Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen

Auftragsverarbeitung

Bei einer Auftragsverarbeitung lässt ein Verantwortlicher personenbezogene Daten durch eine andere, externe Stelle verarbeiten. Er bestimmt allein über die Zwecke und Mittel und weist den Auftragsverarbeiter an, die Datenverarbeitung für ihn durchzuführen. Beispielsweise gelten viele Fälle des Outsourcings als Auftragsverarbeitung.

➜ Auftragsverarbeitung: Anforderungen und Beispiele

Verantwortlicher, Auftragsverarbeiter oder Joint Controller?

DP+
Verantwortlicher, Auftragsverarbeiter oder Joint Controller?
Bild: iStock.com / PeopleImages
Abgrenzung und Inhalte
Verantwortlicher, Auftragsverarbeiter oder Joint Controller?

Eine Abgrenzung der Verantwortlichkeiten ist kompliziert – eine Fehleinschätzung und die Verarbeitung personenbezogener Daten ist nicht DSGVO-konform. Der Europäische Gerichtshof (EuGH) und die Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ des Europäischen Datenschutzausschusses (EDSA) helfen bei der Orientierung.

Analyse
8. April 2024

Checkliste: Datenschutz-Audit von Auftragsverarbeitern

DP+
Datenschutzkontrollen
Checkliste: Datenschutz-Audit von Auftragsverarbeitern

Die Checkliste gibt Verantwortlichen und Datenschtzbeauftragten die wichtigsten Prüfkriterien an die Hand, um Auftragsverarbeiter unter die Lupe zu nehmen.

Download
27. März 2024

Die datenschutzrechtliche Stellung von Headhuntern

Eine Auftragsverarbeitung liegt immer dann vor, wenn eine Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird. Ist das bei einem Headhunter wirklich der Fall?
Bild: iStock.com / deepblue4you
Auftragsverarbeitung oder nicht?
Die datenschutzrechtliche Stellung von Headhuntern

Sind Headhunter eigenständig Verantwortliche, wenn sie für ein Unternehmen Bewerber suchen, oder ist ein Vertrag zur Auftragsverarbeitung erforderlich? Lesen Sie, was sich in dieser Konstellation empfiehlt.

Ratgeber
18. Oktober 2023

Checkliste: Prüfung der Zuverlässigkeit eines Aufragsverarbeiters

DP+
Auftragsverarbeitung
Checkliste: Prüfung der Zuverlässigkeit eines Aufragsverarbeiters

Die Zuverlässigkeit von Auftragsverarbeitern steht nicht nur bei US-Konzernen infrage. Was müssen Sie bei der Zuverlässigkeitsprüfung beachten?

Download
25. Mai 2023

Auftragsverarbeiter mit Muttergesellschaft in Drittstaaten

DP+
Die Zuverlässigkeit von Auftragsverarbeitern steht nicht nur bei US-Konzernen infrage
Bild: iStock.com / VitaliyPozdeyev
Sorgfältige Auswahl ist Pflicht
Auftragsverarbeiter mit Muttergesellschaft in Drittstaaten

Setzen Verantwortliche Auftragsverarbeiter ein, deren Mutterkonzern in einem Drittstaat seinen Sitz hat, kann sich das auf die Zuverlässigkeit dieses Auftragsverarbeiters auswirken. Lesen Sie, in welchen Fällen das so ist und was die Datenschutzkonferenz (DSK) empfiehlt.

Ratgeber
18. Mai 2023

Bilder-Cloud statt CD für Patienten: Einwilligung erforderlich?

Auch Arztpraxen können Auftragsverarbeiter beauftragen
Bild: metamorworks / iStock / Getty Images
Arztpraxen im Kampf mit der Datenflut
Bilder-Cloud statt CD für Patienten: Einwilligung erforderlich?

Eine Radiologie-Praxis beauftragt einen externen Dienstleister, alle anfallenden Daten für den Abruf durch die Patienten in einer Cloud bereitzuhalten. Eine CD mit seinen Daten bekommt jeder Patient trotzdem nach wie vor. Geht das auch ohne Einwilligung? Die hessische Datenschutzaufsicht stieg tief in die Thematik ein.

Ratgeber
2. Mai 2023

„Trusted Data Processor“: Mehr Rechtssicherheit bei der Auftragsverarbeitung

Auftragsverarbeiter können sich nun mit dem „Trusted Data Processor“ verpflichten und Datenschutz nach außen sichtbar machen.
Bild: anyaberkut / iStock / Getty Images Plus
Auftragsverarbeitung
„Trusted Data Processor“: Mehr Rechtssicherheit bei der Auftragsverarbeitung

Wie können ganze Branchen die Verarbeitung personenbezogener Daten maßgenau auf ihre Bedürfnisse abstimmen und dabei rechtssicher handeln? Mit „Selbstregulierung“ und „standardisierten Verhaltensregeln“ – empfiehlt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü).

