Die Auftragsverarbeitung, früher als Auftragsdatenverarbeitung bekannt, bezeichnet die Verarbeitung personenbezogener Daten durch einen externen Dienstleister im Auftrag eines Unternehmens. Dieser Dienstleister, der Auftragsverarbeiter genannt wird, handelt dabei gemäß den Weisungen des Unternehmens. Typische Beispiele hierfür sind die Lohnabrechnung durch externe Dienstleister oder Callcenter.
Wann also braucht man einen Auftragsverarbeitungsvertrag?
Ein Auftragsverarbeitungsvertrag (AVV) ist gemäß Artikel 28 Absatz 3 der Datenschutzgrundverordnung (DSGVO) erforderlich, um die Verarbeitung von personenbezogenen Daten zwischen Auftraggeber und Auftragnehmer zu regeln. Dieser Vertrag schafft Klarheit über die Befugnisse, Weisungen, den Gegenstand und Zweck der Verarbeitung sowie die Rechte und Pflichten beider Parteien. Er bietet Unternehmen Sicherheit, da im Falle eines Datenschutzverstoßes die Verantwortung klar festgelegt ist.
Es ist wichtig, die Auftragsverarbeitung von anderen Situationen wie der gemeinsamen Verantwortlichkeit gemäß Artikel 26 DSGVO zu unterscheiden. Während bei der Auftragsverarbeitung der Auftragnehmer im Auftrag des Auftraggebers handelt, teilen sich bei der gemeinsamen Verantwortlichkeit zwei oder mehrere Parteien die Verantwortung für die Datenverarbeitung. Eine klare Abgrenzung ist essenziell, um die richtigen rechtlichen Schritte einzuleiten.
Die Frage, ob ein Auftragsverarbeitungsvertrag notwendig ist, lässt sich nicht immer leicht beantworten und hängt unter Umständen von der Weisungsgebundenheit des Dienstleisters ab. Je stärker der Dienstleister an Weisungen gebunden ist, desto wahrscheinlicher ist es, dass ein AVV erforderlich ist. Auch für die Verwendung bestimmter Dienste wie Google Analytics ist ein AVV erforderlich, da hier Datenübertragungen stattfinden. Es ist jedoch zu beachten, dass Dienstleistungen wie Steuerberatung oder Rechtsberatung nicht unter die Auftragsverarbeitung fallen, sondern als fremde Fachleistungen betrachtet werden.
Hol dir jetzt deine kostenlose DSGVO-Checkliste! Mit unserem umfassenden E-Book wirst du selbst aktiv und kannst den Datenschutz in deinem Unternehmen mühelos und effizient umsetzen. Egal, ob du Anfänger oder Profi bist, dieses E-Book ist für jeden geeignet. Lade es jetzt herunter!
Für einen rechtsgültigen Abschluss eines Auftragsverarbeitungsvertrags (AVV) gemäß den Vorgaben der Datenschutzgrundverordnung (DSGVO) müssen verschiedene Aspekte vertraglich geregelt werden. Dazu gehören insbesondere:
Gegenstand und Dauer der Verarbeitung: Festlegung des Umfangs und der zeitlichen Gültigkeit der Datenverarbeitung.
Art und Zweck der Verarbeitung: Bestimmung der Methoden und Ziele der Datenverarbeitung.
Art der personenbezogenen Daten: Spezifizierung der Arten von personenbezogenen Daten, die verarbeitet werden sollen.
Kategorien betroffener Personen: Definition der Gruppen von Personen, deren Daten verarbeitet werden.
Rechte und Pflichten des Verantwortlichen: Festlegung der Verantwortlichkeiten und Pflichten des Datenbereitstellers.
Umfang der Weisungsbefugnisse: Bestimmung, in welchem Umfang der Auftragsverarbeiter Weisungen entgegennehmen kann.
Verpflichtung zur Vertraulichkeit der zur Verarbeitung befugten Person: Sicherstellung der Vertraulichkeit der autorisierten Personen.
Sicherstellung von technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter: Durchführung von Sicherheitsmaßnahmen durch den Auftragsverarbeiter.
Anforderungen an die Hinzuziehung von Subunternehmern: Regelungen für die Einbindung von Subunternehmern.
Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener: Hilfeleistung des Auftragsverarbeiters bei Anfragen von betroffenen Personen.
Unterstützung des Verantwortlichen bei der Sicherheit der Verarbeitung: Unterstützung des Auftragsverarbeiters bei der Sicherheit der Datenverarbeitung.
Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen und der Datenschutz-Folgenabschätzung: Unterstützung des Auftragsverarbeiters bei der Erfüllung von Meldepflichten und Datenschutz-Folgenabschätzungen.
Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung: Regelungen für die Rückgabe oder Löschung der Daten nach Abschluss der Verarbeitung.
Pflicht des Auftragsverarbeiters, den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt: Verpflichtung des Auftragsverarbeiters, den Verantwortlichen sofort zu informieren, wenn eine Weisung gegen Datenschutzrecht verstößt.
Regelung wie der Nachweis der Einhaltung der genannten Pflichten erfolgt: Festlegung, wie der Nachweis erbracht wird, dass die genannten Pflichten eingehalten wurden.
Ein Auftragsverarbeitungsvertrag ist ein essenzielles Instrument, um die Verarbeitung personenbezogener Daten zwischen Unternehmen und externen Dienstleistern zu regeln. Er schafft Klarheit über die Verantwortlichkeiten und Pflichten und gewährleistet somit einen rechtssicheren Umgang mit sensiblen Daten. Durch eine klare Abgrenzung von anderen rechtlichen Fallgestaltungen und die Berücksichtigung der DSGVO-konformen Bestandteile eines AVV können Unternehmen Datenschutzverstöße vermeiden und das Vertrauen ihrer Kunden stärken.
Du bist auf der Suche nach einem günstigen Datenschutzbeauftragten für dein Unternehmen, dann klick auf den Button und wir senden dir innerhalb kürzester Zeit dein Angebot zu.