Auftragsverarbeitung (AV)

Zur Steigerung der Effizienz oder aus anderen wirtschaftlichen Gründen findet die Datenverarbeitung heute nicht mehr im Unternehmen selbst statt, sondern wird immer öfter an externe Dienstleistungsunternehmen ausgelagert.

Auftragsverarbeitung zur Steigerung der Effizienz

Zur Steigerung der Effizienz oder aus anderen wirtschaftlichen Gründen findet die Datenverarbeitung heute nicht mehr im Unternehmen selbst statt, sondern wird immer öfter an externe Dienstleistungsunternehmen ausgelagert.

In jedem dieser Anwendungsfälle kann eine Auftragsverarbeitung vorliegen, und dann müssen besondere gesetzliche Pflichten eingehalten oder Maßnahmen getroffen werden. Ob tatsächlich eine Auftragsverarbeitung vorliegt, kann im Einzelfall auch für Experten nur schwer zu beurteilen sein.

Sie nutzen externe Dienstleister bei der Datenverarbeitung?

Sie sind unsicher, ob eine Auftragsverarbeitung vorliegt?

Wir unterstützen Sie bei der Einhaltung der Datenschutzgrundverordnung (DSGVO).

Zur Einhaltung der DSGVO schließen Auftraggeber und Auftragnehmer bei der Verarbeitung von personenbezogenen Daten einen Auftragsverarbeitungsvertrag (AVV). Dieser gesonderte Vertrag ist Voraussetzung für die Verarbeitung personenbezogener Daten bei einem externen Dienstleister oder anderen Anbieter auf Weisung und im Auftrag des Unternehmens.

Keine Auftragsverarbeiter sind hingegen:

Es handelt sich hier vielmehr um eigenständig Verantwortliche mit eigenen Pflichten und Vorgaben aus der DSGVO). Auch bei der bloßen Übermittlung personenbezogener Daten an einen Verantwortlichen liegt keine Auftragsverarbeitung vor.

Rechtliche Herausforderungen bei der Auftragsverarbeitung

Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag eines Verantwortlichen durch eine andere Stelle. Regelmäßig werden bei der Inanspruchnahme von extern Dienstleister auch personenbezogene Daten vom Verantwortlichen an den oder die Auftragnehmer übermittelt. Hier ist zu klären, wer hinsichtlich der Einhaltung der datenschutzrechtlichen Gesetze verantwortlich ist und welche Maßnahmen hierfür getroffen werden müssen.

Fraglich ist auch, wer Ansprechpartner bei Anfragen durch Betroffene oder Aufsichtsbehörden ist oder welche Vertragspartei bei einem Datenschutzverstoß verantwortlich ist und im Schadensfall haftet. Besonderer Handlungsbedarf besteht auch dann, wenn der Auftragnehmer seinen Hauptsitz in einem Drittland außerhalb der Europäischen Union hat und personenbezogene Daten dorthin übermittelt werden.

Gesetzliche Grundlagen und Definitionen

Die Datenschutzgrundverordnung (DSGVO) definiert die Begriffe des Verantwortlichen (Artikel 4 Nr. 7 DSGVO) oder des Auftragsverarbeiters (Artikel 4 Nr. 8 DSGVO).

„Verantwortlicher“ bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden (Artikel 4 Nr. 7 DSGVO).

„Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Artikel 4 Nr. 8 DSGVO). Die Auftragsverarbeitung selbst wird in den Artikeln 28 und 29 DSGVO geregelt.

Unsere Expertise

Wir haben eine langjährige Expertise bei der rechtskonformen Umsetzung der DSGVO in ausgewählten Branchen.

Fragen zum Thema Datenschutz?

Sie haben Interesse an unseren Angeboten im Bereich Datenschutzberatung, Datenschutzmanagement, Informationssicherheit oder der Bestellung als externe Datenschutzbeauftragte?