News
8. Dezember 2022

Wie Sie Hybridbriefe datenschutzfreundlich versenden

Für Hybridbriefe gelten viele rechtliche Besonderheiten. Worauf es ankommt, erklärt der BayLfD in seiner Kurz-Information 44
Bild: Heike Brauer / iStock / Getty Images Plus
Postdienstleistung
Wie Sie Hybridbriefe datenschutzfreundlich versenden

Dürfen bayerische öffentliche Stellen per Hybridbrief kommunizieren? „Grundsätzlich ja“ – sagt der Bayerische Landesbeauftragte für den Datenschutz (BayLfD). Allerdings müssen sie dabei sowohl datenschutzrechtliche als auch technisch-organisatorische Vorgaben beachten. Worauf es ankommt, erklärt der BayLfD in seiner Kurz-Information 44.

News
23. November 2022

DSGVO, Datenschutz und Cloud Computing: Wer ist verantwortlich?

DSGVO, Datenschutz und Cloud Computing: Wer ist verantwortlich?
Bild: iStock.com / Maxiphoto
Datenschutz-Grundverordnung und gemeinsame Verantwortlichkeit
DSGVO, Datenschutz und Cloud Computing: Wer ist verantwortlich?

Cloud Service Provider und andere Auftragsverarbeiter werden mit der Datenschutz-Grundverordnung (DSGVO / GDPR) stark in die Pflicht genommen. Sie nehmen dem Auftraggeber aber keine Verantwortung ab, sondern werden selbst auch verantwortlich. Was heißt das konkret?

Analyse
29. August 2021

DSGVO: Verarbeitungsverzeichnis bei Auftragsverarbeitern

DSGVO: Verarbeitungsverzeichnis bei Auftragsverarbeitern
Bild: Pinkypills / iStock / Thinkstock
Pflicht seit Mai 2018
DSGVO: Verarbeitungsverzeichnis bei Auftragsverarbeitern

Die Datenschutz-Grundverordnung (DSGVO / GDPR) nimmt auch Auftragsverarbeiter in die Pflicht: Bei einer Auftragsverarbeitung ist nicht mehr nur der Verantwortliche gefordert. Was muss der Auftragsverarbeiter tun?

Ratgeber
23. August 2021
1 von 3

Die Auftragsverarbeitung ist abzugrenzen von der gemeinsamen Verantwortung (Art. 26 DSGVO), bei der die Beteiligten gemeinsam über die Zwecke und Mittel der Datenverarbeitung bestimmen.

Gesetze, Vorschriften und Rechtsprechung zur Auftragsverarbeitung

  • Art. 28 DSGVO (Auftragsverarbeiter)
  • Erwägungsgrund 81 der DSGVO

Wann liegt eine Auftragsverarbeitung vor?

Eine Auftragsverarbeitung liegt vor, wenn alle der nachfolgenden Voraussetzungen erfüllt sind:

  1. Auftraggeber und Auftragnehmer sind zwei unterschiedliche Stellen (juristische oder natürliche Personen). Keinerlei Rolle spielt, ob sie dem gleichen Konzern oder Unternehmensverbund angehören.
  2. Auftragnehmer und Auftraggeber tauschen personenbezogene Daten aus.
  3. Der Dienstleister verarbeitet personenbezogene Daten im Auftrag und auf Weisung des Auftraggebers. Er besitzt kein Mitspracherecht über den Zweck der Datenverarbeitung. Er arbeitet somit nicht aus einem Eigeninteresse mit den Daten, sondern um die ihm übertragenen Aufgaben bzw. den abgeschlossenen Vertrag zu erfüllen. Er handelt insofern nur als „verlängerter Arm“ des Auftraggebers.
  4. Der Dienstleister ist weisungsgebunden in Bezug auf die Datenbearbeitung. Der Auftraggeber darf dem Dienstleister vorschreiben, wie er mit den personenbezogenen Daten umzugehen hat.

