Auftragsverarbeitung: Datenschutz bei der Verarbeitung personenbezogener Daten
- 6 Minuten Lesezeit
Experten-Autor dieses Themas
Auftragsverarbeitung: Was ist das?
Eine Auftragsverarbeitung – früher Auftragsdatenverarbeitung genannt – liegt grundsätzlich dann vor, wenn andere Unternehmen im Auftrag Zugriff auf personenbezogene Daten von Dritten haben. Datenverarbeitungsprozesse werden oftmals ausgelagert. Das sind meist externe Dienstleistungsunternehmen – wie beispielsweise ein externes Lohnbüro –, die entsprechende Dienstleistungen (hier: die Lohnabrechnung) für ein Unternehmen (Auftraggeber) ausführen.
Auftragsverarbeitung – der Vertrag
Die Verarbeitung bestimmter Daten durch externe Unternehmen – wie gerade im Beispiel Lohnabrechnung – findet oft Anwendung, um das spezielle Fachwissen eines anderen Unternehmens (wie eines Lohnbüros) zu nutzen. Das kann sich auf jeden Fall zeit- und kostensparend für das eigene Unternehmen auswirken. Um das externe Unternehmen zu beauftragen, ist es von großer Bedeutung, dass dieses bei der Verarbeitung der personenbezogenen Daten den Schutz der Rechte der betroffenen Personen unbedingt gewährleistet.
Aus diesem Grund muss ein spezieller Vertrag – der Auftragsverarbeitungsvertrag – geschlossen werden. Der Abschluss dieses Vertrages ist zwingend und auch bußgeldbewährt vorgeschrieben. Das beauftragende Unternehmen (Auftraggeber) ist in der Kontrollpflicht. Es hat regelmäßig zu prüfen, ob der beauftragte Dienstleister die gesetzlichen Vorgaben zum Datenschutz einhält. Um den Anforderungen der gesetzlichen Regelung dabei zu entsprechen, muss hier insbesondere Art. 28 DSGVO (Datenschutz-Grundverordnung) berücksichtigt werden.
Ebenso maßgeblich ist Art. 32 DSGVO, in dem es um die Sicherheit der Verarbeitung der Daten geht. So heißt es dort unter anderem:
(1) „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a, die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen […]
(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.“
Wann ist ein Vertrag zur Auftragsverarbeitung notwendig?
Werden also personenbezogene Daten im Auftrag an Dritte weisungsgebunden weitergegeben und von ihnen verarbeitet oder genutzt, ist ein Auftragsverarbeitungsvertrag notwendig. Die betroffenen Personen müssen darüber in Kenntnis gesetzt werden, dass solche Dienstleister genutzt werden und ein Auftragsverarbeitungsvertrag abgeschlossen wurde.
Beispiele für Auftragsverarbeitungsverträge:
Externe Lohnabrechnung oder Gehaltsabrechnung (keine Steuerberater)
Papier- und/oder Aktenvernichtung
Vernichtung von Datenträgern
Wartungsverträge mit Zugriff auf personenbezogene Daten
Kundenumfragen
Newsletter per E-Mail
Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung
Wann brauchen Sie keinen Auftragsverarbeitungsvertrag?
Tätigkeiten und Dienstleistungen, bei denen es vordergründig nicht um die Datenverarbeitung geht, stellen keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. Deshalb ist hier ein Auftragsverarbeitungsvertrag nicht vorgeschrieben, ebenso wenig wie auch bei der Verarbeitung personenbezogener Daten von Berufsgeheimnisträgern.
Beispiele für nicht notwendige Auftragsverarbeitungsverträge:
Rechtsanwälte
Wirtschaftsprüfer
Steuerberater
Banken
Betriebsärzte
Inkassounternehmen
Postboten
Hinweis: Bei Tätigkeiten, für die eine Weisungsgebundenheit fehlt, gibt es grundsätzlich auch nicht die gesetzliche Pflicht, einen Auftragsverarbeitungsvertrag abzuschließen.
