Auftragsverarbeiter und Auftragsverarbeitung

Der Auftragsverarbeiter ist in Art. 4 Nr. 8 DSGVO definiert als "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet". Der Auftragsverarbeiter darf personenbezogene Daten, die im Verantwortungsbereich des Verantwortlichen sind, lediglich in dessen Auftrag verarbeiten. Seine Tätigkeit unterliegt den Weisungen des Verantwortlichen. Im Gegensatz zum Verantwortlichen darf der Auftragsverarbeiter die Zwecke und Mittel der Verarbeitung nicht selbst festlegen. Macht er dies, so ist er gem. Art. 28 Abs. 10 DSGVO selbst als Verantwortlicher anzusehen.

 Die Auftragsverarbeitung gemäß der EU-Datenschutz-Grundverordnung (DSGVO) ist ein wichtiger Aspekt des Datenschutzes, der Unternehmen dabei hilft, personenbezogene Daten sicher und rechtmäßig mittels externer Ressourcen zu verarbeiten. In diesem Artikel werden die Grundlagen der Auftragsverarbeitung erläutert und wichtige Punkte für Unternehmen, die Auftragsverarbeiter beauftragen, dargelegt. 

Auftragsverarbeiter im Datenschutz: Bedeutung, Anforderungen und Best Practices für Unternehmen 

 

Im Rahmen der Datenschutz-Compliance spielen Auftragsverarbeiter eine wichtige Rolle. Unternehmen, die personenbezogene Daten an Dritte weitergeben oder von Dritten verarbeiten lassen, sind gemäß der Datenschutzgrundverordnung (DSGVO) verpflichtet, Auftragsverarbeitungsverträge abzuschließen und sicherzustellen, dass die Verarbeitung rechtmäßig und datenschutzkonform erfolgt. In diesem Artikel werden die Bedeutung von Auftragsverarbeitern im Datenschutz, die rechtlichen Anforderungen und Best Practices für Unternehmen beleuchtet.

Bedeutung von Auftragsverarbeitern: Auftragsverarbeiter sind Dritte, die personenbezogenen Daten im Auftrag und nach den Weisungen eines Verantwortlichen verarbeiten. Das können beispielsweise IT-Dienstleister, Cloud-Anbieter, Zahlungsdienstleister oder Marketingagenturen sein. Unternehmen greifen häufig auf Auftragsverarbeiter zurück, um bestimmte Aufgaben auszulagern oder Dienstleistungen in Anspruch zu nehmen, die die Verarbeitung personenbezogener Daten erfordern. 

Rechtliche Anforderungen an Auftragsverarbeiter:

Die DSGVO legt klare Anforderungen an Auftragsverarbeiter fest, um den Schutz personenbezogener Daten zu gewährleisten. Unternehmen, die Auftragsverarbeiter einsetzen, müssen sicherstellen, dass diese die folgenden rechtlichen Anforderungen erfüllen: 

  1. Vertragliche Regelungen: Unternehmen und Auftragsverarbeiter müssen einen schriftlichen Vertrag abschließen, der die Verarbeitung personenbezogener Daten regelt. Dieser Vertrag muss bestimmte gesetzliche Anforderungen erfüllen, wie z.B. die genauen Weisungen zur Verarbeitung, die Verpflichtung zur Einhaltung von Datenschutzvorschriften, die Sicherheitsmaßnahmen und die Rechte und Pflichten beider Parteien. 
  2. Datensicherheit: Der Auftraggeber muss sicherstellen, dass der Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen ergreift, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Dazu gehören z.B. die Verschlüsselung von Daten, die Zugriffskontrolle, das Monitoring von Verarbeitungstätigkeiten und die Sicherung von Datensicherungen. 
  3. Vertraulichkeit: Auftragsverarbeiter sind zur Vertraulichkeit verpflichtet und dürfen die Daten nicht für eigene Zwecke nutzen oder an Dritte weitergeben, es sei denn, dies ist ausdrücklich im Vertrag oder durch rechtliche Anforderungen vorgesehen. 
  4. Meldung von Datenschutzverletzungen: Auftragsverarbeiter sind verpflichtet, Datenschutzverletzungen unverzüglich dem Verantwortlichen zu melden, damit diese angemessenen Maßnahmen ergreifen kann, um die betroffenen Personen und Aufsichtsbehörden zu informieren und den Vorfall zu beheben. 

