[bdp_post limit=5] [bdp_post_carousel design="design-2" show_date="false" show_author="false" show_category="false"]

Auftragsdatenverarbeitung

Es wird so gut wie kein Unternehmen geben, welche nicht mindestens einen Dienstleister einsetzt für Auftragsdatenverarbeitung. Das liegt in der Natur der Sache, dass wir mit unserem Unternehmen nicht alles selbst gestalten, organsierten, entwickeln oder gar verwalten können. Es wird ein Punkt geben, in welche wir bestimmte Leistungen von Dritten nutzen müssen.

Doch nicht immer liegt eine Auftragsdatenverarbeitung vor. Dies gilt es zu prüfen. Stellt man eine solche fest, erfolgen hieraus weitere Anforderungen, welche wir erfüllen müssen.

Wie ich so eine Prüfung durchführe und am Ende feststellen kann, was ich für Maßnahmen ergreifen muss, ist Teil dieses Blogs.

I. Was ist eine Auftragsdatenverarbeitung?

Eine Auftragsdatenverarbeitung liegt vor, wenn wir personenbezogene Daten an Dritte weiterleiten, damit diese uns bei der Verarbeitung unterstützen können. Voraussetzung ist also zunächst die Übermittlung an Dritte mit dem Zweck der Verarbeitung im Auftrag.

Wer das ist, spielt zunächst einmal keine Rolle. Denn ich kann sowohl juristische, aber auch natürliche Personen, Behörden, Einrichtung oder andere Stellen mit dem Auftrag beauftragen. Dies entnehmen wir aus der Definition gem. Art. 4 Nr. 8 DSGVO.

Wichtig ist hier, dass die Dritte Stelle tatsächlich auch als Auftragsdatenverarbeiter einzustufen ist. Dies stellen wir dadurch fest, dass wir eine Abgrenzung zum Verantwortlichen machen. Dabei kommt es auf die Frage der Entscheidungsgewalt an. Denn der Verantwortliche entscheidet allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung. Demnach wäre der Dritte kein Auftragsdatenverarbeiter, wenn diese mit mir gemeinsam über Zwecke und Mittel entscheidet.

Ein Auftragsdatenverarbeiter wird demnach ausschließlich auf Weisung des Verantwortlichen tätig und arbeitet dem Verantwortlichen nur zu, unter den vom Verantwortlichen vorgegebenen Grundlagen. Der Verantwortliche entscheidet damit über die Mittel und Zwecke, welche von dem Auftragsdatenverarbeiter umzusetzen ist.

II. Was müssen wir beachten?

Wir uns nun Gedanken gemacht über unseren Dritten und haben festgestellt, dass dieser als Auftragsdatenverarbeiter einzustufen ist. Mithin besteht nun die Frage, wie wir diese umsetzen und was wir zu beachten haben.

Generell handelt der Auftragsdatenverarbeiter als unser verlängerter Arm. Demnach müssen wir sicherstellen, dass der Partner eine Verarbeitung datenschutzkonform umsetzt und die Grundlagen des Datenschutzes zunächst einhält.

1. Sorgfältige Auswahl (im Sinne von Art. 28 Abs. 1 DSGVO)

Damit sollten wir vor der Beauftragung sicherstellen, dass die eingesetzten Auftragsdatenverarbeiter sorgfältig mit personenbezogenen Daten umgehen. Eine grundsätzliche Überprüfung nach Sorgfaltsgesichtspunkten ist der erste und einer der wichtigsten Schritte.

  • Überprüfen Sie den Verarbeiter
  • Wissen Sie wer dieser ist und was dieser genau macht
  • Kennen Sie dessen Sitz
  • Erkundigen Sie sich, ob es bereits negative Auffälligkeiten gab

III. Rechtsgrundlage schaffen (siehe hierzu Art. 28 Abs. 3 S. 1 DSGVO)

Vertrauen ist gut, aber Kontrolle ist besser. Diesen Satz kennen wir alle und gerade im Datenschutz gilt es umso mehr. Egal wie gut Sie ihren Partner kennen, wir sind verpflichtet nachweisen zu können, dass wir unsere Pflichten erfüllt haben. Gerade auch aus Sicht eines Unternehmens, sollten wir Absprachen stets schriftlich gesichert haben. Es ist wie alles andere, nur das hier jemand drauf schauen möchte, wenn es Fragen gibt.   

