Auftragsverarbeitung: Datenschutz bei der Verarbeitung personenbezogener Daten
- 6 Minuten Lesezeit
Experten-Autor dieses Themas
Auftragsverarbeitung: Was ist das?
Eine Auftragsverarbeitung – früher Auftragsdatenverarbeitung genannt – liegt grundsätzlich dann vor, wenn andere Unternehmen im Auftrag Zugriff auf personenbezogene Daten von Dritten haben. Datenverarbeitungsprozesse werden oftmals ausgelagert. Das sind meist externe Dienstleistungsunternehmen – wie beispielsweise ein externes Lohnbüro –, die entsprechende Dienstleistungen (hier: die Lohnabrechnung) für ein Unternehmen (Auftraggeber) ausführen.
Auftragsverarbeitung – der Vertrag
Die Verarbeitung bestimmter Daten durch externe Unternehmen – wie gerade im Beispiel Lohnabrechnung – findet oft Anwendung, um das spezielle Fachwissen eines anderen Unternehmens (wie eines Lohnbüros) zu nutzen. Das kann sich auf jeden Fall zeit- und kostensparend für das eigene Unternehmen auswirken. Um das externe Unternehmen zu beauftragen, ist es von großer Bedeutung, dass dieses bei der Verarbeitung der personenbezogenen Daten den Schutz der Rechte der betroffenen Personen unbedingt gewährleistet.
Aus diesem Grund muss ein spezieller Vertrag – der Auftragsverarbeitungsvertrag – geschlossen werden. Der Abschluss dieses Vertrages ist zwingend und auch bußgeldbewährt vorgeschrieben. Das beauftragende Unternehmen (Auftraggeber) ist in der Kontrollpflicht. Es hat regelmäßig zu prüfen, ob der beauftragte Dienstleister die gesetzlichen Vorgaben zum Datenschutz einhält. Um den Anforderungen der gesetzlichen Regelung dabei zu entsprechen, muss hier insbesondere Art. 28 DSGVO (Datenschutz-Grundverordnung) berücksichtigt werden.
Ebenso maßgeblich ist Art. 32 DSGVO, in dem es um die Sicherheit der Verarbeitung der Daten geht. So heißt es dort unter anderem:
(1) „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a, die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen […]
(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.“
Wann ist ein Vertrag zur Auftragsverarbeitung notwendig?
Werden also personenbezogene Daten im Auftrag an Dritte weisungsgebunden weitergegeben und von ihnen verarbeitet oder genutzt, ist ein Auftragsverarbeitungsvertrag notwendig. Die betroffenen Personen müssen darüber in Kenntnis gesetzt werden, dass solche Dienstleister genutzt werden und ein Auftragsverarbeitungsvertrag abgeschlossen wurde.
Beispiele für Auftragsverarbeitungsverträge:
Externe Lohnabrechnung oder Gehaltsabrechnung (keine Steuerberater)
Papier- und/oder Aktenvernichtung
Vernichtung von Datenträgern
Wartungsverträge mit Zugriff auf personenbezogene Daten
Kundenumfragen
Newsletter per E-Mail
Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung
Wann brauchen Sie keinen Auftragsverarbeitungsvertrag?
Tätigkeiten und Dienstleistungen, bei denen es vordergründig nicht um die Datenverarbeitung geht, stellen keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. Deshalb ist hier ein Auftragsverarbeitungsvertrag nicht vorgeschrieben, ebenso wenig wie auch bei der Verarbeitung personenbezogener Daten von Berufsgeheimnisträgern.
Beispiele für nicht notwendige Auftragsverarbeitungsverträge:
Rechtsanwälte
Wirtschaftsprüfer
Steuerberater
Banken
Betriebsärzte
Inkassounternehmen
Postboten
Hinweis: Bei Tätigkeiten, für die eine Weisungsgebundenheit fehlt, gibt es grundsätzlich auch nicht die gesetzliche Pflicht, einen Auftragsverarbeitungsvertrag abzuschließen.
