Auftragsverarbeitung

Derjenige, der sich externer Hilfe bei der Verarbeitung von personenbezogenen Daten bedient, bspw. Cloud-Lösungen, IT-Dienstleistungen, Plug-Ins auf der Webseite etc., muss prüfen, ob er als Verantwortlicher im datenschutzrechtlichen Sinne hierzu mit dem externen Dienstleister einen Vertrag zur Auftragsverarbeitung abschließen muss.

Im Folgenden werden wir den Begriff näher erklären und Hilfestellungen geben, um einschätzen zu können, wann es sich um eine Auftragsverarbeitung gemäß Art. 28 DSGVO handelt.

Der Begriff selbst

Grob erklärt, spricht die (EU-)Datenschutzgrundverordnung – kurz: (EU-)DSGVO – von Auftragsverarbeitung gemäß Art. 4 Nr. 8 DSGVO, wenn ein Unternehmen als Auftragsverarbeiter personenbezogene Daten im Auftrag eines anderen Unternehmens, das des Verantwortlichen, verarbeitet und hierbei die Verarbeitung dieser Daten im Vordergrund steht. Diese Verarbeitung personenbezogener Daten findet immer weisungsgebunden statt. Das heißt, der Auftragsverarbeiter darf die Daten nur den Anweisungen des Verantwortlichen entsprechend verarbeiten und nicht für eigene Zwecke nutzen.

Beispiele für Auftragsverarbeitung

Im Sinne der DSGVO handelt es sich um solch eine Verarbeitung bspw. im Fall der Wahrnehmung einer Internethosting-Dienstleistung oder bei der IT-Wartung, wenn nicht auszuschließen ist, dass ein Zugriff auf personenbezogene Daten möglich sein könnte. Die Zustellung von Briefen und Paketen oder die Zahlung über ein Bankinstitut dagegen ist keine Auftragsverarbeitung.

Das Bayerische Landesamt für Datenschutzaufsicht hat hierzu auch Beispiele in einer Übersicht festgehalten. Demnach handelt es sich bei unter anderem folgenden Tätigkeiten um Auftragsverarbeitung:

1) Datenverarbeitungstechnische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung in Rechenzentren,

2) Beauftragung eines Cloud-Dienstleisters,

3) Datenerfassung, -konvertierung und Einscannen von Dokumenten,

4) Datenträgerentsorgung durch einen Dienstleister,

5) Nutzung eines Newsletter-Anbieters oder auch

6) Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen usw.

Konsequenzen beim Vorliegen einer Auftragsverarbeitung gemäß DSGVO

Wer Daten im Auftrag ohne Auftragsverarbeitungsvertrag verarbeiten lässt, muss mit empfindlichen Bußgeldern rechnen, gemäß Art. 83 Abs. 4 lit. a) DSGVO theoretisch in Millionenhöhe – bis zu 10 Mio. EUR oder 2 % des Gesamtjahresumsatzes. Wenn ein Unternehmen also feststellt, dass besagte Verarbeitung vorliegt, ist ein Auftragsverarbeitungsvertrag (kurz: AVV) gemäß Art. 28 DSGVO abzuschließen. Hier gibt es verschiedene Vorgaben zu beachten, damit dieser Vertrag auch alle datenschutzrechtlichen Anforderungen erfüllt. Dazu gehört auch die Vereinbarung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Daten, die dem Schutzbedarf und dem Risiko angemessen sein müssen (siehe Art. 32 DSGVO). Meist stellen die Dienstleister dem Auftraggeber ihren Standardvertrag zur Auftragsverarbeitung zur Verfügung. Es liegt in der Verantwortung des Auftraggebers, diesen zu prüfen und erforderlichenfalls nachzuverhandeln, bevor er unterschrieben wird. Bei der Einschätzung, ob eine Auftragsverarbeitung vorliegt und ein entsprechender Vertrag abgeschlossen werden muss, helfen wir Ihnen gern.

Übrigens: Wenn jemand noch von Auftragsdatenverarbeitung (ADV) spricht, ist damit die Auftragsverarbeitung nach dem bis zum 25. Mai 2018 geltenden Bundesdatenschutzgesetz (§ 11 BDSG a. F.) gemeint. Derartige Altverträge müssen an das neue Recht angepasst werden. Also kurz gesagt: Der Begriff Auftragsdatenverarbeitung (ADV) ist der Begriff nach dem alten Recht, Auftragsverarbeitung (AVV) der nach dem neuen.

Rufen Sie uns an – wir erstellen gern ein Angebot zur Datenschutzberatung für Sie.