Auftragsverarbeiter - Art. 28 DSGVO

Typische Auftragsverarbeiter sind Unternehmen, die in unserem Auftrag personenbezogene Daten verarbeiten:

• Dienstleister, denen wir personenbezogene Daten zur Verarbeitung übermitteln (z.B. Marketingunternehmen)
  
• Dienstleister, denen wir Zugriff auf internen Daten geben (z.B. technische Service-Unternehmen)
  
• Anbieter von Onlinesoftwarelösungen (z.B. Bürosoftware)
  
• Anbieter von digitalen Diensten (z.B. Webhoster, über den unsere E-Mails laufen)
  

Eine Auftragsverarbeitung liegt dann vor, wenn ein Dienstleister im Auftrag und weisungsgebunden handelt. Der externe Dienstleister wird in diesem Falle nur unterstützend tätig und ist sozusagen unser „verlängerter Arm“. Er darf somit unter keinen Umständen die ihm bereitgestellten Daten für eigene Zwecke verwenden.

Quelle: Mohamed Hassan auf Pixabay

Beispiele

• Eine Werbeagentur wird beauftragt eine Veranstaltung zu organisieren. Solange die Werbeagentur nur die Gestaltung der Unterlagen und Konzeption übernimmt, ist sie kein Auftragsverarbeiter im Sinne der DSGVO. Wenn sie jedoch in unserem Auftrag Einladungen versendet, mit einer Liste unserer Kundenkontakte oder sie bei der Veranstaltung Daten der Besuchenden erhebt, handelt es sich um eine Auftragsdatenverarbeitung im Sinne der DSGVO. 
• Ein externer IT-Dienstleister übernimmt unseren IT-Support. Er richtet Computer ein und schaltet sich ggf. über Fernwartung auf die Systeme des Unternehmens. Dadurch bekommt er unter Umständen Einsicht in die internen Daten des Unternehmens und somit auf personenbezogene Daten der Mitarbeitenden oder Kunden.
  
• Jeder Anbieter von Onlinelösungen die wir nutzen zählt als Auftragsverarbeiter, da wir im Rahmen der Nutzung personenbezogene Daten in den Systemen hinterlegen – und sei es nur unsere geschäftliche E-Mail-Adresse.
  
• Auch unser Hostinganbieter, auf dessen Server unsere Webseite läuft, ist ein klassischer Auftragsverarbeiter. Und das auch, wenn wir keine Registrierungsmöglichkeiten oder personalisierte Logins anbieten. Denn auch die IP-Adressen der Webseitenbesucher zählen als personenbezogene Daten. Der Hostinganbieter ist damit in jedem Fall ein Auftragsverarbeiter. 

Keine Auftragsverarbeitung liegt jedoch z.B. bei Postdiensten für den Brief- oder Pakettransport vor. Auch Rechtsanwälte oder Steuerberater sind von dieser Regelung ausgenommen, da sie als Berufsgeheimnisträger nicht weisungsbefugt handeln. Es gilt also immer zu prüfen, ob ein Dienstleister als Auftragsverarbeiter agiert oder in Eigenverantwortlichkeit. 

Was bedeutet das? 

Sobald wir einen Auftragsverarbeiter nutzen, müssen wir sicherstellen, dass dieser sich ebenfalls datenschutzkonform verhält und entsprechende technische und organisatorische Maßnahmen umsetzt, um den Schutz der Daten zu gewährleisten. Dies wird in der Regel über einen sogenannten Auftragsverarbeitungsvertrag (AV-Vertrag) geregelt. Art. 28 DSGVO nennt die Mindestanforderungen an den Inhalt eines solchen Vertrages. 

Nach Art. 28 Abs. 3 DSGVO sind u.a. folgende Punkte in dem Vertrag zu regeln:

• Gegenstand, Dauer Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und betroffenen Personen
• Hinweise zur Verpflichtung der zur Verarbeitung befugten Personen hinsichtlich der Vertraulichkeit
• Hinweise zu den umgesetzten technischen und organisatorischen Maßnahmen
• Regelungen bzgl. dem Hinzuziehen von Subunternehmern
• Regelungen zur Unterstützung bei Anfragen und Ansprüchen Betroffener
• Regelungen bzgl. Rückgabe oder Löschung der personenbezogenen Daten
• Regelungen bzgl. Kontrollrechte des Verantwortlichen beim Auftragsverarbeiter
• Hinweise zu der Pflicht des Auftragsverarbeiters, den Verantwortlichen Datenschutzverstößen zu informieren

Viele Dienstleister (gerade im Online-Bereich) bieten vorgefertigte AV-Verträge an, die man sich direkt auf der Webseite herunterladen und unterschreiben kann. Der Vertrag wird anschließend zur Unterschrift an den Auftragsverarbeiter gesendet.