Auftragsverarbeitung: Sanktionen bei Verstößen
Die DSGVO (Datenschutz-Grundverordnung) gibt vor, dass Sanktionen wirksam, verhältnismäßig und abschreckend sein müssen. Wird mit Dienstleistern oder Partnern, die personenbezogene Daten im Auftrag verarbeiten, kein entsprechender Auftragsverarbeitungsvertrag geschlossen, und es kommt zu Datenschutzverstößen, kann das fatale Folgen haben. Art. 83 Abs. 5 DSGVO regelt die allgemeinen Bedingungen für die Verhängung von Geldbußen. Bußgelder in Höhe von bis zu 20 Mio. Euro können die Folge sein. Auch eine Durchgriffshaftung durch Vollstreckung in das Privatvermögen eines Geschäftsführers ist unter Umständen nicht ausgeschlossen. Etwaige Versicherungen greifen bei Gesetzesverstößen nicht. Kann bei einem Datenschutzverstoß eine Bereicherungsabsicht nachgewiesen werden, besteht auch strafrechtliche Relevanz, und Freiheitsstrafen von bis zu drei Jahren sind möglich.
Mustervertrag für Auftragsverarbeitung
So könnte ein Vertrag in etwa aussehen. Der Inhalt muss individuell angepasst werden:
Vertrag über die Auftragsverarbeitung personenbezogener Daten
zwischen Firma Musterfrau,
vertreten durch …
im Folgenden – Auftraggeber –
und
Firma Mustermann,
vertreten durch ...
im Folgenden – Auftragnehmer –
genannt.
1. Geltungsbereich
1.1 Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer (im Folgenden „Parteien“ genannt) im Rahmen der Verarbeitung von personenbezogenen Daten im Auftrag.
1.2 Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers personenbezogene Daten des Auftraggebers weisungsgebunden verarbeiten.
2. Gegenstand und Dauer der Verarbeitung
2.1 Gegenstand
Der Auftragnehmer übernimmt folgende Verarbeitungen: ... (genaue Beschreibungen).
Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Dienstleistungsvertrag vom … (im Folgenden „Hauptvertrag“).
2.2 Dauer
Die Verarbeitung beginnt am … (Datum) und endet am … (Datum).
3. Art und Zweck der Datenverarbeitung
3.1 Art der Verarbeitung
Die Verarbeitung ist folgender Art: … (hier den Zweck eintragen, wie beispielsweise Erhebung, Speicherung und Übermittlung von Daten).
3.2 Zweck der Verarbeitung
Die Verarbeitung dient folgendem Zweck: …
3.3 Art der Daten
Es werden folgende Daten verarbeitet: Anrede, Vor- und Zuname, E-Mail-Adresse, Adresse
4. Pflichten des Auftragnehmers
4.1 Der Auftragnehmer verarbeitet die zur Verfügung gestellten personenbezogenen Daten ausschließlich wie vertraglich vereinbart und vom Auftraggeber angewiesen. Der Auftragnehmer verwendet diese Daten nicht für eigene Zwecke.
4.2 Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.
4.3 Der Auftragnehmer bestätigt, dass ihm die DSGVO (Datenschutz-Grundverordnung) mit deren Vorschriften hinreichend und unmissverständlich bekannt ist.
4.4 Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren, und sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen.
4.5 Auskünfte an Dritte darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen.
Hinweis: Da sich das Arbeiten im Homeoffice immer weiter etabliert, kann die Verarbeitung von Daten in Privatwohnungen vertraglich ausgeschlossen werden. Wird sie zugelassen, sind eingeräumte Kontrollrechte des Auftraggebers aber zwingend erforderlich.
5. Rechte und Pflichten des Auftraggebers
5.1 Für die Einhaltung der Rechte von Betroffenen ist der Auftraggeber verantwortlich.
5.2 Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme, regelmäßig zu überprüfen. Der Auftragnehmer ist dabei verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
Diese finden mit angemessener Vorankündigung und zu den Geschäftszeiten des Auftragnehmers statt.
6. Beendigung des Auftrags
Befinden sich bei Beendigung des Auftragsverhältnisses im Auftrag verarbeitete Daten oder Kopien noch in der Verfügungsgewalt des Auftragnehmers, hat dieser die Daten entweder zu vernichten oder an den Auftraggeber zu übergeben. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. Eine physische Vernichtung erfolgt gemäß DIN 66399.
7. Vergütung
Die Vergütung des Auftragnehmers ist im Hauptvertrag geregelt.
