Wirtschaft/Verwaltung

Auftragsverarbeitung

Charakteristisch für die Auftragsverarbeitung ist, dass sich der datenschutzrechtlich Verantwortliche für Hilfstätigkeiten einer Dienstleisterin oder eines Dienstleisters (Auftragsverarbeiter) für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten bedient. Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DS-GVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Auftragsverarbeiter verfährt dabei entsprechend den Weisungen des Verantwortlichen mit den von diesem überlassenenen Daten (Art. 28 Abs. 3 lit. a) DS-GVO). Die maßgeblichen Entscheidungen über den Umgang mit den personenbezogenen Daten verbleiben aber beim Verantwortlichen. Die Gesamtverarbeitung für die Datenverarbeitung und Nachweispflicht des Verantwortlichen nach Art. 5 Abs. 2 DS-GVO umfasst auch die Verarbeitung durch den Auftragsverarbeiter. Hiervon kann sich der Verantwortliche nicht durch die Beauftragung eines Auftragsverarbeiters befreien. Verstößt der Auftragsverarbeiter gegen die Pflicht zur weisungsgebundenen Verarbeitung und verletzt dabei die Vorgaben DS-GVO, gilt er nach Art. 28 Abs. 10 DS-GVO insoweit selbst als Verantwortlicher. Die Weitergabe von personenbezogenen Daten im Zuge einer Auftragsdatenverarbeitung wird gesetzlich nicht als Übermittlung im datenschutzrechtlichen Sinne qualifiziert.

Der Verantwortliche darf nur mit solchen Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Der Verantwortliche muss mit dem Auftragsverarbeiter eine bindende Vereinbarung, z. B. einen Vertrag, über die weisungsgebundene Tätigkeit schließen. Die gesetzlichen Regelungen in Art. 28 Abs. 3 DS-GVO beschreiben im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen zwischen dem Verantwortlichen und dem Auftragsverarbeiter geregelt werden müssen.

Typische Beispiele einer Auftragsdatenverarbeitung sind: Lohn- und Gehaltsabrechnung, IT-Wartung, Cloud-Computing-Anwendungen, Hosting oder Callcenter-Tätigkeiten.

Wenn ein Dienstleister bei der Datenverarbeitung eine eigene Entscheidungsbefugnis über die Verwendung der Daten bzw. eigene Interessen mit den Daten verfolgt und ihm damit eine gewisse Eigenverantwortlichkeit zukommt, handelt es sich nicht um eine Auftragsverarbeitung. Der Datenaustausch zwischen dem Verantwortlichen und dem Dienstleister darf dann nur erfolgen, soweit die gesetzlichen Voraussetzungen für eine Datenübermittlung vorliegen oder der Betroffene zugestimmt hat.

Typische Beispiele sind: Beauftragung einer Steuerberatungsgesellschaft oder die Beauftragung eines Inkassounternehmens.

zurück zur Seite: