Die Auftragsverarbeitung

Eine Auftragsdatenverarbeitung liegt vor, wenn wir personenbezogene Daten an Dritte weiterleiten, damit diese uns bei der Verarbeitung unterstützen können. Voraussetzung ist also zunächst die Übermittlung an Dritte mit dem Zweck der Verarbeitung im Auftrag.

Auftragsverarbeitung bezieht sich damit auf die Verarbeitung personenbezogener Daten durch einen Dritten im Auftrag des Verantwortlichen. Ein Verantwortlicher ist eine natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Der Auftragnehmer (Auftragsverarbeiter) ist der Dritte, der im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Dies können sowohl juristische, aber auch natürliche Personen, Behörden, Einrichtung oder andere Stellen sein. (siehe hierzu Art. 4 Nr. 8 DSGVO).

Ein Beispiel für Auftragsverarbeitung ist ein Unternehmen, das eine IT-Abteilung hat, die personenbezogene Daten seiner Mitarbeiter verarbeitet. In diesem Fall ist das Unternehmen der Verantwortliche und die IT-Abteilung der Auftragnehmer.

Wichtig ist hier, dass die Dritte Stelle tatsächlich auch als Auftragsdatenverarbeiter einzustufen ist. Dies stellen wir dadurch fest, dass wir eine Abgrenzung zum Verantwortlichen machen. Dabei kommt es auf die Frage der Entscheidungsgewalt an. Denn der Verantwortliche entscheidet allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung. Demnach wäre der Dritte kein Auftragsdatenverarbeiter, wenn diese mit mir gemeinsam über Zwecke und Mittel entscheidet.

Ein Auftragsdatenverarbeiter wird demnach ausschließlich auf Weisung des Verantwortlichen tätig und arbeitet dem Verantwortlichen nur zu, unter den vom Verantwortlichen vorgegebenen Grundlagen. Der Verantwortliche entscheidet damit über die Mittel und Zwecke, welche von dem Auftragsdatenverarbeiter umzusetzen ist.

Wie hängen Datenschutz und Auftragsverarbeitung zusammen?

Datenschutz und Auftragsverarbeitung sind eng miteinander verbunden. Die Auftragsverarbeitung ist ein wichtiger Aspekt des Datenschutzes, da sie es Unternehmen ermöglicht, personenbezogene Daten von Dritten verarbeiten zu lassen, während sie gleichzeitig sicherstellen, dass diese Dritten die Datenschutzvorschriften einhalten. Unternehmen können jedoch für Verstöße gegen den Datenschutz haftbar gemacht werden, selbst wenn die Verarbeitung personenbezogener Daten durch einen Auftragnehmer erfolgt.

Welche Maßnahmen sollten Unternehmen ergreifen, um die Datenschutzanforderungen bei der Auftragsverarbeitung zu erfüllen?

Um sicherzustellen, dass sie die Datenschutzanforderungen bei der Auftragsverarbeitung erfüllen, sollten Unternehmen folgende Maßnahmen ergreifen:

  1. Auswahl von zuverlässigen Auftragnehmern: Unternehmen sollten Auftragnehmer auswählen, die die Datenschutzvorschriften einhalten und zuverlässig sind.
  2. Vereinbarungen zur Auftragsverarbeitung: Unternehmen sollten schriftliche Vereinbarungen zur Auftragsverarbeitung mit ihren Auftragnehmern abschließen, um sicherzustellen, dass diese die Datenschutzanforderungen einhalten.
  3. Überwachung der Auftragnehmer: Unternehmen sollten ihre Auftragnehmer überwachen und sicherstellen, dass diese die Datenschutzanforderungen einhalten.
  4. Schulung von Mitarbeitern: Unternehmen sollten ihre Mitarbeiter regelmäßig schulen, um sicherzustellen, dass sie die Datenschutzvorschriften einhalten.
  1. Implementierung von technischen und organisatorischen Maßnahmen: Unternehmen sollten technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Beispielsweise sollten sie angemessene Sicherheitsvorkehrungen wie Verschlüsselung und Zugriffsbeschränkungen implementieren.
  1. Durchführung von Datenschutzfolgenabschätzungen: Unternehmen sollten Datenschutzfolgenabschätzungen durchführen, um die Risiken der Verarbeitung personenbezogener Daten durch ihre Auftragnehmer zu bewerten und geeignete Maßnahmen zur Risikominimierung zu ergreifen.
  2. Benennung eines Datenschutzbeauftragten: Unternehmen sollten einen Datenschutzbeauftragten benennen, der für die Einhaltung der Datenschutzvorschriften zuständig ist und als Ansprechpartner für Datenschutzanliegen dient.
  3. Einhaltung der Meldepflichten bei Datenschutzverletzungen: Unternehmen sollten sicherstellen, dass sie ihre Auftragnehmer über die Meldepflichten bei Datenschutzverletzungen informieren und im Falle einer Datenschutzverletzung angemessen reagieren.

Fazit

Datenschutz und Auftragsverarbeitung sind eng miteinander verbunden, und Unternehmen sollten sicherstellen, dass sie die Datenschutzanforderungen bei der Auftragsverarbeitung erfüllen. Durch die Umsetzung der oben genannten Maßnahmen können Unternehmen sicherstellen, dass ihre Auftragnehmer die Datenschutzvorschriften einhalten und die personenbezogenen Daten ihrer Kunden und Mitarbeiter sicher und geschützt bleiben. Die Einhaltung der Datenschutzvorschriften ist nicht nur gesetzlich vorgeschrieben, sondern auch eine wesentliche Grundlage des Vertrauens zwischen Unternehmen und ihren Kunden und Mitarbeitern.