Auftragsverarbeiter nach Art 28 DSGVO – Pflichten zur Auftragsdatenverarbeitung

Dez 9, 2019 | Allgemein, Auftragsverarbeitung [AVV]

Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag der Verantwortlichen verarbeitet. Verantwortlicher ist dabei die Stelle, die über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Der Auftragsverarbeiter ist ein Dienstleister, der häufig eingeschaltet wird, um beispielsweise die Abwicklung von Routine- und Massentätigkeiten zu übernehmen.

Es liegt keine Auftragsverarbeitung vor, wenn für den Dienstleister kein Zugriff auf personenbezogene Daten des Auftraggebers (Verantwortlicher) möglich ist.

Verantwortlicher und Auftragsverarbeiter können eine natürliche oder juristische Person, eine Behörde oder Einrichtung sein.

Gesetzliche Grundlage nach Art. 28 der DSGVO

Die rechtlichen Voraussetzungen für eine Auftragsverarbeitung sind insbesondere in Art. 28 DSGVO geregelt. Bei Vorliegen dieser rechtlichen Voraussetzungen ist für die Weitergabe der personenbezogenen Daten an den Auftragsverarbeiter keine weitere Rechtsgrundlage erforderlich als diejenige, auf die der Verantwortliche selbst die Verarbeitung stützt.

Es ist also nicht erforderlich, dass für die Weitergabe der Daten eine Einwilligung des Betroffenen vorliegt. Wichtig ist, dass der Verantwortliche und der Auftragsverarbeiter einen Vertrag schließen, der die rechtliche Basis für die Weitergabe der Daten bildet.

Vertrag zur Auftragsverarbeitung

Die Mindestinhalte eines Vertrags zur Auftragsverarbeitung sind in Art. 28 Abs. 3 DSGVO geregelt. Erforderlich ist eine genaue Beschreibung der geschuldeten Tätigkeit des Dienstleisters. Daher müssen Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen und die Rechte und Pflichten des Verantwortlichen vertraglich geregelt sein. Darüber hinaus müssen Regelungen zu Weisungsgebundenheit, Vertraulichkeit, technischen und organisatorischen Sicherungsmaßnahmen, Lösch- und Rückgabepflichten personenbezogener Daten, Überprüfungsrechte hinsichtlich der Einhaltung der Vorgaben der DSGVO, die Unterstützung des Dienstleisters hinsichtlich der Betroffenenrechte sowie der Einsatz von Unterauftragnehmern vereinbart sein.

Pflichten für Verantwortlichen und Auftragsverarbeiter

Der Verantwortliche muss vor der Auftragsvergabe prüfen, ob der Dienstleister geeignet ist. Nur wenn der Dienstleister hinreichende Garantien bietet, dass die Verarbeitung im Einklang mit der DSGVO erfolgt und geeignete technische und organisatorische Maßnahmen die Sicherheit der Daten sowie den Schutz der Rechte der betroffenen Personen gewährleisten, darf er beauftragt werden.

Der Auftragsverarbeiter darf in der Regel die Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten. Er muss sich an diese Weisungen halten und darf die Daten nicht für eigene Zwecke nutzen.

Beispiele für Auftragsverarbeitung

Auftragsverarbeitungen können regelmäßig z. B. folgende Dienstleistungen sein:

  • DV-technische Arbeiten für die Lohn-und Gehaltsabrechnung oder die FiBu durch Rechenzentren.
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist.
  • Werbeadressenverarbeitung in einem Lettershop
  • Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen).
  • Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten.
  • Auslagerung der Backup-Sicherheitsspeicherung.
  • Datenträgerentsorgung durch Dienstleister
  • Wartung (z.B.: Fernwartung, externer Support) von DV-Anlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
  • Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen.

Folgen bei Verstößen

Bei Verstößen gegen die Vorgaben des Art. 28 DSGVO zur Auftragsverarbeitung können Geldbußen von bis zu 10.000.000,- Euro oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens verhängt werden. Diese Sanktionen können sowohl den Verantwortlichen als auch den Auftragsverarbeiter treffen.

 

PRIOLAN als Ihr externer Datenschutzbeauftragter (jetzt anfragen!)

Datenschutz im Unternehmen ist ein komplexes Thema. Wenn Sie Unterstützung benötigen, um auf der sicheren Seite zu sein, können Sie sich vertrauensvoll an uns von PRIOLAN wenden. Wir helfen Ihnen deutschlandweit, rechtssicher zu werden und vor Abmahnungen geschützt zu sein.

Sie erreichen uns jederzeit über unser Kontaktformular oder während unserer Geschäftszeiten telefonisch unter 07131 / 26 28 0. Schützen Sie sich jetzt!

Referenzen:

Wissenswertes