8. Haftung
Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer gesamtschuldnerisch.
9. Sonstiges
Die Vertragsparteien verpflichten sich, erlangte Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages hinaus streng vertraulich zu behandeln.
Unterschriften
Auftraggeber
Auftragnehmer
Ort, Datum
Artikel teilen:
Sie benötigen persönliche Beratung zum Thema Auftragsverarbeitung?
Rechtstipps zu "Auftragsverarbeitung" | Seite 5
-
07.10.2019 Rechtsanwältin Maike Lasar„… auch den Auftragsverarbeiter. Verpflichtung von Unternehmen mit weniger als 250 Mitarbeitern? In Art. 30 Abs. 5 DSGVO ist eine Ausnahme von der Verpflichtung zum Führen eines Verarbeitungsverzeichnisses für Unternehmen …“ Weiterlesen
-
24.09.2018 Anwalt JUDr. Mojmír Ježek Ph.D.„… den Auftragsverarbeiter gemäß der Grundverordnung gehalten werden können. Sobald die Klienten der Gesellschaft die Identität der konkreten Spenders erfahren haben, sind wir der Auffassung …“ Weiterlesen
-
10.09.2018 Rechtsanwältin Maike Lasar„Als Fachanwälte für IT-Recht, Urheberrecht & Medienrecht sowie gewerblichen Rechtsschutz werden wir von unseren Mandanten häufig zu der Thematik Auftragsverarbeitung bzw …“ Weiterlesen
-
20.08.2018 Rechtsanwältin Nina Hiddemann„… ein Datenabgleich durch Facebook möglich sei. Zwar dürften personenbezogene Daten an Auftragsverarbeiter ohne Einwilligung und gesetzliche Erlaubnis übermittelt werden, eine Auftragsverarbeitung läge …“ Weiterlesen
-
16.08.2018 Rechtsanwalt Markus Czech„… Verordnung betrifft zudem nicht nur – wie von vielen fälschlicherweise angenommen – Shops, wirklich große Unternehmen mit tausenden Kundendaten oder Auftragsverarbeiter, sondern wirklich jedes Unternehmen …“ Weiterlesen
-
14.08.2018 Rechtsanwalt Dr. Stephan Schmelzer„… veröffentlichte) Datenschutzerklärung, die Hinweise zum Datenschutz und die Verträge zur Auftragsverarbeitung. "Intern" soll hier die internen Prozesse bezeichnen, die regelmäßig für Dritte nicht ohne Weiteres …“ Weiterlesen
-
23.07.2018 Anwalt JUDr. Mojmír Ježek Ph.D.„… zum Auftragsverarbeiter. Den Vertrag über die Verarbeitung personenbezogener Daten sollte die zu erwerbende Gesellschaft mit dem Dienstleister abschließen, da sie in den meisten Fällen der für die Verarbeitung …“ Weiterlesen
-
30.05.2018 Christian Günther, anwalt.de-Redaktion„… ist, am besten gleich die ganze Website entsprechend zu verschlüsseln. 5. Auftragsverarbeitungen prüfen Werden die Dienste anderer Unternehmen zur Datenverarbeitung genutzt, kann eine sogenannte …“ Weiterlesen
-
07.10.2019 Rechtsanwalt Dr. Oliver Wallscheid LL.M.„… die Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) abschließen. Bestehende Verträge müssen überprüft und angepasst werden. Dies gilt jetzt auch für den Auftragnehmer. Wann liegt …“ Weiterlesen
-
03.05.2018 Rechtsanwalt Dr. Ole Damm„… oder der Auftragsverarbeiter wird von der Haftung ... befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist." Der Nachweis kann durch ein sog …“ Weiterlesen
-
26.04.2018 Rechtsanwältin Anna O. Orlowa LL.M.„… . Auftragsverarbeitung: Ein Vertrag zur Auftragsverarbeitung ist sowohl mit dem IT-Betreuer, der die Webseite und die Praxis-IT betreut, notwendig. 8. Datenschutzverletzungen: Datenschutzverletzungen müssen gemeldet …“ Weiterlesen
-
