1. Home
  2. Knowledge Base
  3. Datenschutzmanagement für Unternehmen
  4. Auftragsverarbeitung nach DSGVO Wann liegt sie vor
  1. Home
  2. Knowledge Base
  3. Grundlagen des Datenschutzes
  4. Auftragsverarbeitung nach DSGVO Wann liegt sie vor
  1. Home
  2. Knowledge Base
  3. Wichtige Begriffe und Prinzipien
  4. Auftragsverarbeitung nach DSGVO Wann liegt sie vor

Auftragsverarbeitung nach DSGVO Wann liegt sie vor

Auftragsverarbeitung nach DSGVO: Wann liegt sie vor?

Die Auftragsverarbeitung ist ein zentraler Begriff der Datenschutz-Grundverordnung (DSGVO) und spielt eine wichtige Rolle im Umgang mit personenbezogenen Daten. Dieser Artikel erläutert, was Auftragsverarbeitung ist, wann sie vorliegt und wann ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen werden muss.

Was ist Auftragsverarbeitung?

Auftragsverarbeitung liegt vor, wenn ein Unternehmen eine andere Stelle hauptsächlich mit der Verarbeitung personenbezogener Daten beauftragt. Dies ist in Art. 4 Nr. 8 DSGVO definiert. Wichtig ist, dass die Datenverarbeitung im Mittelpunkt der Dienstleistung steht und nicht nur ein Nebenaspekt ist.

Beispiele für typische Auftragsverarbeitung

  • Lohn- & Gehaltsabrechnung durch externe Rechenzentren
  • Cloud-Computing mit personenbezogenen Daten (ohne inhaltlichen Zugriff des Anbieters)
  • Callcenter zur Kundenbetreuung (wenn es strikt nach Vorgaben arbeitet)
  • Datenerfassung, Digitalisierung & Archivierung
  • Externe Backup- und Datenspeicherung
  • Fernwartung & IT-Support, wenn personenbezogene Daten sichtbar sind
  • Messwerte-Erfassung in Mietwohnungen (z.B. Heizung, Strom, Wasser)
  • Visabeschaffung durch externe Dienstleister (Arbeitgeber übermittelt Beschäftigtendaten)

Folge: Auftragsverarbeitungsvertrag (AVV)

Bei Auftragsverarbeitung muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden. Dieser Vertrag regelt die Pflichten und Verantwortlichkeiten des Auftragsverarbeiters und stellt sicher, dass die Datenverarbeitung im Einklang mit den Datenschutzbestimmungen erfolgt.

Wann liegt KEINE Auftragsverarbeitung vor?

Es gibt Situationen, in denen keine Auftragsverarbeitung vorliegt, weil der Dienstleister eigene Verantwortung für die Datenverarbeitung trägt. Beispiele hierfür sind:

  • Berufsgeheimnisträger (z.B. Steuerberater, Anwälte, Ärzte)
  • Inkassobüros (wenn Forderung übertragen wurde)
  • Banken & Zahlungsdienstleister (z.B. für Überweisungen oder Betrugsprüfung)
  • Post- & Paketdienste (Transport von Sendungen mit Adressen)
  • Reisebüros & Hotelbuchungen (Direktvermittlung an Dienstleister)
  • Internetplattformen (z.B. Airbnb, eBay)
  • Detekteien & Sicherheitsdienste (eigene Ermittlungen, keine reine Datenverarbeitung)

Regel: Eigenverantwortliche Datenverarbeitung

Wenn der Dienstleister eigenverantwortlich über die Datenverarbeitung entscheidet, handelt es sich nicht um eine Auftragsverarbeitung. In solchen Fällen ist kein AVV erforderlich.

Grauzonen & Abgrenzung

Es gibt Grauzonen, in denen die Abgrenzung zwischen Auftragsverarbeitung und eigenverantwortlicher Datenverarbeitung schwierig sein kann. Hier sind einige Beispiele:

  • IT-Dienstleister: Ein IT-Dienstleister betreut die IT-Infrastruktur eines Unternehmens. Ein AVV ist nötig, wenn er Zugriff auf personenbezogene Daten hat (z.B. Fernwartung, Server-Hosting). Kein AVV ist nötig, wenn er nur allgemeine Hardwarewartung ohne Datenzugriff durchführt.
  • Reinigungsdienst: Ein Reinigungsdienst reinigt Büroräume, in denen personenbezogene Daten auf Schreibtischen liegen. Kein AVV ist nötig, da keine bewusste Datenverarbeitung erfolgt.
  • Externer Trainer: Ein externer Trainer erhält Teilnehmerlisten für ein Seminar. Kein AVV ist nötig, da die Teilnehmerliste nur für organisatorische Zwecke genutzt wird.

Fazit: Wann ist ein AVV erforderlich?

Ein AVV ist erforderlich, wenn der Dienstleister primär mit der Verarbeitung personenbezogener Daten beauftragt wird. Kein AVV ist nötig, wenn der Dienstleister die Daten nur hilfsweise nutzt oder eigene Entscheidungen trifft.

Tipps für Unternehmen

  • Prüfung vor Beauftragung: Unternehmen sollten vor einer Beauftragung genau prüfen, ob ein Auftragsverarbeitungsvertrag (AVV) notwendig ist, um Datenschutzverstöße zu vermeiden.
  • Dokumentation: Halten Sie alle Entscheidungen und Vereinbarungen schriftlich fest, um im Falle einer Prüfung durch die Datenschutzbehörde nachweisen zu können, dass alle Anforderungen erfüllt wurden.
  • Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter für das Thema Datenschutz und Auftragsverarbeitung, um das Bewusstsein für den richtigen Umgang mit personenbezogenen Daten zu stärken.

Mögliche Fragen, die zu diesem Artikel führen könnten:

  1. Was ist Auftragsverarbeitung nach DSGVO?
  2. Wann liegt Auftragsverarbeitung vor?
  3. Welche Beispiele gibt es für typische Auftragsverarbeitung?
  4. Wann ist kein Auftragsverarbeitungsvertrag (AVV) erforderlich?
  5. Was sind Grauzonen bei der Auftragsverarbeitung?

Tags

  • Datenschutz-Compliance
  • DSGVO
  • Auftragsverarbeitung
Was this article helpful?
Yes No

Related Articles

Brauchen Sie Unterstützung?

Sie können die gesuchte Antwort nicht finden?
Kontakt
Nach oben scrollen