Auftragsverarbeitung: Sanktionen bei Verstößen
Die DSGVO (Datenschutz-Grundverordnung) gibt vor, dass Sanktionen wirksam, verhältnismäßig und abschreckend sein müssen. Wird mit Dienstleistern oder Partnern, die personenbezogene Daten im Auftrag verarbeiten, kein entsprechender Auftragsverarbeitungsvertrag geschlossen, und es kommt zu Datenschutzverstößen, kann das fatale Folgen haben. Art. 83 Abs. 5 DSGVO regelt die allgemeinen Bedingungen für die Verhängung von Geldbußen. Bußgelder in Höhe von bis zu 20 Mio. Euro können die Folge sein. Auch eine Durchgriffshaftung durch Vollstreckung in das Privatvermögen eines Geschäftsführers ist unter Umständen nicht ausgeschlossen. Etwaige Versicherungen greifen bei Gesetzesverstößen nicht. Kann bei einem Datenschutzverstoß eine Bereicherungsabsicht nachgewiesen werden, besteht auch strafrechtliche Relevanz, und Freiheitsstrafen von bis zu drei Jahren sind möglich.
Mustervertrag für Auftragsverarbeitung
So könnte ein Vertrag in etwa aussehen. Der Inhalt muss individuell angepasst werden:
Vertrag über die Auftragsverarbeitung personenbezogener Daten
zwischen Firma Musterfrau,
vertreten durch …
im Folgenden – Auftraggeber –
und
Firma Mustermann,
vertreten durch ...
im Folgenden – Auftragnehmer –
genannt.
1. Geltungsbereich
1.1 Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer (im Folgenden „Parteien“ genannt) im Rahmen der Verarbeitung von personenbezogenen Daten im Auftrag.
1.2 Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers personenbezogene Daten des Auftraggebers weisungsgebunden verarbeiten.
2. Gegenstand und Dauer der Verarbeitung
2.1 Gegenstand
Der Auftragnehmer übernimmt folgende Verarbeitungen: ... (genaue Beschreibungen).
Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Dienstleistungsvertrag vom … (im Folgenden „Hauptvertrag“).
2.2 Dauer
Die Verarbeitung beginnt am … (Datum) und endet am … (Datum).
3. Art und Zweck der Datenverarbeitung
3.1 Art der Verarbeitung
Die Verarbeitung ist folgender Art: … (hier den Zweck eintragen, wie beispielsweise Erhebung, Speicherung und Übermittlung von Daten).
3.2 Zweck der Verarbeitung
Die Verarbeitung dient folgendem Zweck: …
3.3 Art der Daten
Es werden folgende Daten verarbeitet: Anrede, Vor- und Zuname, E-Mail-Adresse, Adresse
4. Pflichten des Auftragnehmers
4.1 Der Auftragnehmer verarbeitet die zur Verfügung gestellten personenbezogenen Daten ausschließlich wie vertraglich vereinbart und vom Auftraggeber angewiesen. Der Auftragnehmer verwendet diese Daten nicht für eigene Zwecke.
4.2 Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.
4.3 Der Auftragnehmer bestätigt, dass ihm die DSGVO (Datenschutz-Grundverordnung) mit deren Vorschriften hinreichend und unmissverständlich bekannt ist.
4.4 Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren, und sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen.
4.5 Auskünfte an Dritte darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen.
Hinweis: Da sich das Arbeiten im Homeoffice immer weiter etabliert, kann die Verarbeitung von Daten in Privatwohnungen vertraglich ausgeschlossen werden. Wird sie zugelassen, sind eingeräumte Kontrollrechte des Auftraggebers aber zwingend erforderlich.
5. Rechte und Pflichten des Auftraggebers
5.1 Für die Einhaltung der Rechte von Betroffenen ist der Auftraggeber verantwortlich.
5.2 Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme, regelmäßig zu überprüfen. Der Auftragnehmer ist dabei verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
Diese finden mit angemessener Vorankündigung und zu den Geschäftszeiten des Auftragnehmers statt.
6. Beendigung des Auftrags
Befinden sich bei Beendigung des Auftragsverhältnisses im Auftrag verarbeitete Daten oder Kopien noch in der Verfügungsgewalt des Auftragnehmers, hat dieser die Daten entweder zu vernichten oder an den Auftraggeber zu übergeben. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. Eine physische Vernichtung erfolgt gemäß DIN 66399.
