Auftragsverarbeitung

Eine Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt i.d.R. immer dann vor, wenn Sie, beziehungsweise Ihr Unternehmen, die Verarbeitung von personenbezogenen Daten an einen Dritten / Dienstleister auslagern.


Der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) darf die personenbezogenen Daten, die mit der Dienstleistung zusammenhängen, dann ausschließlich nach Ihren Weisungen verarbeiten. Sie bleiben der Verantwortliche im datenschutzrechtlichen Sinne (Art. 4 Nr. 7 DSGVO).


Das bedeutet beispielsweise auch, dass Sie für die Erfüllung der Betroffenenrechte zuständig bleiben. Der Auftragsverarbeiter muss Sie hierbei im Rahmen seiner Möglichkeiten unterstützen.


Sie dürfen nur Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen, wenn diese hinreichende Garantien zur Gewährleistung der datenschutzrechtlichen Anforderungen bieten. Hierfür wird ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen, welcher die Rechte und Pflichten sowohl von Ihnen, als Verantwortlichen, als auch vom Dienstleister, als Auftragsverarbeiter, regelt.


Typische Beispiele für eine Auftragsverarbeitung sind:
• Cloud-Computing-Dienstleistungen, Bezug von Software as a Service (SaaS)
• Auslagerung von Daten in externe Rechenzentren, gilt auch für Backups
• IT-Service-Dienstleistungen, insbesondere Prüfung oder Wartung (zum Beispiel Fernwartung)
• Datenträgerentsorgung durch Dienstleister
• Auslagerung der Lohn- und Gehaltsabrechnung oder der Finanzbuchhaltung


Wenn der Dienstleister nicht ausschließlich nach Ihren Weisungen handelt, sondern stattdessen eigene Entscheidungen treffen kann (z.B. die Mittel und Zwecke der Verarbeitung selbst festlegt), stellt dies in der Regel keine Auftragsverarbeitung, sondern eine eigenständige Verantwortlichkeit des Dienstleisters dar. Ein Auftragsverarbeitungsvertrag ist dann nicht erforderlich. Typische Beispiele hierfür sind:


• Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer)
• Beauftragung eines Inkassounternehmens
• Zahlungsdienstleister für elektronische Zahlungen


Gerne bewerten wir als externer Datenschutzbeauftragter für Sie entsprechende Verarbeitungssituationen und prüfen für Sie, ob die Auftragsverarbeitungsverträge mit Ihren Dienstleistern die datenschutzrechtlichen Anforderungen gem. Art. 28 Abs. 3 DSGVO erfüllen.