Auftragsverarbeitung

Mit Inkrafttreten der DSGVO am 25. Mai 2018 wurde die vormalige Auftragsdatenverarbeitung zur Auftragsverarbeitung umbenannt.

Unter Auftragsverarbeitung versteht man grundsätzlich die Verarbeitung folgender Aufgaben und Prozesse:

  • die cloudbasierte Lohnbuchhaltung
  • Versendung von Newslettern und Mailings über externe Cloud-Anbieter (z. B. Klick-Tipp oder MailChimp, etc.)
  • cloudbasierte CRM-Systeme
  • ausgelagerter Support über externe Call-Center
  • Hosting Webseiten und Online-Shops
  • externe Sekretariatsdienste (E-Büro, etc.)
  • externe Lohnabrechnung
  • Zusammenarbeit mit Agenturen, die personenbezogene Daten verarbeiten (z. B. Gewinnspiele, Marketing, etc.)
  • und jede weitere Verarbeitung personenbezogener Daten durch externe Stellen

Extern eingesetzte Dritte, die solche Aufgaben übernehmen, werden Auftragsverarbeiter genannt.

Ein Auftragsverarbeiter übernimmt die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen. Der Auftragsverarbeiter kann eine natürliche oder juristische Person, ein Verein oder eine Behörde sein. (Art. 4 Abs. 8 DSGVO)

Für die Auftragsverarbeitung kann nicht jeder Partner gewählt werden. Der Auftragsverarbeiter muss die Garantie für die "technischen und organisatorischen Maßnahmen (TOM)" geben. Diese sind in jedem Fall notwendig, um die DSGVO richtig umsetzen zu können. Hierfür haften Sie!

Eine eventuelle Zusammenarbeit mit Dienstleistern in Ländern außerhalb der EU kann daher zum Problem werden, weil die dortigen Sicherheitsstandards ggf. nicht mit den geforderten Voraussetzungen der DSGVO korrespondieren.
Wichtig: Die Haftung liegt immer bei Ihnen!

Hinsichtlich der Auftragsverarbeitung ist es wichtig, entsprechend qualifizierte Partner einzusetzen. Setzen Sie z. B. bei der Verarbeitung von Newslettern auf einen unqualifizierten oder gar schlampigen Partner, der personenbezogene Daten unzureichend verarbeitet, kostet Sie das unter Umständen beträchtliche Bußgelder und zusätzlich zerstören Sie Ihre Seriosität.

In der Regel sollten keine Probleme mit den Datenschutzbehörden zu erwarten sein, wenn man mit renommierten Auftragsverarbeitern zusammenarbeitet, welche sich an die Richtlinien halten. Hierzu steht im Erwägungsgrund 81 folgendes:

"Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen."

Wie man erkennen kann, lohnt es sich. Schon allein durch den Einsatz von qualifizierten Auftragsverarbeitern, gilt ggf. ein großer Teil Ihrer Nachweis- und Dokumentationspflichten als erfüllt.

Sollten Sie mit Auftragsverarbeitern zusammenarbeiten, muss ein so genannter Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Dieser Vertrag ist zwingend vorgeschrieben. Hierdurch haftet der Auftragnehmer (oder Auftragsverarbeiter) ebenfalls. Dies ist unabhängig davon, ob er weisungs- oder weisungsungebunden handelt.

Der Auftragsverarbeitungsvertrag bezieht sich auch auf die Arbeit mit personenbezogene Daten in Papierform!

Bei einem AVV mit dem Auftragsverarbeiter müssen folgende Dinge unbedingt berücksichtigt werden:

  • die Zusammenarbeit mit der Datenschutzbehörden
  • die Unterstützung des Auftraggebers
  • die Meldung von Datenpannen
  • die Durchführung von Risikofolgenabschätzungen (RFA)

Sinnvoll ist es, wenn man eine Liste aller Auftragsverarbeiter erstellt, mit denen derzeit zusammengearbeitet wird. Prüft man nun diese Liste, ob sich die eingesetzten Auftragsverarbeiter im Sinne des Erwägungsgrundes 81 (Heranziehung eines Auftragsverarbeiters) qualifizieren, spart man ggf. viel Zeit und Ärger für die Zukunft.

Hinweis: Setzen Sie nur verlässliche und am besten zertifizierte Auftragsverarbeiter ein.
(Art. 28 Abs. 7 DSGVO / Erwägungsgrund 81 DSGVO)

Haben Sie noch Fragen zur Auftragsverarbeitung oder benötigen Sie Hilfe bei der Erstellung eines AVV? Gerne stehen wir Ihnen als externer Datenschutzbeauftragter hierbei zur Seite.

^