Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen

Auftragsverarbeitung

Bei einer Auftragsverarbeitung lässt ein Verantwortlicher personenbezogene Daten durch eine andere, externe Stelle verarbeiten. Er bestimmt allein über die Zwecke und Mittel und weist den Auftragsverarbeiter an, die Datenverarbeitung für ihn durchzuführen. Beispielsweise gelten viele Fälle des Outsourcings als Auftragsverarbeitung.

➜ Auftragsverarbeitung: Anforderungen und Beispiele

Outsourcing

Wer Outsourcing plant, muss an zahlreiche Faktoren denken - nicht zuletzt an den Datenschutz
Bild: iStock.com / gilaxia
Datenschutz-Begriffe
Outsourcing

Unter Outsourcing versteht man die Nutzung von Ressourcen anderer Anbieter. Verbreitet ist vor allem das Outsourcing von IT-Dienstleistungen oder von Teilen der IT.

Ratgeber
3. Juni 2021

Joint Controllership & AV: Was ist was, und was bedeutet das?

Joint Controllership & AV: Was ist was, und was bedeutet das?
Bild: iStock.com / AndreyPopov
Etwas weniger Verwirrung
Joint Controllership & AV: Was ist was, und was bedeutet das?

Joint Controllership und Auftragsverarbeitung (AV) schließen einander aus. So weit die Theorie. In der Praxis sind viele Verantwortliche jedoch unsicher. Der EU-Datenschutzausschuss hat nun einen Entwurf für Leitlinien veröffentlicht, der LfDI Baden-Württemberg FAQ dazu.

Analyse
1. Dezember 2020

Arbeitnehmerüberlassung: oft keine Auftragsverarbeitung

DP+
Arbeitnehmerüberlassung: oft keine Auftragsverarbeitung
Bild: iStock.com / rclassenlayouts
Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?
Arbeitnehmerüberlassung: oft keine Auftragsverarbeitung

In der Personaldienstleistungsbranche sind gemeinsame Verantwortlichkeiten eher die Regel als die Ausnahme. Eine Einzelfallbetrachtung, wie die Beteiligten im konkreten Fall datenschutzrechtlich einzuordnen sind, ist dennoch unentbehrlich.

Analyse
5. Juni 2020

Auftragsverarbeitung: LfDI Baden-Württemberg veröffentlicht Mustervertrag

Auftragsverarbeitung: LfDI Baden-Württemberg veröffentlicht Mustervertrag
Bild: fizkes / iStock / Getty Images Plus
Auftragsverarbeitung
Auftragsverarbeitung: LfDI Baden-Württemberg veröffentlicht Mustervertrag

In Krisenzeiten ist schnelles Handeln gefragt. Viele Unternehmen richteten zu Beginn des Lockdowns rasch technische Lösungen ein, um die Arbeitsfähigkeit der Mitarbeitenden im Heimbüro zu ermöglichen. Eine Handreichung der Datenschutzbehörde Baden-Württemberg bietet Firmen eine bessere Orientierung bei der Auftragsverarbeitung.

News
15. April 2020

DSGVO: Auftragskontrolle in der Praxis

DP+
DSGVO: Auftragskontrolle in der Praxis
Bild: iStock.com / AndreyPopov
Auftragsverarbeitung
DSGVO: Auftragskontrolle in der Praxis

Für einen Auftragnehmer ist es sinnvoll, selbst tätig zu werden, statt auf Prüfungen durch den Auftraggeber zu warten. Erfahren Sie, wie Sie als Auftragnehmer am besten an die Auftragskontrolle herangehen.

Ratgeber
25. März 2020

Ist ein Steuerberater Auftragsverarbeiter oder nicht?

DP+
Ist ein Steuerberater Auftragsverarbeiter oder nicht?
Bild: iStock.com / TarikVision
Änderung des Steuerberatungsgesetzes
Ist ein Steuerberater Auftragsverarbeiter oder nicht?

Um die Frage, ob Steuerberater Auftragsverarbeiter sind, wenn sie z.B. die Lohnabrechnung übernehmen, gab es heftige Auseinandersetzungen. Das neugefasste Steuerberatungsgesetz sorgt für Klarheit.