1. Ein Vertrag gem. Art. 28 Abs. 3 S. 1, 1. Alt. DSGVO

Wir haben die Möglichkeit einen Vertrag abzuschließen, welche wir allgemein als Auftragsdatenverarbeitungsvertrag (ADV) oder einer Auftragsdatenverarbeitungsvereinbarung (AVV) bezeichnen.

Inhalt dieses Vertrages sind gesetzlich gem. Art. 28 Abs. 3 S. 2 lit. a bis h DSGVO festgehalten.

Mindestinhalt ist:

  • Allgemeine Angaben wie
    • Vertragsparteien, Gegenstand, Dauer, Art, Zweck der Verarbeitung
    • Art der personenbezogenen Daten und Kategorien von betroffenen Personen
  • Weisungsangaben wie
    • Umfang der Weisungsbefugnisse und
    • Angaben über Empfangs- und Weisungsberechtigte Personen
  • Sicherheitsrelevante Angabe wie
    • Verpflichtung auf Vertraulichkeit der zur Verarbeitung befugten Personen
    • Dokumentierte Regelung und Sicherstellung von technischen und organisatorischen Maßnahmen
  • Einsatz von weiterem Dienstleister wie
    • Bereits vorhandene (genehmigte) Unterauftragsdatenverarbeiter (Subunternehmen)
    • Regelungen zur Hinzuziehung von Subunternehmern nach Abschluss des Vertrages
  • Kontrollrechte wie
    • Kontrollrechten und Regelungen zu den Kontrollen
    • Duldungspflichten des Auftragsverarbeiters
  • Pflichten der Auftragsdatenverarbeiter wie
  • Unterstützung bei Anfragen sowie Ansprüchen Betroffener
  • Unterstützung bei der Meldepflicht von Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Beendigung der weisungsgemäßen Auftragsverarbeitung
  • Informationspflichten, falls eine Weisung gegen geltendes Datenschutzrecht verstößt
  • Informationspflichten, falls beim Auftragsdatenverarbeiter Datenpannen geschehen oder Anfragen Dritte gestellt werden

2. Andere Rechtsinstrumente

Es besteht auch die Möglichkeit, neben den Abschluss eines individuellen Vertrages wie oben dargelegt, weitere Rechtsinstrumente zu nutzen. Eines dieser Rechtsinstrumente wären neben anerkannte bzw. genehmigte Verhaltensregelungen oder Zertifizierungsverfahren, Standardvertragsklauseln (Achtung, hiernach sind nicht solche gemeint, welche die EU-Kommission für die Datenverarbeitung in Drittstaaten erlassen hat, bei uns als EU-Standardvertragsklauseln – SSC) genannt) oder weitere vom Mitgliedsstaat eingesetzte Rechtsinstrumente. Voraussetzungen sind aber auch hier, dass der o.g. Mindestinhalt gem. Art. 28 Abs. 3 S. 2 lit. a bis h DSGVO durch die anderen Rechtsinstrumente erfüllt werden.

IV. Dokumentation und Prüfung

Die eingesetzten Auftragsdatenverarbeiter sollen in Regelmäßigen Abständen überprüft werden. Hier bietet es sich an durch ihren Datenschutzbeauftragten oder einen Dritten Auditierungen durchzuführen. Auch sollten Sie entsprechende Dokumente von Ihrem Auftragsdatenverarbeiter wie auch dessen Subunternehmen anfordern wie der Nachweis der Verpflichtung auf den Datenschutz oder Verarbeitungsverzeichnisse etc.

  • Beispiele von Auftragsverarbeiter