dilohver-Logo
dilohver-Logo
dilohver-Logo

Auftragsdatenverarbeitungsvertrag

Auftragsverarbeitungsvertrag

Fakten zum Auftragsverarbeitungsvertrag

Durch die Einführung des Mindestlohns im Jahr 2015 ist der Trend eine geringfügige Beschäftigung zu haben, etwas abgeflacht. Nach wie vor bessern jedoch viele Menschen ihr Einkommen durch einen oder mehrere Minijobs auf.

Wie viele Minijobs jemand grundsätzlich haben darf und was zu beachten ist, erfahren Sie in diesem dilohver-Wissenswert-Beitrag.

  • Eine Auftragsverarbeitung liegt vor, wenn Daten weisungsgebunden im Auftrag von einem Auftragnehmer verarbeitet werden.
  • Beispiele für eine Auftragsverarbeitung sind Dienstleister wie Lohnbüros und Aktenvernichter sowie Outsourcing-Lösungen wie z.B. Hosting-Anbieter.
  • Liegt ein Auftragsverarbeitungsverhältnis vor, muss gem. Art. 28 Abs. 3 DSGVO ein Auftragsverarbeitungsvertrag abgeschlossen werden.
  • Der Datenschutzbeauftragte unterstützt sowohl bei der Erstellung als auch bei der Prüfung von AVVs.

Inhaltsverzeichnis

Definition Auftragsverarbeitungsvertrag
Praxisbeispiele für die Auftragsverarbeitung
Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit
Anforderungen an einen Auftragsverarbeitungsvertrag nach DSGVO​
Die Ausnahmen beim Auftragsverarbeitungsvertrag
Fazit: ohne Auftragsverarbeitungsverträge kein Business
Zusammenfassung
dilohver

Definition Auftragsverarbeitungsvertrag

Werden personenbezogenen Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, gilt das als Auftragsverarbeitung. Dann ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich. Festgehalten wird diese Pflicht in Art. 28 DSGVO.

Der Auftraggeber ist rechtlich weiterhin für die personenbezogenen Daten und den Umgang mit diesen verantwortlich. Er muss die Auftragnehmer mit der gebotenen Sorgfalt aussuchen und deren Tätigkeit regelmäßig überprüfen.

Praxisbeispiele für die Auftragsverarbeitung

Die weisungsgebundene Verarbeitung von Daten durch Dritte im Auftrag – das klingt vielleicht noch etwas abstrakt. Wahrscheinlich sind Sie selbst aber schon vielfach mit der Auftragsverarbeitung in Kontakt gekommen. Ganz typische Beispiele, die für die meisten Unternehmen eine Rolle spielen, sind:

Software & Co.

Software-as-a-Service-Lösungen wie Newsletter- oder Buchhaltungstools

Webseitenbetreiber

Betreiber von Eingabemasken (Formularen), die auf Ihrer Website eingebunden werden können (z. B. Unbounce oder Mailchimp)

Kundensysteme

Cloudbasierte CRM-Tools, oder externe und digiale Zeiterfassungsyysteme

Webseitenbetreiber

Betreiber von Eingabemasken (Formularen), die auf Ihrer Website eingebunden werden können sowie Hosting-Services.

Kooperationspartner

Agenturen für Marketing, Vertrieb oder Beratung, sofern diese Zugriff auf personenbezogene Daten von Mitarbeitern, Kunden, Nutzern oder anderen Kontakten des Unternehmens haben

Servicedienstleister

Akten- und Datenträgervernichtung durch externe Dienstleister, wie z.B.externe Callcenter oder Kundenservices

Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit

Manchmal ist es gar nicht so einfach zu entscheiden, ob die Auftragsverarbeitung wirklich ausschließlich nach den Weisungen des Verantwortlichen, also des Auftraggebers, geschieht. Tut sie das nicht und hat der Auftragsverarbeiter selbst Zugriff auf die Daten und nutzt sie für eigene Zwecke, so handelt es sich wahrscheinlich um einen Fall der gemeinsamen Verantwortlichkeit.

Hier ein paar typische Abgrenzungsmerkmale, welche für eine Auftragsverarbeitung sprechen:

  • Der Verantwortliche legt fest, welche Daten erhoben, wie lange diese verarbeitet und wann diese gelöscht werden.
  • Ebenso bestimmt der Verantwortliche den Zweck der Datenerhebung.
  • Der Verantwortliche entscheidet darüber, ob Daten gelöscht werden dürfen.

