Häufigkeit und Komplexität von Auftragsverarbeitungen werden gerne unterschätzt. Damit besteht z.B. das Risiko, dass Auftragsverarbeitungen bei der Nutzung bestimmter Webservices unerkannt bleiben. Jedoch fordert die DSGVO eine Prüfung sowie ggf. die vertragliche Absicherung und Dokumentation.

Unternehmen, die als Auftragsverarbeiter tätig sind, müssen ergänzende Anforderungen erfüllen. In Summe existieren mehrere Stolpersteine, die leicht zu Datenschutzvorfällen führen können.

Was ist Auftragsverarbeitung?

Die meisten Unternehmen verarbeiten Daten mit Personenbezug nicht ausschließlich selbst, sondern reichen einen Teil der Daten an externe Partner weiter. Solche Partner sind überwiegend Outsourcing-Anbieter. Deren Leistung wird aus Sicht des Datenschutzes häufig als Auftragsverarbeitung eingestuft.

Nach dem Gesetz liegt eine Auftragsverarbeitung vor, wenn eine weisungsgebundene Datenverarbeitung durch Externe erfolgt, die Verantwortung für die ordnungsgemäße Datenverarbeitung jedoch weiterhin beim Auftraggeber verbleibt.

Die Verarbeitung von personenbezogenen Daten im Auftrag ist im geschäftlichen Alltag häufiger verbreitet, als im Allgemeinen angenommen wird. Zur besseren Veranschaulichung haben wir verschiedene Beispiele rund um die Auftragsverarbeitung zusammengetragen.

  • Kundenservice
    Im Kundenservice ist Outsourcing stark verbreitet. Wenn beispielsweise Reparaturen innerhalb der Garantiezeit anstehen, werden externe Servicepartner eingeschaltet. Die Übermittlung personenbezogener Kundendaten führt zur Auftragsverarbeitung.
  • Personalbeschaffung
    In zahlreichen Branchen ist es nicht ungewöhnlich, dass sich Unternehmen gezielt Fachkräfte bei Arbeitsvermittlern oder Zeitarbeitsfirmen leihen. Auch hier werden sensible Daten mit Personenbezug regelmäßig im Auftrag übermittelt.

Auftragsverarbeitungen sind manchmal schwer zu erkennen

Eine der Kernfragen hinsichtlich DSGVO-konformer Geschäftsprozesse im Unternehmen dreht sich darum, mit welchen Partnern und unter welchen Bedingungen eine Auftragsverarbeitung erfolgt.

Die Praxis zeigt, dass viele Unternehmen nicht alle relevanten Vorgänge erkennen. Oft werden alle Verhältnisse erst nach einer gezielten Prüfung, beispielsweise durch einen externen Datenschutzbeauftragten, aufgedeckt.

Im Übrigen existieren Grenzfälle, in denen nicht unbedingt auf den ersten Blick zu erkennen ist, ob eine Auftragsverarbeitung stattfindet. Dies trifft ganz besonders für das Konzernumfeld zu, wenn beispielsweise Tochterunternehmen gezielt Daten untereinander austauschen. In solchen Fällen bedarf es einer fundierten Bewertung, um letztlich genau sagen zu können, ob Daten im Auftrag verarbeitet werden.

Hohe Bußgelder bei fehlender rechtlicher Absicherung

Sowohl für das Unternehmen als auch den externen Dienstleister ist es erforderlich, sich bei der Auftragsverarbeitung vertraglich abzusichern. Dies geschieht über den Auftragsverarbeitungsvertrag (AV-Vertrag), den Auftraggeber und Auftragsverarbeiter miteinander schließen.

Die Übermittlung personenbezogener Daten an den Auftragsverarbeiter sowie die Verarbeitung der Daten durch ihn ohne vertragliche Regelung ist ein Verstoß gegen die in Europa gültigen Datenschutzbestimmungen. Seit Inkrafttreten der DSGVO können Fehler, die mit der auftragsmäßigen Verarbeitung personenbezogener Daten in Verbindung stehen, nach Art. 83 DSGVO mit einer Geldstrafe von bis zu 4 Prozent des weltweit erzielten Jahresumsatzes des Unternehmens verhängt werden. Damit droht bei einem Datenschutzvorfall ein stattliches Bußgeld.

Datenschutz für Auftragsverarbeiter

Eine besondere Rolle nimmt der Datenschutz aus der Perspektive des Auftragsverarbeiters ein. Er muss strikte Vorgaben einhalten, um gemäß DSGVO datenschutzkonform zu handeln.