Best Practices für Unternehmen im Umgang mit Auftragsverarbeitern: 

1. Sorgfältige Auswahl von Auftragsverarbeitern  

Unternehmen sollten Auftragsverarbeiter sorgfältig auswählen und prüfen, ob sie die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten umsetzen. Dazu gehört die Überprüfung von Sicherheitszertifikaten, Referenzen, Datenschutzrichtlinien und Verträgen, um sicherzustellen, dass der Auftragsverarbeiter den rechtlichen Anforderungen entspricht. 

2: Vertragliche Regelungen klar definieren  

Es ist wichtig, dass Unternehmen mit Auftragsverarbeitern klare und umfassende Verträge abschließen, die alle erforderlichen rechtlichen Anforderungen gemäß der DSGVO erfüllen. Dazu gehören genaue Weisungen zur Verarbeitung, Sicherheitsmaßnahmen, Vertraulichkeit, Meldung von Datenschutzverletzungen und Haftung. Ein gut ausgestalteter Vertrag legt die Grundlage für eine rechtskonforme Zusammenarbeit mit dem Auftragsverarbeiter. 

 3: Regelmäßige Überprüfung der Auftragsverarbeiter  

Unternehmen sollten regelmäßig die Leistung ihrer Auftragsverarbeiter überprüfen und sicherstellen, dass sie weiterhin den vertraglichen Vereinbarungen und den rechtlichen Anforderungen entsprechen. Dazu können regelmäßige Audits, Reviews von Sicherheitsberichten oder Überprüfungen von Datenschutzdokumentationen gehören, um sicherzustellen, dass der Auftragsverarbeiter nach wie vor den erforderlichen Datenschutzstandard einhält. 

 4: Schulung und Sensibilisierung von Mitarbeitern  

Mitarbeiter, die mit der Verwaltung von Auftragsverarbeitern beauftragt sind, sollten in Datenschutzbestimmungen geschult sein und ein Bewusstsein für die Bedeutung von Auftragsverarbeitern im Datenschutz haben. Es ist wichtig, Mitarbeiter für die Verantwortlichkeiten im Umgang mit Auftragsverarbeitern zu sensibilisieren und sicherzustellen, dass sie die erforderlichen Verfahren und Prozesse kennen, um die datenschutzkonforme Zusammenarbeit mit Auftragsverarbeitern zu gewährleisten. 

 5: Dokumentation und Nachweisbarkeit  

Unternehmen sollten alle Verträge, Dokumente und Nachweise in Bezug auf Auftragsverarbeiter gut dokumentieren und aufbewahren. Dies ermöglicht es, die Einhaltung der rechtlichen Anforderungen nachzuweisen und bei Bedarf gegenüber Aufsichtsbehörden oder betroffenen Personen nachzuweisen, dass die Verarbeitung von personenbezogenen Daten durch Auftragsverarbeiter rechtmäßig und datenschutzkonform erfolgt. 

 6: Überprüfung außereuropäischer Datenübermittlungen 

Unternehmen sind insbesondere vor dem Hintergrund der jüngeren Rechtsprechung des EuGH (vgl. “Schrems II”) dazu verpflichtet, die Zielländer der angestrebten Datenübermittlungen (z.B. Sitz des Auftragsverarbeiters) auf ihr Datenschutzniveau zu prüfen. Insbesondere in Fällen, in denen es sich einem Angemessenheitsbeschluss der Europäischen Kommission ermangelt, ist eine Verarbeitung der personenbezogenen Daten im Zielland nur dann möglich, wenn der Verantwortliche geeignete Garantien für die Sicherheit und Integrität der Daten gem. Art. 46 DSGVO, z.B. durch die Integration vorgefertigter Vertragsmuster (sog. “Standardvertragsklauseln” der Europäischen Kommission) sicherstellen kann.  

