Auftragsverarbeitung

Worum geht es?

Personenbezogene Daten dürfen ausschließlich auf Basis einer entsprechenden Rechtsgrundlage (Art. 6 Abs. 1 a-f DS-GVO) verarbeitet werden, wobei auch die Datenweitergabe an Dritte als Datenverarbeitung (Art 4 Nr. 2 DS-GVO) zu werten ist. Vor einer Datenweitergabe ist stets die Legitimation sicherzustellen. Eine Möglichkeit ist die so genannte Auftragsverarbeitung.

Die Auftragsverarbeitung ermöglicht es einem Auftraggeber über vertragliche Regelung, dem Auftragsverarbeitungsvertrag (ehemals Auftragsdatenverarbeitungsvertrag) Daten für einen spezifischen Auftrag zu ermitteln. Die Rechte und Pflichten der Zusammenarbeit zwischen Auftraggeber und Auftragnehmer werden in dieser Vereinbarung geregelt.

Vorgehensweise

Zunächst einmal ist zu klären, ob ein Auftragsverarbeitungsvertrag das Mittel der Wahl ist, oder ob andere Vereinbarungen, wie z.B. ein Joint-Controller Vertrag zutreffender sind. Ein zentraler Punkt eines Auftragsverarbeitungsvertrages ist die Weisungsgebundenheit der Auftragnehmer. Hilfe für eine Einstufung finden Sie hier.

Sofern der Auftragsverarbeitungsvertrag als Mittel der Wahl bestimmt wurden, sollten unterschiedliche Dinge vereinbart werden:

  • In welchen Ländern die Verarbeitung durgeführt wird. Wie das Schutzniveau in Falle von Drittstaaten gewährleistet werden kann.
  • Welcher Art die Verarbeitung ist, geht es um ein Hosting, eine Fernwartung oder andere Dienstleistungen?
  • Welche Kategorien personenbezogener Daten sind voraussichtlich betroffen?
  • Welche technischen und organisatorischen Maßnahmen wurden getroffen, um der Sensibilität der Daten gerecht zu werden und wie diese Maßnahmen kontrolliert werden können?
  • Unter welchen Voraussetzungen können Unterauftragnehmer hinzugezogen werden?
  • Welche Kontrollrechte hat der Auftraggeber?
  • Welche Pflichten treffen den Auftragnehmer?
  • Weitere Aspekte der Auftragsverarbeitung (z.B. Sicherstellung der Verpflichtung auf Vertraulichkeit von allen Beschäftigten, Dokumentation der erteilten Weisungen, Erfüllung der Informationspflichten bei Datenschutzverletzungen oder Anfragen von Betroffenen…).

Ihr Nutzen

Der Abschluss eines Auftragsverarbeitungsvertrages hat mehrere Vorteile:

  1. Der Vertragspartner wird nicht länger als „Dritte Partei“ angesehen. Durch den Auftragsverarbeitungsvertrag wird der Partner zu einer Art verlängerter Werkbank. Es findet also keine Datenweitergabe an einen Dritten im Sinne der DS-GVO statt.
  2. Es gibt einen klar definierten Vertrag und beide Parteien kennen ihre Rechte und Pflichten.
  3. Als Auftraggeber können Sie sich von der gesetzeskonformen Umsetzung der getroffenen Maßnahmen beim Auftragnehmer überzeugen und selbst entscheiden, ob die Maßnahmen ausreichend sind.
  4. Der Vertrag dient Ihnen als Nachweis gegenüber Aufsichtsbehörden, dass Datenschutzstandards eingehalten werden.

Die vollumfängliche Abwicklung sämtlicher Auftragsverarbeitungsverhältnisse und ein Abschluss entsprechender Verträge mit den Dienstleistern stellt eine Compliance Anforderung und somit den Nachweis von vertraglichen und gesetzlichen Anforderungen dar.

Verfasser: Steven Bösel