26.04.2018 Rechtsanwalt & Notar Dipl.-Jur. Thomas Seidel„… notwendig, müssen nun jedoch immer vorhanden sein. Außerdem sollte die Arbeit der Auftragsverarbeiter stetig von Ihnen als Unternehmen überwacht werden, soweit dies möglich und zumutbar ist. 5. IT …“ Weiterlesen
-
16.07.2021 Christian Günther, anwalt.de-Redaktion„… . Weitergehende Pflichten gelten ebenfalls m Rahmen der sogenannten Auftragsverarbeitung Auch der Auftragsverarbeiter kann künftig neben dem Auftraggeber für die Datenverarbeitung zur Verantwortung gezogen werden. (GUE)“ Weiterlesen
-
25.04.2018 Rechtsanwalt Daniel Tobias Czeckay„… Verträge über eine Auftragsverarbeitung); die Dokumentation (z. B. Verfahrensverzeichnisse, Datenschutzkonzepte, IT-Sicherheitskonzepte). Nach Feststellung des Ist-Zustandes ist der Handlungsbedarf …“ Weiterlesen
-
23.04.2018 Rechtsanwalt Ludwig Rentzsch„… sensibilisiert und geschult werden. 5. Sofern externe Dienstleister wie IT-Fachleute, Buchhalter oder Steuerberater eingeschaltet werden (sog. Auftragsverarbeiter ), ist mit diesen ein entsprechender …“ Weiterlesen
-
20.04.2018 Rechtsanwältin Anna O. Orlowa LL.M.„… zu schützen. 7. Ein Vertrag zur Auftragsverarbeitung ist mit dem Hosting-Anbieter, der die Webseite bereitstellt und Services dazu anbietet, notwendig. 8. Datenschutzverletzungen müssen gemeldet werden …“ Weiterlesen
-
11.04.2018 Rechtsanwalt Tobias Eskowitz„… zur Auftragsverarbeitung Prüfung der Webseite Werden Tools (Google Analytics, Facebook Pixel etc.) eingesetzt? Erfolgt der Einsatz DSGVO-konform? ggf. Anpassung der Datenschutzerklärung …“ Weiterlesen
-
30.03.2018 Rechtsanwältin Nina Hiddemann„… Datenverarbeitung als Kerngeschäft betreiben. Allerdings sollten Reinigungsunternehmen ebenfalls auf Vertraulichkeit verpflichtet werden. Viele Unternehmen, die primär Auftragsverarbeitung durchführen (insb. Web …“ Weiterlesen
-
30.03.2018 Rechtsanwalt Dr. Ole Damm„… . ein Verzeichnis für Auftragsverarbeiter (z. B. Cloud-Anbieter oder Rechenzentrum) erstellt werden. Bei unvollständigen oder nicht vorhandenen Verzeichnissen drohen nach der DSGVO empfindliche Bußgelder …“ Weiterlesen
-
21.03.2018 Kanzlei Kötz Fusbahn Rechtsanwälte PartGmbB„… . Besonders wichtig sind hier die Verträge mit allen Auftragsverarbeitern und Dritten, die Daten für sie verarbeiten, um hier ein stimmiges Haftungssystem zu schaffen. 8. Umsetzung …“ Weiterlesen
-
19.03.2018 Rechtsanwalt Stephan Kersten„… Rechtsgrundlagen oder einer vertraglich vereinbarten Auftragsverarbeitung, für die Art. 28 DSGVO strenge Anforderungen stellt. Eine Erleichterung sieht die Verordnung für die Verarbeitung „für interne …“ Weiterlesen
-
08.03.2018 LoschelderLeisenberg Rechtsanwälte„… : Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie …“ Weiterlesen
-
07.03.2018 Rechtsanwalt Thomas Bierlein„… Unterstützung von anderen Dienstleistern holen, wie z. B. Büroservice, Cloud-Anbieter, Hosting-Dienstleister oder Ähnliches, müssen Sie mit diesen Verträge über die Auftragsverarbeitung abschließen. Seriöse …“ Weiterlesen
-
06.03.2018 Rechtsanwalt Dr. Oliver Wallscheid LL.M.„… Verarbeitung eine Rechtsgrundlage vor? Liegen Verträge im Falle Auftragsverarbeitung vor und entsprechen diese den Vorgaben der Art. 28, 29 DSGVO? Welche Dokumentationspflichten sind zu erfüllen, Art …“ Weiterlesen