Analyse
20. Februar 2020

Mustervertrag für gemeinsame Verantwortlichkeit

Mustervertrag für gemeinsame Verantwortlichkeit
Bild: Florin1605 / iStock / Getty Images Plus
DSGVO
Mustervertrag für gemeinsame Verantwortlichkeit

Die juristischen Auseinandersetzungen um die Fanpages auf Facebook haben ein besonderes Konstrukt in das Bewusstsein verantwortlicher Stellen gerückt: die gemeinsame Verantwortung für die Einhaltung des Datenschutzes, wie sie der EuGH festgestellt hatte. Eine neue Mustervereinbarung will nun Transparenz schaffen.

News
28. Mai 2019

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?
Bild: iStock.com/AndreyPopov
Praxistipps zur Abgrenzung
Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?

Das Konstrukt der gemeinsamen Verantwortlichkeit schafft derzeit viel Unmut. Lesen Sie, welche Fragen und Beispiele Sie nutzen können, um eine klarere Trennung zu schaffen.

Hintergrund
28. Januar 2019

Gemeinsame Verantwortlichkeit: Datenschutz bei den Zeugen Jehovas

Gemeinsame Verantwortlichkeit: Datenschutz bei den Zeugen Jehovas
Urteil des EuGH
Gemeinsame Verantwortlichkeit: Datenschutz bei den Zeugen Jehovas

Datenschutz im religiösen Bereich – das scheint nichts, worum sich der normale Datenschützer kümmern muss. Manchmal entscheiden Gerichte allerdings anhand eines solchen Falls Grundsatzfragen von allgemeinem Interesse. Genau das ist bei einer Entscheidung des EuGH der Fall, die sich mit Datenschutzfragen bei den Zeugen Jehovas in Finnland befasst. Die Entscheidung ist so wichtig, dass sie jedem Datenschützer bekannt sein muss.

Urteil
21. Januar 2019

Auftragsverarbeitung unter der Datenschutz-Grundverordnung

DP+
Auftragsverarbeitung unter der Datenschutz-Grundverordnung
Bild: iStock.com / ipopba
Fakten-Check zur DSGVO
Auftragsverarbeitung unter der Datenschutz-Grundverordnung

Derzeit stehen AV-Verträge hoch im Kurs. Es lohnt jedoch ein Check, ob es sich tatsächlich um Auftragsverarbeitung handelt. In vielen Fällen kommt man nämlich auch mit geringerem Aufwand zu einem sauberen Ergebnis.

Ratgeber
4. Oktober 2018
2 von 3

Die Auftragsverarbeitung ist abzugrenzen von der gemeinsamen Verantwortung (Art. 26 DSGVO), bei der die Beteiligten gemeinsam über die Zwecke und Mittel der Datenverarbeitung bestimmen.

Gesetze, Vorschriften und Rechtsprechung zur Auftragsverarbeitung

  • Art. 28 DSGVO (Auftragsverarbeiter)
  • Erwägungsgrund 81 der DSGVO

Wann liegt eine Auftragsverarbeitung vor?

Eine Auftragsverarbeitung liegt vor, wenn alle der nachfolgenden Voraussetzungen erfüllt sind:

  1. Auftraggeber und Auftragnehmer sind zwei unterschiedliche Stellen (juristische oder natürliche Personen). Keinerlei Rolle spielt, ob sie dem gleichen Konzern oder Unternehmensverbund angehören.
  2. Auftragnehmer und Auftraggeber tauschen personenbezogene Daten aus.
  3. Der Dienstleister verarbeitet personenbezogene Daten im Auftrag und auf Weisung des Auftraggebers. Er besitzt kein Mitspracherecht über den Zweck der Datenverarbeitung. Er arbeitet somit nicht aus einem Eigeninteresse mit den Daten, sondern um die ihm übertragenen Aufgaben bzw. den abgeschlossenen Vertrag zu erfüllen. Er handelt insofern nur als „verlängerter Arm“ des Auftraggebers.
  4. Der Dienstleister ist weisungsgebunden in Bezug auf die Datenbearbeitung. Der Auftraggeber darf dem Dienstleister vorschreiben, wie er mit den personenbezogenen Daten umzugehen hat.

Beispiel: Folgende Unternehmen handeln oft als Auftragsverarbeiter

  • Callcenter
  • Aktenvernichter
  • Dienstleister zur Berechnung und Auszahlung von Gehältern
  • Schreibbüro
  • Lettershop
  • Archivierungsdienstleister
  • externe Systemadministratoren
  • externe Firmen für die Wartung und Fernwartung von EDV-Geräten

Keine Auftragsverarbeitung liegt üblicherweise vor bei

  • Steuerberatern, denen die Buchführung zur selbstständigen und „bestmöglichen“ Erledigung übertragen wird
  • Rechtsanwälten, die die Interessen ihrer Auftraggeber selbstständig wahrnehmen
  • Marktanalysen durch eine Marketingfirma unter deren eigener Regie

Liegt keine Auftragsverarbeitung vor, kommt nicht Art. 28 DSGVO, sondern die allgemeinen Vorschriften der DSGVO zur Anwendung.