Beispiel: Folgende Unternehmen handeln oft als Auftragsverarbeiter

  • Callcenter
  • Aktenvernichter
  • Dienstleister zur Berechnung und Auszahlung von Gehältern
  • Schreibbüro
  • Lettershop
  • Archivierungsdienstleister
  • externe Systemadministratoren
  • externe Firmen für die Wartung und Fernwartung von EDV-Geräten

Keine Auftragsverarbeitung liegt üblicherweise vor bei

  • Steuerberatern, denen die Buchführung zur selbstständigen und „bestmöglichen“ Erledigung übertragen wird
  • Rechtsanwälten, die die Interessen ihrer Auftraggeber selbstständig wahrnehmen
  • Marktanalysen durch eine Marketingfirma unter deren eigener Regie

Liegt keine Auftragsverarbeitung vor, kommt nicht Art. 28 DSGVO, sondern die allgemeinen Vorschriften der DSGVO zur Anwendung.

Insbesondere muss dann geprüft werden, ob es Rechtsgrundlagen gibt, die eine Übermittlung und Verwendung der Daten gestatten. Im Fall einer Auftragsverarbeitung ergibt sich die Rechtsgrundlage dagegen direkt aus Art. 28 DSGVO.

Anforderungen an eine Auftragsverarbeitung

Liegt eine Auftragsverarbeitung vor, muss der Verantwortliche (Auftraggeber) Folgendes berücksichtigen:

Zum einen darf er nur Auftragsverarbeiter (Auftragnehmer) auswählen, die die Anforderungen der Datenschutzgesetze kennen und sich daran halten (vgl. Art. 28 Abs. 1 DSGVO).

Die Arbeiten müssen auf Grundlage eines Vertrags erfolgen. Der Vertrag muss festlegen (Art. 28 Abs. 3 DSGVO):

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Datenverarbeitung
  • Arten der personenbezogenen Daten und Kategorien der betroffenen Personen
  • Rechte und Pflichten des Verantwortlichen
  • Dokumentationspflicht aller Weisungen des Verantwortlichen
  • Pflicht zur Vertraulichkeit und Verschwiegenheit der Bearbeiter des Auftragsverarbeiters
  • Der Auftragsverarbeiter muss angemessene technische und organisatorische Maßnahmen zur Datensicherheit gemäß Art. 32 DSGVO ergreifen.
  • Subunternehmer muss der Auftragsverarbeiter genehmigen lassen oder konkret auf ihre Einschaltung hinweisen, damit der Auftraggeber widersprechen kann. Vertraglich müssen für Subunternehmer dieselben Vorgaben gelten wie zwischen den Haupt-Vertragsparteien.
  • Unterstützung des Verantwortlichen bei der Erfüllung der Betroffenenrechte
  • Unterstützung des Verantwortlichen bei Maßnahmen nach Art. 32–36 DSGVO (Datensicherheit, Meldepflicht bei Datenpannen, Datenschutz-Folgenabschätzung und vorherige Konsultation)
  • Regelung zur Rückgabe oder Löschung der Daten nach Vertragsbeendigung
  • Ermöglichung von Überprüfungen und Inspektionen sowie Anzeigepflicht bei rechtswidrigen Weisungen

Der Vertrag kann schriftlich oder elektronisch abgeschlossen werden (Art. 28 Abs. 9 DSGVO).

EU-Kommission und Aufsichtsbehörden können Musterverträge veröffentlichen, in denen die oben genannten Anforderungen enthalten sind (Art. 28 Abs. 7 und 8 DSGVO).

Folgen einer Auftragsverarbeitung

Liegt eine Auftragsverarbeitung vor, bedeutet das unter anderem:

  • Es ist keine gesonderte Rechtsgrundlage für die Datenübermittlung und die weitere Datenverarbeitung erforderlich.
  • Bei Mängeln oder Verstößen haften der Verantwortliche (Auftraggeber) und der Auftragsverarbeiter unmittelbar und gesamtschuldnerisch (Art. 82 DSGVO) – dies stellt eine Änderung dar gegenüber der früheren Rechtslage vor Inkrafttreten der DSGVO.
  • Dass der Verantwortliche (Auftraggeber) den Auftragsverarbeiter kontrollieren muss, ergibt sich aus den allgemeinen Vorschriften: So wie er ein Kontrollsystem für seine gesamte Datenverarbeitung besitzen muss, muss er auch seine Dienstleister kontrollieren und dies nachweisen können (Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO).

Geldbußen

Die Aufsichtsbehörde kann Geldbußen verhängen, wenn zwar eine Auftragsverarbeitung vorliegt, aber kein oder nur ein fehlerhafter Auftrag.

Die Geldbuße kann maximal 10 Mio. EUR betragen – oder 2 % des gesamten weltweiten Jahresumsatzes, falls dieser Betrag höher ist (Art. 83 Abs. 4 Buchstabe a DSGVO).

Mustervorlagen

Orientierungshilfen, Checklisten und Mustervorlagen können Sie bei folgenden Stellen abrufen:

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.