Auftragsverarbeitung

Worum geht es?

Organisationen dürfen personenbezogene Daten ausschließlich mit einer entsprechenden Rechtsgrundlage (Art. 6 Abs. 1 a-f DS-GVO) verarbeiten. Dabei ist auch die Datenweitergabe an Dritte als Datenverarbeitung (Art 4 Nr. 2 DS-GVO) zu werten. Vor einer Datenweitergabe ist stets die Legitimation sicherzustellen. Eine Möglichkeit dafür ist die so genannte Auftragsverarbeitung (AV).

Die Auftragsverarbeitung ermöglicht es einem Auftraggeber mit einer vertraglichen Regelung, nämlich dem Auftragsverarbeitungsvertrag, Daten für einen spezifischen Auftrag zu verarbeiten. Die Rechte und Pflichten der Zusammenarbeit zwischen Auftraggeber und Auftragnehmer sind in dieser Vereinbarung geregelt.

Vorgehensweise

Zunächst einmal ist zu klären, ob ein AV-Vertrag das Mittel der Wahl ist, oder ob andere Vereinbarungen, wie z.B. ein Joint-Controller Vertrag zutreffender sind. Ein zentraler Punkt eines Auftragsverarbeitungsvertrages ist dabei die Weisungsgebundenheit der Auftragnehmer. Hilfe für eine Einordnung finden Sie in den FAQ des LfDI Baden-Württemberg.

Sofern die Organisation sich für den Auftragsverarbeitungsvertrag entschieden hat, sind folgende Inhalte zu vereinbaren:

Ihr Nutzen

Der Abschluss eines AV-Vertrages hat mehrere Vorteile:

  1. Der Vertragspartner wird nicht länger als „Dritte Partei“ angesehen. Durch den Auftragsverarbeitungsvertrag wird der Partner zu einer Art verlängerter Werkbank. Es findet also keine Datenweitergabe an einen Dritten im Sinne der DS-GVO statt.
  2. Es gibt einen klar definierten Vertrag und beide Parteien kennen ihre Rechte und Pflichten.
  3. Als Auftraggeber können Sie sich von der gesetzeskonformen Umsetzung der getroffenen Maßnahmen beim Auftragnehmer überzeugen und selbst entscheiden, ob die Maßnahmen ausreichend sind.
  4. Der Vertrag dient Ihnen als Nachweis gegenüber Aufsichtsbehörden, dass Datenschutzstandards eingehalten werden.

Die vollumfängliche Abwicklung sämtlicher Auftragsverarbeitungsverhältnisse und ein Abschluss entsprechender Verträge mit den Dienstleistern stellt eine Compliance Anforderung und somit den Nachweis von vertraglichen und gesetzlichen Anforderungen dar.

Verfasser: Steven Bösel, 18.10.2019; zu letzt am 25.10.2022 aktualisiert

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!