7. Vergütung
Die Vergütung des Auftragnehmers ist im Hauptvertrag geregelt.
8. Haftung
Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer gesamtschuldnerisch.
9. Sonstiges
Die Vertragsparteien verpflichten sich, erlangte Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages hinaus streng vertraulich zu behandeln.
Unterschriften
Auftraggeber
Auftragnehmer
Ort, Datum
Artikel teilen:
Sie benötigen persönliche Beratung zum Thema Auftragsverarbeitung?
Rechtstipps zu "Auftragsverarbeitung"
-
24.04.2024 Rechtsanwalt Daniel Loschelder„… nach Rahmenbedingungen für den betrieblichen Datenschutz auch die Standorte der Server von Bedeutung. Ein weiterer Aspekt betrifft die Auftragsverarbeitung, bei der personenbezogene Daten an externe …“ Weiterlesen
-
17.04.2024 Rechtsanwalt Jens Klaus Fusbahn„… Verantwortlichkeit ist sauber abzugrenzen zur Auftragsverarbeitung . Eine Auftragsverarbeitung ist dann gegeben, wenn der Auftragsverarbeiter für die verantwortliche Stelle gewissermaßen …“ Weiterlesen
-
12.03.2024 Rechtsanwalt Jens Klaus Fusbahn„… kommt die Frage auf: brauche ich jetzt einen Auftragsverarbeitungsvertrag? Wann liegt also eine Auftragsverarbeitung vor? Wenn ein externer Dienstleister mit der Verarbeitung personenbezogener Daten …“ Weiterlesen
-
26.02.2024 Rechtsanwalt Dr. Marc Maisch„… bekannt. DSG Schweiz: Die Auftragsbearbeitung „Auftragsbearbeiter“ ist ein Begriff, der bei ausgelagerten Datenverarbeitungen verwendet wird und entspricht dem Auftragsverarbeiter der DSGVO, wobei …“ Weiterlesen
-
22.02.2024 Rechtsanwalt Andreas Kempcke„… oder gegen den Auftragsverarbeiter.“ Klingt erst mal recht einfach. Trotzdem gab es in der Vergangenheit immer wieder Streit wegen Forderungen nach Schadenersatz aufgrund von Datenschutzverstößen …“ Weiterlesen
-
23.02.2024 Rechtsanwalt Martin Loibl„… eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Schadensbegriff …“ Weiterlesen
-
04.02.2024 Rechtsanwalt Martin Loibl„… ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Schadensbegriff des Art. 82 Abs. 1 DS-GVO ist ein europarechtlicher Begriff, bei dessen Ausfüllung …“ Weiterlesen
-
13.01.2024 Rechtsanwalt Dr. iur. Holger Traub - Dipl. Kfm.„… , Anspruch auf Schadenersatz vom Verantwortlichen oder Auftragsverarbeiter. Dies kann beispielsweise der Fall sein, wenn personenbezogene Daten ohne Einwilligung verarbeitet oder weitergegeben wurden …“ Weiterlesen
-
07.01.2024 Rechtsanwalt Dr. iur. Holger Traub - Dipl. Kfm.„… der DSGVO-Verstoß bewusst gewesen sei, sei unerheblich. Dies gelte sogar dann, wenn ein anderes Unternehmen als Auftragsverarbeiter datenschutzwidrig gehandelt habe. Der Sachverhalt betraf das Nationale …“ Weiterlesen
-
08.12.2023 Rechtsanwalt Dr. Sven H. Jürgens Experte für BAV„… den Verantwortlichen oder gegen den Auftragsverarbeiter.“ Betroffene wären dann nach deutschem Schadensersatzrecht so zu stellen, als ob die Kreditwürdigkeit bejaht und damit der Kredit gewährt worden wäre …“ Weiterlesen
-
07.10.2023 Rechtsanwalt Stephan Steinwachs„… Mechanismus für die Geltendmachung von Schadensersatzansprüchen an die Hand gibt. Für Verantwortliche und Auftragsverarbeiter ist es daher von zentraler Bedeutung, einen hohen Datenschutzstandard …“ Weiterlesen