Fazit:

Die Verarbeitung personenbezogener Daten durch Auftragsverarbeiter ist ein wichtiger Aspekt der Datenschutz-Compliance für Unternehmen. Es ist entscheidend, dass Unternehmen sorgfältig Auftragsverarbeiter auswählen, klare vertragliche Regelungen treffen, regelmäßige Überprüfungen durchführen, Mitarbeiter schulen, Dokumentationen pflegen und die Einhaltung der rechtlichen Anforderungen sicherstellen. 

Auftragsverarbeitung

Die Auftragsverarbeitung gemäß der EU-Datenschutz-Grundverordnung (DSGVO) ist ein wichtiger Aspekt des Datenschutzes, der Unternehmen dabei hilft, personenbezogene Daten sicher und rechtmäßig mittels externer Ressourcen zu verarbeiten. In diesem Artikel werden die Grundlagen der Auftragsverarbeitung erläutert und wichtige Punkte für Unternehmen, die Auftragsverarbeiter

beauftragen, dargelegt. 

Was ist Auftragsverarbeitung? 

Eine Auftragsverarbeitung liegt vor, wenn ein Verantwortlicher (das Unternehmen oder die Organisation, die die personenbezogenen Daten kontrolliert) einen Auftragsverarbeiter (ein Drittanbieter, der im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet) beauftragt, personenbezogene Daten zu verarbeiten. Der Auftragsverarbeiter handelt dabei ausschließlich nach den Weisungen des Verantwortlichen und hat keinen eigenen Entscheidungsspielraum in Bezug auf die Verarbeitung der Daten. 

Rechtliche Anforderungen an die Auftragsverarbeitung 

Die DSGVO legt bestimmte rechtliche Anforderungen an die Auftragsverarbeitung fest, die von Unternehmen und Auftragsverarbeitern eingehalten werden müssen. Hier sind einige wichtige Punkte: 

  1. Vertragliche Vereinbarung: Es muss ein schriftlicher Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgeschlossen werden, der die Einzelheiten der Verarbeitung personenbezogener Daten festlegt. Der Vertrag muss bestimmte verpflichtende Klauseln gemäß Art. 28 DSGVO enthalten, wie z.B. die Pflichten des Auftragsverarbeiters in Bezug auf die Sicherheit der Daten und die Unterstützung des Verantwortlichen bei der Einhaltung der Datenschutzpflichten. 
  2. Auswahl von zuverlässigen Auftragsverarbeitern: Der Verantwortliche ist für die Auswahl eines zuverlässigen Auftragsverarbeiters verantwortlich, der hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bietet, um die Sicherheit der Daten zu gewährleisten. 
  3. Begrenzte Verarbeitung: Der Auftragsverarbeiter darf die personenbezogenen Daten nur gemäß den ausdrücklichen Weisungen des Verantwortlichen verarbeiten und darf die Daten nicht für eigene Zwecke nutzen oder an Dritte weitergeben, es sei denn, dies ist ausdrücklich im Vertrag oder durch geltendes Recht erlaubt. 
  4. Sicherheit der Daten: Der Auftragsverarbeiter ist verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten und einen unbefugten Zugriff, Verlust oder Diebstahl der Daten zu verhindern. 
  5. Kontrolle und Überwachung: Der Verantwortliche ist verpflichtet, die Tätigkeiten des Auftragsverarbeiters zu überwachen und sicherzustellen, dass die Datenschutzvorschriften eingehalten werden. Dazu können regelmäßige Kontrollen, Audits und Berichterstattung gehören. 

Typische Beispiele für eine Auftragsverarbeitung können sein:

  • Newsletter-Dienste
  • Webhosting
  • IT-Fernwartung
  • Cloud-Dienste
  • Callcenter
  • Archivierungsdienstleister
  • Datenträgerentsorgung

← zurück

Ihr Ansprechpartner:

Erdem Durmus

Managing Director | Externer Datenschutzbeauftragter

CIPP/E
CIPM
FIP
ISO 27001
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten

Ihr Ansprechpartner:

Michael Gilmour

Managing Director | Externer Datenschutzbeauftragter

Certified Professional Data Protection Officer (udis)