Eine Person sitzt am Tisch und schreibt etwas auf ein Blatt Papier.
Daten verarbeitende Stellen

Auftragsverarbeitung

Charakteristisch für die Auftragsverarbeitung ist, dass sich die datenschutzrechtlich Verantwortlichen für Hilfstätigkeiten Dienstleister:innen (Auftragsverarbeiter:innen) für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten bedienen. Auftragsverarbeiter:innen sind gemäß Art. 4 Nr. 8 DS-GVO Stellen, die personenbezogene Daten im Auftrag der Verantwortlichen verarbeiten. Die Auftragsverarbeiter:innen verfahren dabei entsprechend den Weisungen der Verantwortlichen mit den von diesen überlassenen Daten (Art. 28 Abs. 3 lit. a DS-GVO). Die maßgeblichen Entscheidungen über den Umgang mit den personenbezogenen Daten verbleiben aber bei den Verantwortlichen. Typische Beispiele einer Auftragsverarbeitung sind das Erstellen von Lohn- und Gehaltsabrechnungen, IT-Wartung, Cloud-Computing-Anwendungen, Hosting oder Callcenter-Tätigkeiten.

Die Gesamtverarbeitung für die Datenverarbeitung und die Nachweispflicht der Verantwortlichen nach Art. 5 Abs. 2 DS-GVO umfasst auch die Verarbeitung durch die Auftragsverarbeiter:innen. Hiervon können sich die Verantwortlichen nicht durch die Beauftragung von auftragsverarbeitenden Stellen befreien. Verstoßen Auftragsverarbeiter:innen gegen die Pflicht zur weisungsgebundenen Verarbeitung und verletzen dabei die Vorgaben der DS-GVO, gelten diese nach Art. 28 Abs. 10 DS-GVO insoweit selbst als Verantwortliche. Die Weitergabe von personenbezogenen Daten im Zuge einer Auftragsverarbeitung wird gesetzlich nicht als Übermittlung im datenschutzrechtlichen Sinne qualifiziert.

Die Verantwortlichen dürfen nur mit solchen Auftragsverarbeiter:innen zusammenarbeiten, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet. Die Verantwortlichen müssen mit den Auftragsverarbeiter:innen eine bindende Vereinbarung, beispielsweise einen Vertrag, über die weisungsgebundene Tätigkeit schließen. Die gesetzlichen Regelungen in Art. 28 Abs. 3 DS-GVO beschreiben im Detail, welche Rechte, Pflichten und Maßnahmen im Einzelnen zwischen den Verantwortlichen und den auftragsverarbeitenden Stellen geregelt werden müssen.

Wenn Dienstleister:innen bei der Datenverarbeitung eine eigene Entscheidungsbefugnis über die Verwendung der Daten bzw. eigene Interessen mit den Daten verfolgen und diesen damit eine gewisse Eigenverantwortlichkeit zukommt, handelt es sich nicht um eine Auftragsverarbeitung. Der Datenaustausch zwischen den Verantwortlichen und den Dienstleister:innen darf dann nur erfolgen, soweit die gesetzlichen Voraussetzungen für eine Datenübermittlung vorliegen oder die Betroffenen zugestimmt haben. Typische Beispiele dafür sind die Beauftragung einer Steuerberatungsgesellschaft oder eines Inkassounternehmens.

zurück zur Seite: