Facebook Icon-linkedin Instagram
Signo Media, digitale Werbeagentur
Gratis Website-Check
Signo Media, digitale Werbeagentur
Gratis Website-Check

Auftragsverarbeitung: Datenverarbeitung im Auftrag DSGVO-konform managen

Auftragsverarbeitung

Was ist Auftragsverarbeitung?

Die Auftragsverarbeitung bezeichnet die Verarbeitung personenbezogener Daten durch einen Dienstleister im Auftrag eines Verantwortlichen, wie in Artikel 28 DSGVO definiert. Der Dienstleister (Auftragsverarbeiter) handelt dabei strikt nach den Anweisungen des Verantwortlichen (z. B. eines Unternehmens) und ist verpflichtet, die Vorgaben der DSGVO einzuhalten.

Strategiegespräch buchen
Signo Media Wissensdatenbank mit Schwerpunkt auf Auftragsverarbeitung und den rechtlichen Anforderungen gemäß DSGVO

Beispiele für Auftragsverarbeitung

  1. Cloud-Dienste:
    • Speicherung von Kundendaten auf den Servern eines Cloud-Anbieters.
  2. E-Mail-Marketing:
    • Nutzung eines Dienstleisters für den Versand von Newslettern (z. B. Mailchimp).
  3. Web-Hosting:
    • Betrieb der Website durch einen externen Hosting-Anbieter.
  4. Lohnbuchhaltung:
    • Beauftragung eines Steuerberaters oder einer Buchhaltungssoftware zur Gehaltsabrechnung.
  5. Kundenservice:
    • Nutzung eines externen Call-Centers, das Kundendaten verarbeitet.
Der nächste Schritt zum Ziel

Voraussetzungen für eine rechtmäßige Auftragsverarbeitung

Gemäß der DSGVO müssen folgende Anforderungen erfüllt sein:

  1. Vertrag zur Auftragsverarbeitung (AV-Vertrag):
    • Es muss ein schriftlicher oder elektronischer Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden.
  2. Klare Anweisungen:
    • Der Verantwortliche gibt klare Anweisungen zur Verarbeitung der Daten.
  3. Auswahl des Auftragsverarbeiters:
    • Der Verantwortliche muss sicherstellen, dass der Dienstleister ausreichend Garantien für den Schutz der Daten bietet.
  4. Überprüfung und Kontrolle:
    • Der Verantwortliche hat die Pflicht, die Einhaltung der Datenschutzbestimmungen durch den Auftragsverarbeiter zu überprüfen.

Inhalte eines Vertrags zur Auftragsverarbeitung (Art. 28 DSGVO)

Der Vertrag zur Auftragsverarbeitung (AV-Vertrag) muss folgende Punkte enthalten:

  1. Gegenstand und Dauer der Verarbeitung:
    • Beschreibung der Datenverarbeitung, einschließlich der Dauer und des Zwecks.
  2. Art der Daten und Kategorien betroffener Personen:
    • Beschreibung der verarbeiteten personenbezogenen Daten (z. B. Namen, Adressen) und der betroffenen Personen (z. B. Kunden, Mitarbeitende).
  3. Rechte und Pflichten des Verantwortlichen:
    • Anweisungsrecht des Verantwortlichen und Verpflichtung zur Überwachung.
  4. Pflichten des Auftragsverarbeiters:
    • Verarbeitung der Daten nur auf Weisung des Verantwortlichen.
    • Verpflichtung zur Vertraulichkeit und Schulung der Mitarbeitenden.
    • Ergreifung technischer und organisatorischer Maßnahmen (TOMs) zum Schutz der Daten.
    • Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten.
    • Meldung von Datenschutzverletzungen an den Verantwortlichen.
    • Löschung oder Rückgabe der Daten nach Abschluss des Auftrags.
  5. Unterauftragsverhältnisse:
    • Bedingungen für die Einbindung von Unterauftragsverarbeitern (z. B. Genehmigung durch den Verantwortlichen).

Pflichten des Verantwortlichen

  1. Sorgfältige Auswahl:
    • Der Verantwortliche muss sicherstellen, dass der Auftragsverarbeiter hinreichende Garantien für den Datenschutz bietet.
  2. Pflichten Kontrolle und Überwachung:
    • Regelmäßige Überprüfung der Einhaltung der Datenschutzvorgaben durch den Auftragsverarbeiter (z. B. durch Audits).
  3. Verantwortlichkeit:
    • Auch wenn die Datenverarbeitung ausgelagert wird, bleibt der Verantwortliche für die Einhaltung der DSGVO verantwortlich.

