DSGVO-Wissen

Elementares Wissen zur Auftragsverarbeitung

Dieser Artikel erläutert mit einer kompakten Wissensvermittlung den Begriff der Auftragsverarbeitung, sowie die damit verbundenen Pflichten. Die zentrale Vorschrift für Auftragsverarbeitungen ist Artikel 28 DSGVO. Da beinahe in jedem Unternehmen Auftragsverarbeitungen stattfinden, fällt dieser Beitrag besonders praxisrelevant aus. Zunächst wird jedoch für Einsteiger der Begriff der Auftragsverarbeitung definiert.

Auftragsverarbeitung, AVV, Auftragsverarbeiter, DSGVO
Quelle: iStock.com/Pakin Jarerndee

Wer ist Auftragsverarbeiter?

Auftragsverarbeiter ist gemäß der Definition in Artikel 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Im Zuge dessen handelt der Auftragsverarbeiter stets auf Weisung des Verantwortlichen.

Wann liegt eine Auftragsverarbeitung vor?

Personenbezogene Daten werden nicht nur intern in Unternehmen verarbeitet, sondern vielfach werden auch externe Stellen (Dienstleister) in die Verarbeitung mit einbezogen. Solche Verarbeitungen personenbezogener Daten durch externe Stellen und insbesondere Dienstleister sind eine Auftragsverarbeitung. Auftragsverarbeiter kann demnach beispielsweise ein IT-Dienstleister sein, der im Zuge seiner Tätigkeit an die Kundendaten eines Unternehmens gelangt. Genauso ist Auftragsverarbeiter ein Web-Hosting Anbieter auf dessen Servern ein Unternehmen personenbezogene Daten von Kunden oder Mitarbeitern speichert. Es gibt unzählige weitere Beispiele bei denen personenbezogene Daten im Auftrag des Verantwortlichen durch einen solchen Auftragsverarbeiter verarbeitet werden. Ein Unternehmen kann somit also Auftraggeber einer Auftragsverarbeitung sein, aber auch Auftragnehmer einer Auftragsverarbeitung.

Keine Auftragsverarbeiter sind hingegen beispielsweise Rechtsanwälte oder Steuerberater, da diese aufgrund ihrer besonderen Stellung nicht weisungsgebunden handeln.

Auswahl und Pflichten eines Auftragsverarbeiters

Bei der Auswahl eines Auftragsverarbeiters ist im Sinne der DSGVO durch den Verantwortlichen stets darauf zu achten, dass ein Auftragsverarbeiter zuverlässig und fachlich geeignet ist sowie technische und organisatorische Maßnahmen trifft, die der DSGVO genügen. Überdies hat auch der Auftragsverarbeiter einen Datenschutzbeauftragten zu benennen, sofern die Voraussetzungen hierfür vorliegen. Falls es bei einem Auftragsverarbeiter zu Datenschutzverstößen kommt, hat der Auftragsverarbeiter diese verpflichtend dem Verantwortlichen zu melden.

Der Auftragsverarbeitungsvertrag

Der Verantwortliche schließt regelmäßig mit seinem Auftragsverarbeiter einen Auftragsverarbeitungsvertrag (AVV) oder arbeitet mit diesem auf Basis eines anderen Rechtsinstruments zusammen. Der Inhalt eines solchen Vertrages und die daraus resultierenden Pflichten des Auftragsverarbeiters ergeben sich detailliert aus Artikel 28 Absatz 3 der DSGVO. Der Verantwortliche und der Auftragsverarbeiter haben sicherzustellen, dass die dort genannten Voraussetzungen erfüllt werden.

In der Praxis empfiehlt es sich beabsichtigt der Auftragsverarbeitung mit dem Datenschutzbeauftragten abzustimmen, da die Hürden und Stolpersteine die mit einer Auftragsverarbeitung verbunden sein können für jeden Einzelfall zu bewerten sind kann man sich also mit einem kompakten Artikel, wie er hier zur Erstinformation verfasst wurde, nicht abschließend und universell darlegen lassen.

➔ So einfach erfüllen Sie Ihre Datenschutz-Pflichten
➔ Testen Sie DATENDO für 14 Tage unverbindlich und kostenlos
Machen Sie Ihr Business DSGVO-konform.

Einfach loslegen mit Deutschlands beliebter Datenschutz-Lösung:

Externer Datenschutzbeauftragter
Datenschutz-Management-Software
Online-Mitarbeiterschulungen
Individuelle Datenschutzberatung
Jetzt mehr erfahren
Elementares Wissen zur Auftragsverarbeitung
Mit DATENDO erfüllen Sie ganz einfach Ihre DSGVO-Pflichten
Datenschutz, der Sie
nach vorne bringt.
Let’s DSGVgO!
Übersicht
Machen Sie Ihr Business DSGVO-konform. Einfach loslegen mit Deutschlands beliebter digitaler Datenschutz-Lösung.
DSGVO-Wissen
Externer Datenschutzbeauftragter
Ein Datenschutz-beauftragter ist mehr als bloße Pflichterfüllung
Mehr erfahren
DSGVO-Wissen
Datenschutz-Management-Software
My.DATENDO: Ihre Datenschutzpflichten digital erfüllen
Mehr erfahren
DSGVO-Wissen
DSGVO-Schulung für Mitarbeitende
Ihr Datenschutz ist nur so stark wie Ihre Mitarbeitenden
Mehr erfahren
DSGVO-Wissen
Individuelle Beratung
Individuelle Datenschutzfragen? Wir sind für Sie da.
Mehr erfahren
Elementares Wissen zur Auftragsverarbeitung
DATENDO kostenlos für
14 Tage ausprobieren.
Keine Installation erforderlich - direkt online losgelegen.
Keine versteckten Kosten. Testzeitraum endet automatisch. Keine Kündigung notwendig.

Einsicht in alle Funktionen:

  • Zugang zu unserer DSGVO-Management-Software My.DATENDO
  • Verbeitungsverzeichnis und TOM einfach als PDF generieren
  • Erste Einblicke ins DSGVO-Trainingscenter
  • Demo-Schulung für Mitarbeitende inkl. Zertifikat absolvieren
  • Exklusives E-Book zum Datenschutz von Prof. Dr. Paal
Jetzt 14 Tage kostenlos testen
Trustpilot
Bundesverband IT-Mittelstand e.V. Mitglied im GDD Software hosted in Germany - DATENDO Mitglied im BVMV e.V.
Trustpilot
Bild Bild