Was ist eine Auftragsdatenverarbeitung (ADV) und was muss dabei beachtet werden? (DSGVO)

In den meisten modernen Unternehmen ist die sog. Auftragsdatenverarbeitung (kurz: ADV) längst Standard. Was genau hat es mit der ADV auf sich und was gilt es, dabei zu beachten?

Grundlegendes Wissen zur ADV

Wenn außerhalb des Unternehmens eine Stelle, ein Dienstleister, ein IT-Service, etc. im Auftrag eines Unternehmens personenbezogene Daten in irgendeiner Form verarbeitet, spricht man von der ADV. Das Unternehmen ist in dem Fall der Auftragsgeber und die externe Stelle der Auftragsverarbeiter. Gesetzlich geregelt ist die ADV in Art. 28 DSGVO. Typische Beispiele einer ADV sind u.a.

• Beauftragung eines externen Unternehmens für Buchhaltung, Gehaltsabrechnung oder Mitarbeiterverwaltung, wie z.B. ein Steuerberater oder HR-Services
• Beauftragung eines externen Unternehmens für IT-Services, wie z.B. ein Rechenzentrum, aber auch die Nutzung von Google Analytics, Tracking-Software, Cloud Service, Software, Payment Provider, App Provider, etc.
• Beauftragung eines externen Unternehmens für Kundenservice oder Marketing, wie z.B. CRM, Callcenter, Newsletter- und Mailservice, Werbung, etc.

Der Auftragsverarbeiter handelt bei der Datenverarbeitung gegenüber dem Auftragsgeber weisungsgebunden. Der Auftragsgeber ist damit weisungsverantwortlich. Das bedeutet, dass der Auftraggeber auch in der Regel bezüglich seiner Anweisungen an den Auftragsverarbeiter haftbar ist.

Als Grundlage für die ADV müssen der Auftragsgeber und der Auftragsverarbeiter gemäß Art. 28 Abs. 3 und 4 DSGVO einen sog. Auftragsdatenverarbeitungsvertrag abschließen. In diesem Vertrag muss der Rahmen der ADV genau abgesteckt sein. Das heißt, in dem Vertrag muss konkret definiert sein, wie, wann und welche personenbezogenen Daten vom Auftragsverarbeiter verarbeitet werden. Zudem muss enthalten sein, welche Datenschutzmaßnahmen von beiden Seiten ergriffen werden müssen und wie der Auftragsgeber die ordnungsgemäße Verarbeitung kontrolliert.

Was ist bei der ADV wichtig zu beachten?

Wie bereits erwähnt, ist der Auftragsgeber für den Auftragsverarbeiter bezüglich des Auftrags mitverantwortlich. Daher ist es wichtig, dass jeglicher Vorgang der ADV genau dokumentiert wird. Die wichtigste Grundlage für eine datenschutzkonforme ADV ist ein perfekt an die beteiligten Unternehmen und die spezifischen Datenverarbeitungsprozesse angepasster Auftragsdatenverarbeitungsvertrag. Existiert kein Vertrag hierfür oder ist dieser unzureichend, können je nach Einzelfall hohe behördliche Bußgelder verhängt werden.

Die Erstellung eines optimalen Auftragsdatenverarbeitungsvertrags und die Sicherstellung einer DSGVO-konformen Datenverarbeitung sollte also sehr ernst genommen werden. Daher ist es sehr zu empfehlen, sich hierbei von einem fachkundigen Datenschutz-Profi beraten zu lassen. Mustervorlagen oder auch vorgefertigte Verträge von anderen Unternehmen sind hingegen für viele unternehmensspezifische Verarbeitungsprozesse unzureichend oder stellen den Laien vor große Schwierigkeiten.

Wenn Sie Fragen zur ADV oder anderen datenschutzrechtlichen Themen bzgl. Ihres Unternehmens haben, dann melden Sie sich gerne bei uns für ein unverbindliches Gespräch. Wir überprüfen gerne für Sie, ob in Ihrem Unternehmen die ADV datenschutzkonform ist und helfen Ihnen dabei, Ihr Unternehmen datenschutzrechtlich abzusichern. Unsere zertifizierten Datenschutzbeauftragten (TÜV) und unser Datenschutzauditor (TÜV) beraten bundesweit zu sämtlichen datenschutzrechtlichen Themen. Kontaktieren Sie uns einfach unter:

• Tel. 040 5330-8720 oder 030 2064-9405
• E-Mail hamburg@hvls-partner.de oder berlin@hvls-partner.de
• „Nachricht senden“ auf anwalt.de (Fügen Sie hierbei Ihre Telefonnummer bitte auch noch einmal in die Nachricht an uns ein)