-
11.08.2023 Rechtsanwalt Richard Hoffmann„… unterteilt sich der CAC-Standardvertrag nicht in vier unterschiedliche Module („Verantwortlicher-Verantwortlicher“, „Verantwortlicher-Auftragsverarbeiter“, „Auftragsverarbeiter-Verantwortlicher …“ Weiterlesen
-
03.08.2023 Rechtsanwalt Robin Tafel„… durch externe Dienstleister durchgeführt. Hierbei ist insbesondere zwischen dem Auftragsverarbeiter i. S. d. Artikels 28 DSGVO und dem gemeinsam Verantwortlichen i. S. d. Artikels 26 DSGVO zu unterscheiden …“ Weiterlesen
-
18.07.2023 Rechtsanwältin Dagmara Döll LL.M.(Limerick)„… stattfindet. Da der Outsourcing Anbieter regelmäßig als Auftragsverarbeiter im Sinne der DSGVO einzustufen ist, sollte im Zuge der Vertragsgestaltung ebenfalls ein Auftragsverarbeitungsvertrag nach Art …“ Weiterlesen
-
07.08.2023 Rechtsanwalt Dr. Marc Maisch„… Agenturen für deutsche Auftraggeber handeln, ist über Auftragsverarbeitung und einem Erlaubnistatbestand für die Drittstaatenübermittlung nachzudenken. Das kann z.B. über EU Standard Contract Clauses …“ Weiterlesen
-
18.10.2023 Rechtsanwalt Daniel Loschelder„… . Rechtsanwalt für IT Recht: Auftragsverarbeitung Zudem beschäftigen wir uns als Anwälte für IT-Recht mit der Auftragsverarbeitung. Unternehmen verarbeiten personenbezogene Daten häufig nicht intern, sondern …“ Weiterlesen
-
16.05.2023 Rechtsanwalt und DSB (TÜV) Henning Koch„… müssen angemessene technische und organisatorische Maßnahmen treffen, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Auftragsverarbeitung: Sofern externe Dienstleister im Auftrag …“ Weiterlesen
-
20.11.2023 Rechtsanwalt Armin Wahlenmaier„… den Auftragsverarbeiter. (2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde …“ Weiterlesen
-
30.04.2023 Rechtsanwalt Martin Loibl„… die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder Auftragsverarbeiter. Art. 82 DSGVO enthält folgende …“ Weiterlesen
-
30.03.2023 Rechtsanwalt Patrick P. de Backer„… auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Wegen der (rechtswidrigen) Negativ-Speicherung der Restschuldbefreiung über sechs Monate hinaus war es z.B. nicht möglich …“ Weiterlesen
-
08.05.2023 Rechtsanwalt Martin Loibl„… mit dem Bundesdatenschutzgesetz. Dank der DSGVO ist ein Datentransfer innerhalt der EU – weitere Voraussetzungen wie die Auftragsverarbeitung ausgeklammert – zulässig. Was sind Drittstaaten/Drittländer nach der DSGVO …“ Weiterlesen
-
08.03.2023 Rechtsanwalt Dr. Stephan Schmelzer„… und die regelmäßige Überprüfung der Sicherheitsvorkehrungen gewährleistet werden. Darüber hinaus müssen Saas-Anbieter sicherstellen, dass sie als Auftragsverarbeiter gemäß der DSGVO agieren. Dies bedeutet …“ Weiterlesen
-
06.03.2023 Rechtsanwalt Michael Goldmaier„… und korrigieren. Auftragsverarbeitung: Wenn Unternehmen Dritte mit der Verarbeitung von Kundendaten beauftragen, müssen sie sicherstellen, dass diese Dritten ebenfalls die DSGVO einhalten. Speicherung …“ Weiterlesen
-
09.12.2022 Rechtsanwalt Marcel Seifert„… den Auftragsverarbeiter. In Deutschland haben erste Gerichte Facebook-Nutzern aufgrund des Datenlecks bereits Schadenersatz zugesprochen. Denkbar sind Schadenersatzansprüche bis zu 5.000 Euro. Facebook-Nutzern …“ Weiterlesen