Pflichten des Auftragsverarbeiters

  1. Verarbeitung nach Weisung:
    • Der Auftragsverarbeiter darf die Daten nur gemäß den Anweisungen des Verantwortlichen verarbeiten.
  2. Technische und organisatorische Maßnahmen:
    • Sicherstellen, dass die Daten durch geeignete Maßnahmen geschützt sind (z. B. Verschlüsselung, Zugangskontrollen).
  3. Meldung von Datenschutzverletzungen:
    • Der Auftragsverarbeiter muss Datenschutzverletzungen unverzüglich dem Verantwortlichen melden.
  4. Unterauftragsverarbeiter:
    • Die Einbindung weiterer Dienstleister ist nur mit Zustimmung des Verantwortlichen erlaubt.
  5. Dokumentation:
    • Nachweisführung über die Einhaltung der Datenschutzvorgaben.

Unterauftragsverarbeiter

Ein Auftragsverarbeiter kann weitere Dienstleister (Unterauftragsverarbeiter) einbinden, jedoch nur unter folgenden Bedingungen:

  1. Zustimmung des Verantwortlichen:
    • Der Verantwortliche muss der Einbindung zustimmen.
  2. Vertrag mit dem Unterauftragsverarbeiter:
    • Der Auftragsverarbeiter muss mit dem Unterauftragsverarbeiter ebenfalls einen AV-Vertrag abschließen.
  3. Auftragsverarbeitung Haftung:
    • Der ursprüngliche Auftragsverarbeiter bleibt für die Einhaltung der Datenschutzvorgaben durch den Unterauftragsverarbeiter verantwortlich.

Kontrollmechanismen für die Auftragsverarbeitung

  1. Prüfung vor Vertragsabschluss:
    • Bewertung der Datenschutzmaßnahmen des potenziellen Dienstleisters (z. B. durch Zertifikate, Audits).
  2. Regelmäßige Überprüfungen:
    • Durchführung von Audits oder Kontrollbesuchen, um die Einhaltung der Datenschutzvorgaben sicherzustellen.
  3. Berichtspflichten:
    • Der Auftragsverarbeiter muss regelmäßig über Datenschutzmaßnahmen und Vorfälle berichten.

Datenschutzverletzungen und Haftung

Datenschutzverletzungen:

  • Der Auftragsverarbeiter muss Verstöße gegen den Datenschutz unverzüglich dem Verantwortlichen melden.
  • Der Verantwortliche ist verpflichtet, Datenschutzverletzungen innerhalb von 72 Stunden der zuständigen Datenschutzbehörde zu melden.

Haftung:

  • Der Verantwortliche haftet gegenüber den betroffenen Personen.
  • Der Auftragsverarbeiter haftet bei Verstößen gegen seine Pflichten oder bei Verarbeitung außerhalb der Weisungen.

Unterschied zwischen Verantwortlichem und Auftragsverarbeiter

Merkmal Verantwortlicher Auftragsverarbeiter
Definition Entscheidet über Zwecke und Mittel der Verarbeitung Verarbeitet Daten im Auftrag des Verantwortlichen
Beispiele Unternehmen, das Kundendaten erhebt Cloud-Anbieter, der Daten speichert
Rechte und Pflichten Verantwortung für die Daten Verarbeitung nur nach Weisung
Vertragspflicht Muss einen AV-Vertrag abschließen Muss Anweisungen einhalten

Fazit

Die Auftragsverarbeitung ist ein zentraler Bestandteil der DSGVO, um sicherzustellen, dass personenbezogene Daten auch bei ausgelagerten Prozessen sicher und rechtmäßig verarbeitet werden. Sowohl der Verantwortliche als auch der Auftragsverarbeiter tragen spezifische Pflichten, wobei der Verantwortliche letztlich die Hauptverantwortung behält. Ein sauberer AV-Vertrag, klare Anweisungen und regelmäßige Kontrollen sind entscheidend, um die gesetzlichen Anforderungen zu erfüllen und Datenschutzverstöße zu vermeiden.

Kontaktieren Sie uns
Signo Media, digitale Werbeagentur
Gratis Website-Check