Was ist die Auftragsverarbeitung? Definition & Hinweise

Einleitung

Die Auftragsverarbeitung (AV), ehemals Auftragsdatenverarbeitung (ADV), bildet einen zentralen Bestandteil des Datenschutzes – Auftragsverarbeiter werden in Unternehmen jeder Größe und Branche eingesetzt. Jene durch den Verantwortlichen bestimmten Auftragsverarbeiter verpflichten sich zur Verarbeitung personenbezogenen Daten gemäß der Europäischen Datenschutz-Grundverordnung (EU-DSGVO).

Inwieweit und in welcher Qualität Auftragsverarbeiter ihren Pflichten nachkommen, müssen Datenschutzverantwortliche eines Unternehmens überprüfen, ansonsten riskieren Verantwortliche Bußgelder.

Die Beurteilung von Auftragsverarbeitungen im Unternehmensalltag ist oftmals komplex und erfordert viel Fachwissen. Wir klären Sie in diesem Beitrag über die wichtigsten Merkmale der Auftragsverarbeitung auf.

Inhalt

Auftragsverarbeitung DSGVO
 

Was ist eine Auftragsverarbeitung?

Die Auftragsverarbeitung ist ein Begriff aus dem Datenschutz und beschreibt die Verarbeitung personenbezogener Daten im Auftrag eines anderen Unternehmens oder einer anderen Organisation. Das bedeutet, dass ein Auftragsverarbeiter personenbezogene Daten im Namen des Auftraggebers verarbeitet, jedoch nicht für eigene Zwecke.

Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know-how. Wichtig ist zunächst, dass ein Unternehmen, welches einen Dritten beauftragt personenbezogene Daten im Auftrag des Unternehmens zu verarbeiten, nach Art. 28 DSGVO zwingend einen Vertrag mit dem Auftragnehmer schließen muss. Dieser Vertrag muss inhaltlich den Vorgaben des Art. 28 Abs. 3 DSGVO genügen.

Schnell kommt es bei der Einschätzung, ob eine Auftragsverarbeitung vorliegt, zu Missverständnissen und der Auftraggeber läuft Gefahr, gemäß Art. 83 DSGVO mit hohen Geldbußen durch die Datenschutzbehörden belegt zu werden. Ganz zu Schweigen von Imageschäden in der Öffentlichkeitswahrnehmung. Eine sorgfältige Prüfung durch einen Berater für Datenschutz oder einen Datenschutzbeauftragten hilft, diese Risiken zu minimieren und die notwendigen Regelungen umzusetzen.

Wenn Ihr Dienstleister nicht weisungsgebunden handelt, dann ist es oft ein Indiz dafür, dass keine Auftragsverarbeitung vorliegt. Das ist zum Beispiel der Fall bei Sachverständigen, Steuerberatern, Anwälten, Ärzten oder Notaren.

Beispiele für eine Auftragsverarbeitung

Eine Auftragsverarbeitung kommt zum Beispiel dann zustande, wenn ein Unternehmen einen Dienstleister beauftragt, personenbezogene Daten zu verarbeiten, wie beispielsweise ein Cloud-Provider, der Kundendaten speichert und verarbeitet. Dabei bleibt das Unternehmen als Auftraggeber für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich, während der Auftragsverarbeiter lediglich im Rahmen der Weisungen des Auftraggebers tätig wird. Folgende Beispiele sind demnach einschlägig:

  • Die Verarbeitung von Gehaltsabrechnungen durch einen Lohnabrechnungsdienstleister.
  • Outsourcing von IT (Cloud und Software) im Allgemeinen.
  • Ein E-Commerce-Unternehmen benutzt für den Newsletterversand eine webbasierte Software.
  • Ein Rechtsanwalt beauftragt eine IT-Firma, die Akten und Dokumente seiner Klienten digital zu archivieren und zu verwalten. Dabei handelt es sich um eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO.
  • Eine Versicherungsgesellschaft beauftragt ein Callcenter-Unternehmen, um die Kundenanfragen und Schadensmeldungen zu bearbeiten.
  • Eine Universität beauftragt einen Cloud-Service-Provider, um die Studierendendaten zu speichern und zu verwalten. Dabei handelt es sich um eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO.

Beispiele keine Auftragsverarbeitung

Eine Verarbeitung ist keine Auftragsverarbeitung, wenn sie nicht im Auftrag eines anderen Unternehmens oder einer anderen Organisation erfolgt. Das bedeutet, dass die Verarbeitung von personenbezogenen Daten in diesem Fall nicht durch einen Auftragsverarbeiter im Namen und auf Weisung des Auftraggebers erfolgt. Folgende Beispiele dienen als Verdeutlichung:

  • Eine Verarbeitung durch ein Unternehmen für eigene Zwecke, wie zum Beispiel die Verarbeitung von Kundendaten für die eigene Marketing-Kampagne.
  • Eine Verarbeitung durch eine öffentliche Stelle oder Behörde, die nicht im Auftrag einer anderen Organisation erfolgt, sondern im Rahmen ihrer gesetzlichen Aufgaben.
 
Datenschutz Preis berechnen
Mehr Vertrauen, weniger Risiko.

