Auftragsdatenverarbeitung

  • bezeichnet die Verarbeitung persönlicher Daten im Auftrag durch einen externen Dienstleister

    Auftragsverarbeitung bzw. Auftragsdatenverarbeitung (alt)


    Als Auftragsverarbeitung oder Auftragsdatenverarbeitung wird die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Auftragnehmer nach den Weisungen des Auftraggebers bezeichnet. Der Auftraggeber ist die für die Verarbeitung der Daten Verantwortlicher. Grundlage der Auftragsverarbeitung ist ein Vertrag. Dieser kann schriftlich oder elektronisch geschlossen werden.


    Der Begriff der Auftragsverarbeitung wurde im Zuge der DSGVO vom Europäischen Gesetzgeber eingeführt. Der ursprüngliche Begriff der Auftragsdatenverarbeitung stammt aus dem bisherigen deutschen Datenschutzrecht.


    Der Auftragnehmer wird Auftragsverarbeiter genannt und der Auftraggeber ist der für die „Verarbeitung Verantwortliche“.


    Gem. Art. 29 DSGVO dürfen die Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeitet werden. Verstößt der Auftragsverarbeiter dagegen wird er automatisch selbst zum Verantwortlichen (Art. 28 Abs. 10 DSGVO). Ein Verstoß kann darin liegen, dass der Auftragsverarbeiter den Zweck der Verarbeitung ändert und dadurch selbst bestimmt.


    Über die Auftragsdatenverarbeitung ist ein Vereinbarung zu schließen. Dieser Vertrag kann in schriftlicher oder elektronischer Form vorliegen.


    Die Auftragsdatenverarbeitung kann auch außerhalb der Europäischen Union stattfinden. Die Datenschutzgrundverordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“


    Folgende Punkte sind in einem ADV zu regeln (Art. 28 Abs. 3 DSGVO


    • Gegenstand und Dauer der Verarbeitung
    • Art und Zweck der Verarbeitung
    • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
    • Umfang der Weisungsbefugnisse
    • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
    • Sicherstellung von technischen & organisatorischen Maßnahmen
    • Hinzuziehung von Subunternehmern
    • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
    • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
    • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
    • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
    • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt


    Für die Datenverarbeitung verantwortlich ist nicht der Auftragsverarbeiter. Für einen Betroffene ist der für die Verarbeitung Verantwortliche der Pflichtige. Er hat die Einhaltung sämtlicher Vorgaben und Weisungen zu kontrollieren und sicher zu stellen.


    Von der Auftragsverarbeitung ist die gemeinsame Verarbeitung zu unterscheiden. Dabei nutzen mehrere Verantwortliche gleichzeitig die selben personenbezogenen Daten, etwa bei einer Kundenkartei, die durch mehrere Unternehmen genutzt wird. Bei einem „Joint Control“ (Art. 26 DSGVO) kann sich der Betroffene an jeden für die Verarbeitung der DatenVerantwortlichen wenden.


    Für Verstöße gegen die Datenschutzregeln haften nunmehr der Verantwortliche und der Auftragsverarbeiter. Gem. Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes ... ein materieller oder moralischer Schaden entstanden ist, Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter. Dadurch haften beide gemeinsam gegenüber dem Betroffenen. Jedoch können sie sich exkulpieren, wenn sie nachweisen, dass sie in keinerlei Hinsicht verantwortlich sind für den Umstand, durch den ein Schaden eingetreten ist.


    Der Auftragsverarbeiter hat ein Verzeichnis über die Verarbeitungstätigkeit zu führen. Darin sind die für den für die Verarbeitung Verantwortlichen ausgeübten Tätigkeiten der Verarbeitung enthalten. Das Verzeichnis ist ähnlich dem Verfahrensverzeichnis des Verantwortlichen.

Teilen