DSGVO-Besonderheiten: Was ist überhaupt eine Auftragsdatenverarbeitung („ADV“)?

Bei der Auftragsdatenverarbeitung („ADV“) handelt es sich um eine Form gemeinsamer Datenverarbeitung. Innerhalb der ADV beauftragt ein Unternehmen (= Auftraggeber) externe Dienstleister (= Auftragnehmer o. Auftragsverarbeiter) damit, personenbezogene Daten zu verarbeiten. 

Der Dienstleister handelt hierbei auf Anweisung des Auftraggebers. Ein Beispiel für einen Auftragsverarbeiter ist ein Callcenter, welches für den Kundensupport oder die Kundengewinnung eingesetzt wird. 

Mit Art. 28 DSGVO ist die Auftragsdatenverarbeitung fester Bestandteil der DSGVO geworden und kommt mittlerweile in fast jedem Unternehmen zum Einsatz. Oftmals wissen Unternehmen jedoch gar nicht, dass sie an einer Auftragsdatenverarbeitung beteiligt sind. 

Im Grundsatz sollte immer dann überprüft werden, ob eine ADV vorliegt, sobald für den externen Dienstleister nur die Möglichkeit besteht, auf personenbezogene Daten zuzugreifen.

Die Auftragsdatenverarbeitung kommt i. d. R. in folgenden Bereichen zum Vorschein:

• Beauftragung v. externen Dienstleistern für Newsletter und Werbemaßnahmen,
• Beauftragung v. externen Unternehmen mit der Buchhaltung/ Gehaltsabrechnung (z. B. Steuerberater),
• Beauftragung eines externen Rechenzentrums,
• Bei Verwendung v. Google Analytics oder Tracking-Software zur Auswertung des Nutzerverhaltens,
• Einsatz v. Fernwartungssystemen.

Bei der ADV gilt der Grundsatz, dass der Auftraggeber der „Hauptverantwortliche“ für die Sicherung des Datenschutzes ist. Zur Absicherung wiederum dieses Grundsatzes sieht die DSGVO zunächst den Abschluss eines Auftragsdatenverarbeitungsvertrages nach Art. 28 DSGVO vor. 

Hier wird festgelegt, welche Maßnahmen der Auftragsverarbeiter ergreifen muss und wann Kontrollen durchzuführen sind. Alle Maßnahmen und Kontrollen unterliegen dabei einer Dokumentationspflicht.

Ein Beweis über durchgeführte Maßnahmen und Kontrollen ist grundsätzlich wichtig für den Auftraggeber. Sollte gar kein Vertrag existieren oder sollte der vorhandene Vertrag nicht den gesetzlichen Anforderungen entsprechen bzw. die festgelegten Maßnahmen/Kontrollen nicht (ordnungsgemäß) umgesetzt werden, kann die zuständige Aufsichtsbehörde die Zahlung eines Bußgeldes verlangen.

Sie möchten überprüfen, ob in Ihrem Unternehmen ADV zum Einsatz kommt?

Unsere Kanzlei Hämmerling von Leitner-Scharfenberg mit Sitz in Berlin und Hamburg wird bundesweit im Bereich des Datenschutzrechts tätig. Herr Hämmerling ist als Fachanwalt und für IT-Recht, als geprüfter Datenschutzbeauftragter und Datenschutzauditor mit sämtlichen rechtlichen Fragestellungen der DSGVO vertraut und hilft Ihnen gerne bei Fragen bezüglich der ADV. 

Wir unterstützen auch Ihr Unternehmen gerne bei der schrittweisen Einführung der Vorgaben der DSGVO!