1

Wissen: Auftragsverarbeitung

Jede Übermittlung (inkl. Offenlegung) von personenbezogenen Daten erfordert eine rechtliche Grundlage. In Unternehmen stellt sich beim Einsatz von Dienstleistern die Frage, wie der Umstand, dass Dienstleistern in Kontakt mit personenbezogenen Daten des Auftraggebers kommen, rechtlich begründet werden kann. Typische Dienstleistungen sind:

  • Prüftätigkeiten im Zusammenhang mit Datenbeständen (Personaldaten, Lieferantendaten, Kundendaten)
  • Weitergabe bzw. Offenlegung von Datenbeständen
  • Zugriff auf IT-Systeme bei technischer Wartung vor Ort und bei Fernwartung
  • Zugang zu Daten bei der Software-Entwicklung
  • Zugang zu Daten bei Supporttätigkeiten
  • Zugang zu Daten bei der Bereitstellung von Infrastrukturleistungen (z. B. klassisches Hosting oder SaaS-Lösungen)

Das Modell der „Auftragsverarbeitung“

Die Auftragsverarbeitung ist ein Modell, welches ermöglicht rechtmäßig personenbezogene Daten unter Beteiligung von Dritten (z. B. Dienstleistungsunternehmen) auch außerhalb des eigenen Unternehmens (legal entity) verarbeiten zu lassen.

Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer gemäß den Weisungen eines Verantwortlichen (Auftraggeber) und auf Grundlage eines schriftlichen Vertrags. Hierbei werden die vertraglichen Mindestinhalte im Gesetz vorgegeben (Art. 28 DS-GVO).

Die Verantwortung für die Datenverarbeitung (inkl. der Leistungen des Auftragsverarbeiters) liegt beim Verantwortlichen. Daher darf der Auftragsverarbeiter nur nach den Weisungen des Verantwortlichen handeln und muss von diesem sorgfältig ausgewählt und weiterhin regelmäßig kontrolliert werden.

Die Auftragsverarbeiter haben durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass der Schutz der Rechte und Freiheiten der betroffenen Personen gewährleistet sind (Art. 32 Abs. 1 DS-GVO).

Gegenüber den betroffenen Personen können im Schadensfall der Verantwortliche und der Auftragsverarbeiter gesamtschuldnerisch haftbar gemacht werden (Art. 82 Abs. 4 DS-GVO).

Newsletter

Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

Abonnieren Sie jetzt gleich unseren Newsletter.