News

Datenschutzrechtliche Voraussetzungen zur Auftragsverarbeitung

Kategorie: Datenschutz

Immer wenn ein Auftragsverarbeiter auf Weisung des Verantwortlichen personenbezogene Daten verarbeitet, muss gemäß Art. 28 DSGVO ein Auftragsverarbeitungsvertrag zwischen dem Verantwortlichem und dem Auftragsverarbeiter abgeschlossen werden.

Wie wird der Auftragsverarbeiter definiert? 

Gemäß Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Da der Auftragsverarbeiter gemäß Art. 4 Nr. 9 DSGVO der Empfänger personenbezogener Daten ist, müssen die betroffenen Personen innerhalb der sogenannten Informationspflichten gemäß Art. 13 DSGVO informiert werden, dass deren Daten an einen Auftragsverarbeiter übermittelt werden, und es muss ein Auftragsverarbeitungsvertrag mit den gesetzlich geregelten Inhalten gemäß Art. 28 DSGVO vereinbart werden.

Wer ist der Verantwortliche?

Der Verantwortliche ist in Art. 4 Nr. 7 DSGVO definiert. Danach ist grundsätzlich derjenige der Verantwortliche der Verarbeitung personenbezogener Daten, der über die Zwecke und Mittel der Datenverarbeitung entscheidet und diese delegiert. Der Zweck beinhaltet, warum die Daten benötigt werden und muss im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentiert werden wie auch das Mittel der Verarbeitung, das dokumentiert, wie die Verarbeitung erfolgt, also anhand welcher Softwaresysteme, Programme oder Applikationen.

Was sind konkrete Anwendungsfälle der Auftragsverarbeitung?

Der Auftragsverarbeiter hat keine eigene Entscheidungsbefugnis und verarbeitet weisungsgebunden personenbezogene Daten. 

Folgende Beispiele lassen sich aufführen:

  • Externe Papier- und Aktenvernichtung bzw. Vernichtung von Datenträgern
  • Auslagerung der Backupsicherungsspeicherung und  Archivierung
  • Erstellung von Lohn- und Gehaltsabrechnung (außer es handelt sich um einen Steuerberater!)
  • Outsourcing des Rechenzentrums
  • Einsatz von Cloud-Diensten/ Cloud Computing
  • Beauftragung von Newsletterdiensten
  • Einsatz von Webhostern
  • Beauftragung eines Webdesigners
  • Software-as-a-Service (SaaS)
  • Wartung von IT-Systemen durch technische Dienstleister

 

Wann handelt es sich nicht um eine Auftragsverarbeitung?

In dem bundesweit abgestimmten DSK-Kurzpapier Nr. 13 zur Auftragsverarbeitung nach der DSGVO wurde Folgendes verfasst:„Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines Berufsgeheimnisträgers (Steuerberater, Rechtsan-wälte, externe Betriebsärzte, Wirtschaftsprüfer).“

Folgende Beispiele sind keine Auftragsverarbeitung:

  • Berufsgeheimnisträger, z. B. Steuerberater (auch wenn Steuerberaterinnen und Steuerberater nur die Lohnbuchhaltung für eine Mandantschaft durchführen)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstitute für den Geldtransfer
  • Postdienst für Brief- und Pakettransport
  • Insolvenzverwalter
  • Externes Reinigungsunternehmen 

 

Was sind gesetzlich geforderte Inhalte eines Auftragsverarbeitungsvertrags?

Folgende Inhalte gemäß Art. 28  Abs. 3 DSGVO müssen Vertragsbestandteil sein und dem konkreten Sachverhalt angepasst werden:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

 

Welche Sanktionen Bußgelder drohen bei Nichtbefolgung?

Gemäß Art. 83 DSGVO können Bußgelder bis zu 10 Mio. EUR oder 2 Prozent des erzielten Jahresumsatzes drohen, je nachdem, welcher Betrag höher ist, wenn gegen die Inhalte der Artt. 28 ff. DSGVO verstoßen wird, wie z.B. das Versäumnis des erforderlichen Abschlusses eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO. 

 

Wenden Sie sich an uns

Wenden Sie sich hier gerne an Ihre/n Berater/in des FKC Datenschutz-Teams, um die gesetzlichen Vorgaben zu erfüllen, wir helfen Ihnen gerne!

 

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download