Überzeugen Sie Ihre Kunden mit wasserdichtem Datenschutz, verringern Sie den Prüfungsaufwand und senken Sie Ihre Haftung. Berechnen Sie jetzt maßgeschneidert Ihren Preis.

Preise berechnen

Welche Pflichten hat ein Auftragsverarbeiter?

Im Gegensatz zur früheren Rechtslage legt die DSGVO dem Verantwortlichen und dem Auftragsverarbeiter mehr Pflichten auf nach Art. 28 DSGVO.

Noch stärker als früher sind die Beteiligten gehalten, die Frage zu klären, ob die geplante Auftragsverarbeitung überhaupt sicher ist. Denn wer dieser zentralen Ausgangsfrage keine Bedeutung beimisst, wird die Rechtmäßigkeit der Verarbeitung nicht gewährleisten können und riskiert mitunter deutliche höhere Bußgelder. Hierzu muss der Auftragsverarbeiter mittels geeigneten Maßnahmen ein angemessenes Sicherheitsniveau nachweisen.

Es sollten Maßnahmen vereinbart werden, welche mindestens die folgenden Punkte absichert:

  • die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Bei der Beurteilung des angemessenen Schutzniveaus vom Auftragnehmer sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung – verbunden sind.

Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der technischen und organisatorischen Maßnahmen nachzuweisen.

 

Welche Pflichten hat ein Verantwortlicher?

Verantwortliche müssen ein gleichwertiges Sicherheitsniveau für die personenbezogenen Daten auch bei Datenübertragung an Auftragsverarbeiter gewährleisten. Im Wesentlichen wird diese Pflicht durch den Abschluss eines Auftragsverarbeitungsvertrages und die Kontrolle der Sicherheitsmaßnahmen des Auftragsverarbeiters erfüllt. Diese Pflichten sollten sehr gewissenhaft wahrgenommen werden, da in erster Linie das verantwortliche Unternehmen haftet gegenüber seinen Kunden im datenschutzrechtlichen Sinne.

 

Ist der Einsatz von Unterauftragsnehmer durch den Auftragsverarbeiter erlaubt?

Ja, der Einsatz von Unterauftragsnehmern durch den Auftragsverarbeiter ist grundsätzlich erlaubt, allerdings nur unter bestimmten Voraussetzungen.

Gemäß Artikel 28 Absatz 2 der Datenschutzgrundverordnung (DSGVO) muss der Auftragsverarbeiter den Verantwortlichen vorab über den Einsatz von Unterauftragsnehmern informieren und dessen Zustimmung einholen. Der Auftragsverarbeiter bleibt jedoch für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich und muss sicherstellen, dass der Unterauftragsnehmer ebenfalls angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergreift.

Der Auftragsverarbeiter muss zudem vertraglich sicherstellen, dass der Unterauftragsnehmer denselben datenschutzrechtlichen Verpflichtungen unterliegt wie er selbst, insbesondere in Bezug auf die Sicherheit der personenbezogenen Daten und die Einhaltung der Weisungen des Auftraggebers. Ebenfalls bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen (Auftraggeber) für die Erfüllung aller vertraglichen Verpflichtungen verantwortlich.

Es ist wichtig zu betonen, dass der Einsatz von Unterauftragsnehmern nicht unkontrolliert erfolgen sollte. Der Auftraggeber sollte zudem regelmäßig über den Einsatz von Unterauftragsnehmern informiert werden und die Möglichkeit haben, diesen zu widersprechen, falls dies erforderlich ist.

 

Wann braucht man einen Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag ist dann erforderlich, wenn ein Unternehmen personenbezogene Daten an einen Auftragsverarbeiter übermittelt und dieser die Daten im Namen und auf Weisung des Auftraggebers verarbeitet. Dies ist gemäß Artikel 28 der Datenschutzgrundverordnung (DSGVO) der Fall.

Die Auslegung des Auftragsverarbeitungsbegriffs orientiert sich allein an der DSGVO. Verantwortlicher ist demnach, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO wird hingegen tätig, wer personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Bei der Prüfung des Vorliegens einer Auftragsverarbeitung kann dabei vor allem auf die von der Artikel-29-Datenschutzgruppe auf Basis der Definitionen der DSRL entwickelten Leitlinien des Arbeitspapiers 169 zu den Begriffen „für die Verarbeitung Verantwortlichen“ und „Auftragsverarbeiter“ abgestellt werden.

Die Auslegung muss danach anhand der faktischen bzw. funktionellen tatsächlichen Verhältnisse erfolgen. Allein die formelle Einordnung einer Tätigkeit als Auftragsverarbeitung und der Abschluss eines entsprechenden Auftragsverarbeitungsvertrags zur Auftragsverarbeitung durch die beteiligten Parteien führt nicht zur Annahme einer Auftragsverarbeitung.

Der Vertrag legt die Rechte und Pflichten der beteiligten Parteien fest, insbesondere hinsichtlich der technischen und organisatorischen Maßnahmen zur Datensicherheit, der Datenverarbeitung und der Zusammenarbeit im Falle von Datenschutzverletzungen.

Menü