1. Home
  2. Knowledge Base
  3. Datenschutzmanagement für Unternehmen
  4. Auftragsverarbeitung nach DSGVO: Was muss beachtet werden?
  1. Home
  2. Knowledge Base
  3. Grundlagen des Datenschutzes
  4. Auftragsverarbeitung nach DSGVO: Was muss beachtet werden?
  1. Home
  2. Knowledge Base
  3. Wichtige Begriffe und Prinzipien
  4. Auftragsverarbeitung nach DSGVO: Was muss beachtet werden?

Auftragsverarbeitung nach DSGVO: Was muss beachtet werden?

Auftragsverarbeitung nach DSGVO: Was muss beachtet werden?

Die Auftragsverarbeitung ist ein zentrales Konzept der Datenschutz-Grundverordnung (DSGVO). Gemäß Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde oder andere Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Dieser Artikel erläutert, was eine Auftragsverarbeitung ist, wann sie vorliegt, wann ein Vertrag zur Auftragsverarbeitung erforderlich ist und welche Form dieser Vertrag haben muss.

Was ist eine Auftragsverarbeitung?

Gemäß Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde oder andere Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Dabei handelt der Auftragsverarbeiter weisungsgebunden und entscheidet nicht selbst über Zweck und Mittel der Verarbeitung.

Wann liegt eine Auftragsverarbeitung vor?

Ein Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO ist erforderlich, wenn:

  • Eine Datenverarbeitung im Auftrag erfolgt.
  • Der Auftragnehmer keine eigenen Zwecke verfolgt.
  • Der Auftragnehmer nur nach den Weisungen des Verantwortlichen handelt.

Typische Beispiele für Auftragsverarbeitung sind:

  • Lohn- und Gehaltsabrechnung durch ein externes Rechenzentrum.
  • Cloud-Speicherung personenbezogener Daten.
  • Callcenter für Kundenanfragen ohne eigene Entscheidungsbefugnis.
  • Externe IT-Wartung, wenn ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
  • Datenträgerentsorgung durch einen externen Dienstleister.

Wann ist kein Auftragsverarbeitungsvertrag erforderlich?

Nicht jede Zusammenarbeit mit einem externen Dienstleister erfordert einen AV-Vertrag. Wenn der Dienstleister eigenständig handelt, eine eigene Verantwortung trägt oder gesetzlich gebunden ist, liegt keine Auftragsverarbeitung vor.

Kein AV-Vertrag ist nötig bei:

  • Steuerberatern, Rechtsanwälten oder Wirtschaftsprüfern – Sie sind Berufsgeheimnisträger und arbeiten eigenverantwortlich.
  • Labore in der Zusammenarbeit mit Ärzten – Sie agieren als eigenständige Stellen.
  • Inkassobüros mit Forderungsübertragung – Sie arbeiten in eigenem Namen.
  • Postdienste oder Banken – Sie haben eigene gesetzliche Verpflichtungen.
  • Dolmetscher oder Übersetzer – Sie führen eigenständige Fachleistungen aus.

Wann sind mehrere Stellen „gemeinsam Verantwortliche“?

Wenn mehrere Stellen gemeinsam über Zweck und Mittel der Verarbeitung entscheiden, sind sie gemäß Art. 26 DSGVO gemeinsam verantwortlich.

Typische Fälle gemeinsamer Verantwortung sind:

  • Facebook-Fanpages – Betreiber und Facebook entscheiden gemeinsam über die Datenverarbeitung.
  • Gemeinsame Kundendatenbanken in Unternehmensgruppen.
  • Arzneimittelstudien mit mehreren Mitwirkenden (Sponsoren, Ärzte, Studienzentren).
  • E-Government-Portale, bei denen mehrere Behörden beteiligt sind.

In diesen Fällen muss eine Vereinbarung über die gemeinsame Verantwortung erstellt werden.

Welche Form muss ein Vertrag zur Auftragsverarbeitung haben?

Gemäß Art. 28 Abs. 9 DSGVO muss der Vertrag schriftlich oder in elektronischer Form vorliegen. Eine einfache elektronische Dokumentation reicht aus, eine Unterschrift auf Papier ist nicht zwingend erforderlich.

Tipps für die Praxis

  • Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter für den Umgang mit Auftragsverarbeitungsverträgen und die Bedeutung des Datenschutzes. Regelmäßige Schulungen können helfen, das Bewusstsein für die rechtlichen Anforderungen zu schärfen.
  • Interne Richtlinien: Entwickeln Sie klare Richtlinien für den Umgang mit Auftragsverarbeitungsverträgen. Diese Richtlinien sollten die rechtlichen Anforderungen abdecken und sicherstellen, dass alle Mitarbeiter die notwendigen Kenntnisse und Fähigkeiten besitzen.
  • Regelmäßige Überprüfung: Überprüfen Sie regelmäßig die Maßnahmen und Richtlinien zur Auftragsverarbeitung und passen Sie diese bei Bedarf an. Dies stellt sicher, dass Ihr Unternehmen den aktuellen Anforderungen entspricht und effektiv auf neue Entwicklungen reagieren kann.

Fazit

Ein Vertrag zur Auftragsverarbeitung ist erforderlich, wenn ein Dienstleister personenbezogene Daten im Auftrag und weisungsgebunden verarbeitet. Kein AV-Vertrag ist nötig, wenn der Dienstleister eigenständig arbeitet. Gemeinsame Verantwortung liegt vor, wenn mehrere Stellen gemeinsam über die Datenverarbeitung entscheiden. Ein AV-Vertrag muss schriftlich oder in elektronischer Form vorliegen. Prüfen Sie genau, ob eine Auftragsverarbeitung oder eigenverantwortliche Tätigkeit vorliegt, um unnötige Verträge oder Verstöße gegen die DSGVO zu vermeiden.

Mögliche Fragen, die zu diesem Artikel führen könnten:

  1. Was ist eine Auftragsverarbeitung nach DSGVO?
  2. Wann liegt eine Auftragsverarbeitung vor?
  3. Wann ist kein Auftragsverarbeitungsvertrag erforderlich?
  4. Wann sind mehrere Stellen gemeinsam verantwortlich?
  5. Welche Form muss ein Vertrag zur Auftragsverarbeitung haben?

Tags

  • Datenschutz-Compliance
  • Auftragsverarbeitung
  • DSGVO
Was this article helpful?
Yes No

Related Articles

Brauchen Sie Unterstützung?

Sie können die gesuchte Antwort nicht finden?
Kontakt
Nach oben scrollen