist nur mit Genehmigung des Verantwortlichen zulässig.
  • Dokumentationspflicht: Nachweis über die Einhaltung aller Datenschutzvorgaben muss jederzeit möglich sein.

Auftragsverarbeitung – Unterauftragsverarbeiter & deren Einbindung

Soll ein Auftragsverarbeiter weitere Dienstleister einbinden, sind folgende Voraussetzungen zu beachten:

  • Zustimmungspflicht: Der Verantwortliche muss der Beauftragung von Subdienstleistern zustimmen.
  • Eigener AV-Vertrag: Der ursprüngliche Auftragsverarbeiter muss mit dem Unterauftragsverarbeiter ebenfalls einen DSGVO-konformen AV-Vertrag abschließen.
  • Haftung: Der Hauptauftragsverarbeiter bleibt für die Datenschutzkonformität des Unterauftragsverarbeiters verantwortlich.

Auftragsverarbeitung – Datenschutzverletzungen & Haftungsfragen

  • Meldepflicht: Der Auftragsverarbeiter muss Datenschutzverletzungen sofort an den Verantwortlichen melden.
  • 72-Stunden-Frist: Der Verantwortliche muss Verstöße innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden.
  • Haftung:
    - Der Verantwortliche haftet gegenüber den betroffenen Personen.
    - Der Auftragsverarbeiter haftet für Verstöße gegen seine Pflichten oder eine Verarbeitung außerhalb der Weisungen.

Kompakt erklärt

Die Auftragsverarbeitung ist ein essenzieller Bestandteil der DSGVO und stellt sicher, dass personenbezogene Daten auch bei der Nutzung externer Dienstleister sicher und rechtskonform verarbeitet werden. Trotz der Delegation der Verarbeitung bleibt die Hauptverantwortung beim Verantwortlichen. Ein sorgfältig formulierter AV-Vertrag, klare Anweisungen sowie regelmäßige Kontrollen sind notwendig, um Datenschutzverstöße zu vermeiden und die Einhaltung der gesetzlichen Vorgaben zu gewährleisten.

Jetzt Kontakt aufnehmen und kostenlose Erstberatung sichern