  • Strikte Einhaltung vertraglich getroffener Vereinbarungen
    Insbesondere dahingehend, dass die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden.
  • Löschung der Daten
    Nach Abschluss der Erbringung der Verarbeitungsleistungen sind alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, ebenso vorhandene Kopien.
  • Weitere Auftragsverarbeiter Es darf keine Einbindung weiterer Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen (Auftraggebers) erfolgen.
  • Verzeichnis der Verarbeitungstätigkeiten Auftragsverarbeiter führen mehrere Verzeichnisse der Verarbeitungstätigkeiten (VVT). Neben dem „eigenen“ Verzeichnis ist ein Verzeichnis zu allen Kategorien der im Auftrag durchgeführten Tätigkeiten zu führen.

Darüber hinaus müssen Auftragsverarbeiter mit regelmäßigen Dienstleisterkontrollen rechnen. Auf diesem Weg prüfen Auftraggeber, ob die zugesicherten Maßnahmen zum Schutz der Daten weiterhin eingehalten werden.

Zertifzierung von Auftragsverarbeitern

Zunehmend mehr Auftraggeber legen großen Wert darauf, dass ihre personenbezogenen Daten beim Auftragsverarbeiter in besten Händen sind und entscheiden sich daher für einen zertifizierten Anbieter. Solch eine Zertifizierung untermauert die gebotene Sicherheit beim Umgang mit den Daten und schafft damit zusätzliches Vertrauen.

Für Auftragsverarbeiter, die das Vertrauen von Kunden in ihre Dienste stärken möchten, ist besonders die Datenschutzzertifizierung nach EuroPrise eine interessante Lösung.

Wir unterstützen Sie beim Datenschutz rund um die Auftragsverarbeitung

In unserer Datenschutzberatung stehen wir Ihnen gerne zur Seite, wenn Sie datenschutzrechtliche Fragen zur Auftragsverarbeitung haben. Wenn Sie mehr über unsere Dienstleistungen erfahren möchten, zögern Sie nicht, von unserer kostenfreien Erstberatung Gebrauch zu machen.

Fragen & Antworten zum Thema

Was ist der Unterschied zwischen Auftragsdatenverarbeitung und Auftragsverarbeitung

Mit Einführung der DSGVO wurde der Begriff Auftragsdatenverarbeitung von der Auftragsverarbeitung abgelöst. Ebenso der frühere Auftragsdatenverarbeiter vom Auftragsverarbeiter. Nicht nur die Begrifflichkeiten sind in der DSGVO neu geregelt, sondern auch einige der anzuwendenden Vorschriften bei der Verarbeitung von personenbezogenen Daten im Auftrag.

Wer arbeitet den Auftragsverarbeitungsvertrag aus?

Häufig wird der Vertrag direkt vom Auftragsverarbeiter bereitgestellt. Vor allem bei standardisierten Leistungen, wie z.B. Webhosting, ist diese Lösung verbreitet. Ob Sie solch einen Vertrag mit gutem Gewissen unterschreiben können, hängt von den genauen Vertragsinhalten ab. Oft ist dies möglich, manchmal kann es sich aber empfehlen, auf individuell abgestimmte Vertragsinhalte hinzuwirken.

Wie kann ein externer Datenschutzbeauftragter bei der Auftragsverarbeitung helfen?

Zur Herstellung des angestrebten Datenschutzniveaus im Unternehmen prüft der Datenschutzbeauftragte (DSB), ob Auftragsverarbeitungen erfolgen und ob die notwendigen Vertragsverhältnisse bestehen. Falls nicht, wird er auf die vertragliche Absicherung hinwirken.

Der externe Datenschutzbeauftragte prüft außerdem, ob bestehende Verträge den Anforderungen des Datenschutzes gerecht werden. Andernfalls wird der DSB nachbessern, indem Verträge angepasst oder neu geschlossen werden. Anschließend überwacht er alle relevanten Geschäftsprozesse, damit auf Änderungen umgehend reagiert werden kann.

Was ist in der Praxis außerdem wichtig?

Eine vollständige Dokumentation ist unverzichtbar. Im Verzeichnis der Verarbeitungstätigkeiten ist festzuhalten, an welche externen Stellen personenbezogene Daten weitergegeben werden. Zudem ist eine Archivierung der Verträge notwendig, um diese im Bedarfsfall kontrollieren und vorlegen zu können.