Auftragsverarbeitungsvertrag

Fakten zum Auftragsverarbeitungsvertrag

Durch die Einführung des Mindestlohns im Jahr 2015 ist der Trend eine geringfügige Beschäftigung zu haben, etwas abgeflacht. Nach wie vor bessern jedoch viele Menschen ihr Einkommen durch einen oder mehrere Minijobs auf.

Wie viele Minijobs jemand grundsätzlich haben darf und was zu beachten ist, erfahren Sie in diesem dilohver-Wissenswert-Beitrag.

dilohver

Definition Auftragsverarbeitungsvertrag

Werden personenbezogenen Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, gilt das als Auftragsverarbeitung. Dann ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich. Festgehalten wird diese Pflicht in Art. 28 DSGVO.

Der Auftraggeber ist rechtlich weiterhin für die personenbezogenen Daten und den Umgang mit diesen verantwortlich. Er muss die Auftragnehmer mit der gebotenen Sorgfalt aussuchen und deren Tätigkeit regelmäßig überprüfen.

Praxisbeispiele für die Auftragsverarbeitung

Die weisungsgebundene Verarbeitung von Daten durch Dritte im Auftrag – das klingt vielleicht noch etwas abstrakt. Wahrscheinlich sind Sie selbst aber schon vielfach mit der Auftragsverarbeitung in Kontakt gekommen. Ganz typische Beispiele, die für die meisten Unternehmen eine Rolle spielen, sind:

Software & Co.

Software-as-a-Service-Lösungen wie Newsletter- oder Buchhaltungstools

Webseitenbetreiber

Betreiber von Eingabemasken (Formularen), die auf Ihrer Website eingebunden werden können (z. B. Unbounce oder Mailchimp)

Kundensysteme

Cloudbasierte CRM-Tools, oder externe und digiale Zeiterfassungsyysteme

Webseitenbetreiber

Betreiber von Eingabemasken (Formularen), die auf Ihrer Website eingebunden werden können sowie Hosting-Services.

Kooperationspartner

Agenturen für Marketing, Vertrieb oder Beratung, sofern diese Zugriff auf personenbezogene Daten von Mitarbeitern, Kunden, Nutzern oder anderen Kontakten des Unternehmens haben

Servicedienstleister

Akten- und Datenträgervernichtung durch externe Dienstleister, wie z.B.externe Callcenter oder Kundenservices

Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit

Manchmal ist es gar nicht so einfach zu entscheiden, ob die Auftragsverarbeitung wirklich ausschließlich nach den Weisungen des Verantwortlichen, also des Auftraggebers, geschieht. Tut sie das nicht und hat der Auftragsverarbeiter selbst Zugriff auf die Daten und nutzt sie für eigene Zwecke, so handelt es sich wahrscheinlich um einen Fall der gemeinsamen Verantwortlichkeit.

Hier ein paar typische Abgrenzungsmerkmale, welche für eine Auftragsverarbeitung sprechen:

Anforderungen an einen Auftragsverarbeitungsvertrag nach DSGVO

Die spezifischen Anforderungen, die ein AVV erfüllen muss, sind in Art. 28 DSGVO festgelegt. Hierdurch soll gewährleistet werden, dass die Datenverarbeitung auch beim Einsatz eines Auftragsverarbeiters den Vorgaben der DSGVO genügt.

Der AVV ist schriftlich abzuschließen – die elektronische Form ist möglich. Zudem ist der Auftragsverarbeiter verpflichtet, technische und organisatorischen Maßnahmen (TOM) zu ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten.

Verantwortlicher (Auftraggeber)
Auftragsverarbeiter (Auftragnehmer)

Die Ausnahmen beim Auftragsverarbeitungsvertrag

Sollten Sie nach all den Abwägungen noch immer zu keinem klaren Ergebnis gekommen sein, bleibt Ihnen immer noch die Möglichkeit, sich bei ihrer zuständigen Datenschutzaufsichtsbehörde zu erkundigen. Die ist sich vielleicht auch nicht sicher, aber die muss eine Meinung haben. Was jetzt eigentlich mit dem Steuerberater ist? Der ist eine fremde Fachleistung und selber für die Daten verantwortlich. Genauso wie Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer, Inkassobüros mit Forderungsübertragung, Bankinstitute für den Geldtransfer und Postdienste für den Brieftransport. Sagen zumindest die Aufsichtsbehörden.

Fazit: ohne Auftragsverarbeitungsverträge kein Business

Jeder Auftragnehmer, der als Dritter personenbezogene Daten verarbeitet, stellt ein gewisses Risiko dar – für Datenpannen, Datenschutzverstöße oder die Missachtung der ihm auferlegten Pflichten. Daher will jeder Auftragsverarbeiter gut ausgewählt sein – und der AVV ist ein fantastisches Indiz für die Qualität der Zusammenarbeit und die Professionalität und Verlässlichkeit des Auftragsverarbeiters.

Als Auftragsverarbeiter zeigen Unternehmen durch Dokumente wie die technischen und organisatorischen Maßnahmen und den AVV, dass sie den Datenschutz ernst nehmen.

Persönlich. Sicher. Vertraulich

Als externer Datenschutzbeauftragter kann Sie dilohver bei der Erstellung von AVVs unterstützen und die AVVs Ihrer Auftragnehmer prüfen.

Vereinbaren Sie eine kostenlose Erstberatung, um mehr zu erfahren. 

Disclaimer

Wir machen darauf aufmerksam, dass die Inhalte unserer Internetseite (auch etwaige Rechtsbeiträge) lediglich dem unverbindlichen Informationszweck dienen und keine Rechtsberatung im eigentlichen Sinne darstellen. Der Inhalt dieser Informationen kann und soll eine individuelle und verbindliche Rechtsberatung, die auf Ihre spezifische Situation eingeht, nicht ersetzen. Insofern verstehen sich alle bereitgestellten Informationen ohne Gewähr auf Richtigkeit, Vollständigkeit und Aktualität.