Insbesondere muss dann geprüft werden, ob es Rechtsgrundlagen gibt, die eine Übermittlung und Verwendung der Daten gestatten. Im Fall einer Auftragsverarbeitung ergibt sich die Rechtsgrundlage dagegen direkt aus Art. 28 DSGVO.

Anforderungen an eine Auftragsverarbeitung

Liegt eine Auftragsverarbeitung vor, muss der Verantwortliche (Auftraggeber) Folgendes berücksichtigen:

Zum einen darf er nur Auftragsverarbeiter (Auftragnehmer) auswählen, die die Anforderungen der Datenschutzgesetze kennen und sich daran halten (vgl. Art. 28 Abs. 1 DSGVO).

Die Arbeiten müssen auf Grundlage eines Vertrags erfolgen. Der Vertrag muss festlegen (Art. 28 Abs. 3 DSGVO):

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Datenverarbeitung
  • Arten der personenbezogenen Daten und Kategorien der betroffenen Personen
  • Rechte und Pflichten des Verantwortlichen
  • Dokumentationspflicht aller Weisungen des Verantwortlichen
  • Pflicht zur Vertraulichkeit und Verschwiegenheit der Bearbeiter des Auftragsverarbeiters
  • Der Auftragsverarbeiter muss angemessene technische und organisatorische Maßnahmen zur Datensicherheit gemäß Art. 32 DSGVO ergreifen.
  • Subunternehmer muss der Auftragsverarbeiter genehmigen lassen oder konkret auf ihre Einschaltung hinweisen, damit der Auftraggeber widersprechen kann. Vertraglich müssen für Subunternehmer dieselben Vorgaben gelten wie zwischen den Haupt-Vertragsparteien.
  • Unterstützung des Verantwortlichen bei der Erfüllung der Betroffenenrechte
  • Unterstützung des Verantwortlichen bei Maßnahmen nach Art. 32–36 DSGVO (Datensicherheit, Meldepflicht bei Datenpannen, Datenschutz-Folgenabschätzung und vorherige Konsultation)
  • Regelung zur Rückgabe oder Löschung der Daten nach Vertragsbeendigung
  • Ermöglichung von Überprüfungen und Inspektionen sowie Anzeigepflicht bei rechtswidrigen Weisungen

Der Vertrag kann schriftlich oder elektronisch abgeschlossen werden (Art. 28 Abs. 9 DSGVO).

EU-Kommission und Aufsichtsbehörden können Musterverträge veröffentlichen, in denen die oben genannten Anforderungen enthalten sind (Art. 28 Abs. 7 und 8 DSGVO).

Folgen einer Auftragsverarbeitung

Liegt eine Auftragsverarbeitung vor, bedeutet das unter anderem:

  • Es ist keine gesonderte Rechtsgrundlage für die Datenübermittlung und die weitere Datenverarbeitung erforderlich.
  • Bei Mängeln oder Verstößen haften der Verantwortliche (Auftraggeber) und der Auftragsverarbeiter unmittelbar und gesamtschuldnerisch (Art. 82 DSGVO) – dies stellt eine Änderung dar gegenüber der früheren Rechtslage vor Inkrafttreten der DSGVO.
  • Dass der Verantwortliche (Auftraggeber) den Auftragsverarbeiter kontrollieren muss, ergibt sich aus den allgemeinen Vorschriften: So wie er ein Kontrollsystem für seine gesamte Datenverarbeitung besitzen muss, muss er auch seine Dienstleister kontrollieren und dies nachweisen können (Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO).

Geldbußen

Die Aufsichtsbehörde kann Geldbußen verhängen, wenn zwar eine Auftragsverarbeitung vorliegt, aber kein oder nur ein fehlerhafter Auftrag.

Die Geldbuße kann maximal 10 Mio. EUR betragen – oder 2 % des gesamten weltweiten Jahresumsatzes, falls dieser Betrag höher ist (Art. 83 Abs. 4 Buchstabe a DSGVO).

Mustervorlagen

Orientierungshilfen, Checklisten und Mustervorlagen können Sie bei folgenden Stellen abrufen:

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.