Auftragsverarbeitung

Worum geht es?

Personenbezogene Daten dürfen ausschließlich auf Basis einer entsprechenden Rechtsgrundlage (Art. 6 Abs. 1 a-f DS-GVO) verarbeitet werden. Dabei ist auch die Datenweitergabe an Dritte als Datenverarbeitung (Art 4 Nr. 2 DS-GVO) zu werten. Vor einer Datenweitergabe ist stets die Legitimation sicherzustellen. Eine Möglichkeit dafür ist die so genannte Auftragsverarbeitung (AV).

Die Auftragsverarbeitung ermöglicht es einem Auftraggeber mit einer vertraglichen Regelung, nämlich dem Auftragsverarbeitungsvertrag (ehemals Auftragsverarbeitungsvertrag), Daten für einen spezifischen Auftrag zu verarbeiten. Die Rechte und Pflichten der Zusammenarbeit zwischen Auftraggeber und Auftragnehmer sind in dieser Vereinbarung entsprechend geregelt.

Vorgehensweise

Zunächst einmal ist zu klären, ob ein AV-Vertrag das Mittel der Wahl ist, oder ob andere Vereinbarungen, wie z.B. ein Joint-Controller Vertrag zutreffender sind. Ein zentraler Punkt eines Auftragsverarbeitungsvertrages ist dabei die Weisungsgebundenheit der Auftragnehmer. Hilfe für eine Einordnung finden Sie in den FAQ des LfDI Baden-Württemberg.

Sofern der Auftragsverarbeitungsvertrag als Mittel der Wahl bestimmt wurde, sollten z.B. folgende Dinge vereinbart werden:

Ihr Nutzen

Der Abschluss eines AV-Vertrages hat mehrere Vorteile:

  1. Der Vertragspartner wird nicht länger als „Dritte Partei“ angesehen. Durch den Auftragsverarbeitungsvertrag wird der Partner zu einer Art verlängerter Werkbank. Es findet also keine Datenweitergabe an einen Dritten im Sinne der DS-GVO statt.
  2. Es gibt einen klar definierten Vertrag und beide Parteien kennen ihre Rechte und Pflichten.
  3. Als Auftraggeber können Sie sich von der gesetzeskonformen Umsetzung der getroffenen Maßnahmen beim Auftragnehmer überzeugen und selbst entscheiden, ob die Maßnahmen ausreichend sind.
  4. Der Vertrag dient Ihnen als Nachweis gegenüber Aufsichtsbehörden, dass Datenschutzstandards eingehalten werden.

Die vollumfängliche Abwicklung sämtlicher Auftragsverarbeitungsverhältnisse und ein Abschluss entsprechender Verträge mit den Dienstleistern stellt eine Compliance Anforderung und somit den Nachweis von vertraglichen und gesetzlichen Anforderungen dar.

Verfasser: Steven Bösel, 18.10.2019

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!