Anforderungen an einen Auftragsverarbeitungsvertrag nach DSGVO

Die spezifischen Anforderungen, die ein AVV erfüllen muss, sind in Art. 28 DSGVO festgelegt. Hierdurch soll gewährleistet werden, dass die Datenverarbeitung auch beim Einsatz eines Auftragsverarbeiters den Vorgaben der DSGVO genügt.

Der AVV ist schriftlich abzuschließen – die elektronische Form ist möglich. Zudem ist der Auftragsverarbeiter verpflichtet, technische und organisatorischen Maßnahmen (TOM) zu ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten.

Verantwortlicher (Auftraggeber)
  • Sicherstellen, dass Datenschutzvorgaben eingehalten werden können
  • AV mit gebotener Sorgfalt auswählen
  • Weisungen zur Auftragsverarbeitung schriftlich in einem AVV festhalten
  • Jeden neuen AVV in das Verzeichnis von Verarbeitungstätigkeiten aufnehmen
Auftragsverarbeiter (Auftragnehmer)
  • Datenschutzkonzept inkl. TOM zur Sicherheit der Datenverarbeitung erarbeiten
  • Rechtssichere Auftragsverarbeitungsverträge erstellen, die von Kunden übernommen werden können
  • Jeden Datenschutzverstoß an den Auftraggeber melden

Die Ausnahmen beim Auftragsverarbeitungsvertrag

Sollten Sie nach all den Abwägungen noch immer zu keinem klaren Ergebnis gekommen sein, bleibt Ihnen immer noch die Möglichkeit, sich bei ihrer zuständigen Datenschutzaufsichtsbehörde zu erkundigen. Die ist sich vielleicht auch nicht sicher, aber die muss eine Meinung haben. Was jetzt eigentlich mit dem Steuerberater ist? Der ist eine fremde Fachleistung und selber für die Daten verantwortlich. Genauso wie Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer, Inkassobüros mit Forderungsübertragung, Bankinstitute für den Geldtransfer und Postdienste für den Brieftransport. Sagen zumindest die Aufsichtsbehörden.

Fazit: ohne Auftragsverarbeitungsverträge kein Business

Jeder Auftragnehmer, der als Dritter personenbezogene Daten verarbeitet, stellt ein gewisses Risiko dar – für Datenpannen, Datenschutzverstöße oder die Missachtung der ihm auferlegten Pflichten. Daher will jeder Auftragsverarbeiter gut ausgewählt sein – und der AVV ist ein fantastisches Indiz für die Qualität der Zusammenarbeit und die Professionalität und Verlässlichkeit des Auftragsverarbeiters.

Als Auftragsverarbeiter zeigen Unternehmen durch Dokumente wie die technischen und organisatorischen Maßnahmen und den AVV, dass sie den Datenschutz ernst nehmen.

Persönlich. Sicher. Vertraulich

Als externer Datenschutzbeauftragter kann Sie dilohver bei der Erstellung von AVVs unterstützen und die AVVs Ihrer Auftragnehmer prüfen.

Vereinbaren Sie eine kostenlose Erstberatung, um mehr zu erfahren. 

Erfahren Sie mehr

Disclaimer

Wir machen darauf aufmerksam, dass die Inhalte unserer Internetseite (auch etwaige Rechtsbeiträge) lediglich dem unverbindlichen Informationszweck dienen und keine Rechtsberatung im eigentlichen Sinne darstellen. Der Inhalt dieser Informationen kann und soll eine individuelle und verbindliche Rechtsberatung, die auf Ihre spezifische Situation eingeht, nicht ersetzen. Insofern verstehen sich alle bereitgestellten Informationen ohne Gewähr auf Richtigkeit, Vollständigkeit und Aktualität.

Leistungen

Menü

Unternehmen

Kontakt

Facebook-f Instagram Youtube Linkedin-in

Bewertungen

Partnerschaft

129
SSL

Sichere Datenübertragung. Ihre Daten werden nicht an Dritte weitergegeben.

Leistungen

Kunden

Service

Unternehmen

Kontakt

Facebook-f Instagram Youtube Linkedin-in

Bewertungen

ProvenExpert-Empfehlung
ProvenExpert-Empfehlung

Partnerschaft

129
SSL

Sichere Datenübertragung. Ihre Daten werden nicht an Dritte weitergegeben.

© Copyright dilohver 2024 | Alle Rechte vorbehalten