Auftragsverarbeitung

Eine Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt i.d.R. immer dann vor, wenn Sie, beziehungsweise Ihr Unternehmen, die Verarbeitung von personenbezogenen Daten an einen Dritten / Dienstleister auslagern.

Der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) darf die personenbezogenen Daten, die mit der Dienstleistung zusammenhängen, dann ausschließlich nach Ihren Weisungen verarbeiten. Sie bleiben der Verantwortliche im datenschutzrechtlichen Sinne (Art. 4 Nr. 7 DSGVO).

Das bedeutet beispielsweise auch, dass Sie für die Erfüllung der Betroffenenrechte zuständig bleiben. Der Auftragsverarbeiter muss Sie hierbei im Rahmen seiner Möglichkeiten unterstützen.

Sie dürfen nur Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen, wenn diese hinreichende Garantien zur Gewährleistung der datenschutzrechtlichen Anforderungen bieten. Hierfür wird ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen, welcher die Rechte und Pflichten sowohl von Ihnen, als Verantwortlichen, als auch vom Dienstleister, als Auftragsverarbeiter, regelt.

Typische Beispiele für eine Auftragsverarbeitung sind:

Wenn der Dienstleister nicht ausschließlich nach Ihren Weisungen handelt, sondern stattdessen eigene Entscheidungen treffen kann (z.B. die Mittel und Zwecke der Verarbeitung selbst festlegt), stellt dies in der Regel keine Auftragsverarbeitung, sondern eine eigenständige Verantwortlichkeit des Dienstleisters dar. Ein Auftragsverarbeitungsvertrag ist dann nicht erforderlich.

Typische Beispiele hierfür sind:

Beauftragung eines Inkassounternehmens

Tätigkeiten der Berufsgeheimnisträger

(Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer)

Zahlungsdienstleister für elektronische Zahlungen

Gerne bewerten wir als externer Datenschutzbeauftragter für Sie entsprechende Verarbeitungssituationen und prüfen für Sie, ob die Auftragsverarbeitungsverträge mit Ihren Dienstleistern die datenschutzrechtlichen Anforderungen gem. Art. 28 Abs. 3 DSGVO erfüllen.

Häufige Fragen zur Auftragsverarbeitung

Ein AVV ist schriftlich abzufassen. Dies kann gem. Art. 28 Abs. 9 DSGVO auch in einem elektronischen Format erfolgen. Viele Dienstleister stellen einen AVV über Ihre Webseite zum Download bereit, ohne dass vorgesehen ist, dass dieser zusätzlich von beiden Parteien unterschrieben wird. Aufgrund des hohen Beweiswertes einer Unterschrift, empfehlen wir, AVV’s immer von beiden Seiten unterschreiben zu lassen.

Ein AVV enthält zwingend eine individuelle Beschreibung des Vertragsgegenstandes, sowie Regelungen zur Dauer, Art und zum Zweck der Verarbeitung. Zusätzlich müssen die Arten der personenbezogenen Daten, sowie die Kategorien der betroffenen Personen festgelegt werden.

Darüber hinaus werden folgende Rahmenbedingungen gem. Art. 28 Abs. 3 DSGVO festgehalten:

  • Personenbezogene Daten dürfen durch den Auftragsverarbeiter nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden. Stellt der Auftragsverarbeiter fest, dass eine Weisung unzulässig ist, so muss er den Verantwortlichen unverzüglich darauf hinweisen
  • Die Beschäftigten des Auftragsverarbeiters, welche an der Verarbeitung beteiligt sind, müssen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Schweigepflicht unterliegen
  • Der Auftragsverarbeiter hat technische und organisatorische Maßnahmen gem. Art. 32 DSGVO zu treffen, um die Sicherheit bei der Verarbeitung zu gewährleisten. Hierzu muss er dem Verantwortlichen entsprechende Dokumentation bereitstellen und Überprüfungen/ Inspektionen dulden. Dies gilt auch für eingesetzte Subunternehmen, mit welchen der Auftragsverarbeiter ebenfalls einen AVV abschließen muss.
  • Der Auftragsverarbeiter muss den Verantwortlichen bei der Umsetzung von Betroffenenrechten (z.B. bei Auskunfts- oder Löschersuchen) unterstützen.
  • Der Auftragsverarbeiter muss den Verantwortlichen bei Meldungen von Datenschutzverstößen unterstützen. Zusätzlich muss er bei einer Datenschutz-Folgenabschätzung unterstützen, wenn diese erforderlich ist.
  • Nach Abschluss der vereinbarten Dienstleistungen muss der Auftragsverarbeiter sämtliche personenbezogenen Daten des Verantwortlichen entweder löschen oder zurückgeben.

Als externer Datenschutzbeauftragter können wir Ihnen eine entsprechende Vorlage bereitstellen oder bereits vorhandene Vorlagen prüfen. Alternativ können Sie die Standardvertragsklauseln der Europäischen Kommission verwenden.

Mit den eingesetzten Dienstleistern ist ein Auftragsverarbeitungsvertrag abzuschließen. Zusätzlich sind diese gegenüber Ihren Kunden als eigesetzte Unterauftragsverarbeiter im AVV zu benennen. Auch bei der Auswahl von Unterauftragsverarbeitern sollte darauf geachtet werden, dass die Verarbeitung ausschließlich innerhalb der EU oder einem datenschutzrechtlich sicherem Drittstaat (wie beispielsweise Japan oder Kanada) erfolgt. Auf Dienstleister aus unsicheren Drittstaaten, wie den USA, sollte dagegen verzichtet werden.

Vor allem aufgrund des Schrems II Urteils birgt dies derzeit immer ein Risiko, sodass Dienstleister innerhalb der EU bevorzugt herangezogen werden sollten. Ist dies nicht möglich, ist zwingend auf Folgendes zu achten:

  • Das Datenschutzniveau muss auf anderem Wege gewährleistet werden. In der Praxis hat sich der Abschluss von Standardvertragsklauseln (SCC) der Europäischen Kommission durchgesetzt.
  • Neben dem Abschluss von SCC sind ergänzende Schutzmaßnahmen notwendig. Für eine Verarbeitung in den USA wäre hier beispielsweise eine zusätzliche eigene Verschlüsselung der Daten geeignet, welche nicht von Dritten (beispielsweise US-Behörden) umgangen werden kann.
  • Die Betroffenenrechte gem. Art. 12 ff. DSGVO müssen gewährleistet werden und der Dienstleister muss entsprechend mitwirken.
Kundenbewertung
[Gesamt: 69 Durchschnitt: 4.7]