Serie zum Datenschutz: Was ist eigentlich eine Auftragsverarbeitung und brauche ich als Unternehmer sowas?

03.08.2023
3 Minuten Lesezeit

Gerade in Zeiten ständig zunehmender Auslagerungen von bisher in einem Unternehmen selbst erbrachten Leistungen an externe Dienstleister werden in der Regel auch zunehmend Datenverarbeitungen durch externe Dienstleister durchgeführt.

Hierbei ist insbesondere zwischen dem Auftragsverarbeiter i. S. d. Artikels 28 DSGVO und dem gemeinsam Verantwortlichen i. S. d. Artikels 26 DSGVO zu unterscheiden.

Gemäß Artikel 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Bei der gemeinen Verantwortlichkeit mehrerer Beteiligter legen diese insgesamt die Mittel und Zwecke der Datenverarbeitung gemeinsam fest. Insbesondere gibt es zwischen den gemeinsamen Verantwortlichen kein Abhängigkeits- bzw. Weisungsverhältnis. Im Gegenteil hierzu arbeitet ein Auftragsverarbeiter ausschließlich weisungsgebunden, sodass stets ein Über- bzw. Unterordnungsverhältnis besteht.

Ob bereits eine Auftragsverarbeitung vorliegt, kann nicht pauschal gesagt werden und muss stets im Einzelfall betrachtet werden.

Grundsätzlich gilt, je stärker weisungsgebunden in Bezug auf die Verarbeitung der Daten der Auftragnehmer ist, umso eher ist dieser als Auftragsverarbeiter einzustufen. Anwälte bzw. Steuerberater arbeiten bspw. in eigener Verantwortung, sodass diese nicht als Auftragsverarbeiter anzusehen sind. Zudem muss ebenfalls der Schwerpunkt der externen Aufgabe die Verarbeitung der jeweiligen Daten sein.

Insbesondere ist davon die reine Inanspruchnahme fachfremder Dienstleistungen zu unterscheiden. Bei der Beauftragung steht dabei nicht die Verarbeitung im Vordergrund, sondern die jeweilige Dienstleistung, wobei lediglich Daten genutzt werden müssen. Ein solche beispielhafte Inanspruchnahme fremder Fachleistungen ist zum Beispiel im Onlineshopping-Bereich der Postdienst für den Brief bzw. Pakettransport.

Wichtig ist, dass Auftragsverarbeiter dabei nicht als „Dritte“ i. S. d. Artikel 4 Nr. 10 DSGVO gelten. Aufgrund dessen, dass ein Auftragsverarbeiter der „verlängerte Arm“ seines Auftragsgebers ist, benötigt dieser für die Verarbeitung etwaiger personenbezogener Daten keine eigene Rechtsgrundlage zur Verarbeitung i. S. d. Artikels 6 DSGVO, sondern diese können sich auf diejenige Rechtsgrundlage stützen, auf die sich auch ihr Auftraggeber beruft.

Dennoch müssen diese im Rahmen der Informationspflichten nach Artikel 13 DSGVO stets gegenüber der betroffenen Person aufgeführt werden, da in der Regel eine Datenübermittlung an den Auftragnehmer erfolgt.

In der Regel fußt die Auftragsverarbeitung auf einem Auftragsverarbeitungsvertrag (i. d. R. kurz AVV genannt).

Die inhaltlichen Mindestanforderungen an die Ausgestaltung dieses Auftragsverarbeitungsvertrages sind in Artikel 28 Abs. 3 DSGVO aufgeführt. So muss unter anderem festgehalten werden, welche Art von personenbezogenen Daten verarbeitet werden und zu welchen Zwecken die Verarbeitung vorgenommen wird.

Auch der Auftragsverarbeiter muss, genau wie der Auftraggeber, ein datenschutzrechtliches Verarbeitungsverzeichnis führen.

Sofern eine betroffene Person ihre Rechte nach der DSGVO ausübt, ist grundsätzlich zunächst der Verantwortliche, und nicht der Auftragnehmer der richtige Ansprechpartner. Ggf. hat jedoch der Auftragnehmer zur Erfüllung der Rechte der betroffenen Person beizutragen.

Grundsätzlich haftet der Auftragnehmer und der Auftraggeber nach Artikel 82 DSGVO gemeinsam. Im Außenverhältnis haften Verantwortliche und Auftragsverarbeiter als Gesamtschuldner. Die betroffene Person kann daher im Falle eines Verstoßes von beiden Parteien den vollen Schadenersatz verlangen. Die Haftung des Auftragnehmers, sofern dies nicht vertraglich anders geregelt wurde, beschränkt sich jedoch in der Regel auf Verstöße gegen ihm auferlegte Pflichten. So müsste der Auftraggeber bspw. nachweisen, dass sich der Auftragnehmer ausdrücklich gegen die ihn auferlegten Pflichten aus dem Vertrag oder etwaiger anderer Weisungen widersetzt hat.

Den Verantwortlichen trifft eine Pflicht, sich nur solche Auftragsverarbeiter auszusuchen, welche hinreichende Garantieren dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen zum Schutz der Daten der jeweiligen betroffenen Person vorweisen können. Daher muss auch der Auftragnehmer entsprechende technische und organisatorische Maßnahmen ergreifen, um potentielle Datenschutzverletzungen zu vermeiden bzw. diesen vorzubeugen.

Verstöße insbesondere gegen die formalen Vorgaben nach Artikel 28 DSGVO können durch Aufsichtsbehörden mit Bußgeldern und weiteren Maßnahmen geahndet werden.

Sollten auch Sie Fragen rund um das Thema Auftragsverarbeitung haben, können wir Ihnen hier gerne beratend zur Seite stehen.

Wir beraten deutschlandweit Unternehmen im Bereich des Datenschutzes. Herr Rechtsanwalt Robin Tafel ist im Mai diesen Jahres nach erfolgreichem Lehrgang und erfolgreicher Prüfung zum Datenschutzbeauftragten (TÜV) ernannt worden und verfügt über eine außerordentlich hohe Expertise im Bereich des Datenschutzrechtes. Insofern betreuen wir derzeit u.a. mehrere IT-Projekte, bei denen Herr Rechtsanwalt Tafel federführend den Datenschutz berät.

Wir freuen uns auf Ihre Kontaktaufnahme!

Rechtstipp aus dem Rechtsgebiet

Datenschutzrecht

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Robin Tafel

Veröffentlicht von:

Rechtsanwalt Robin Tafel

Datenschutzrecht

Wettbewerbsrecht • IT-Recht • Markenrecht • Zivilrecht • Urheberrecht & Medienrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Robin Tafel

Revenge Porn – Wie wir Ihnen als Opfer weiterhelfen können!

In der heutigen Zeit der digitalen und sozialen Medien und der sehr leichten Möglichkeit schnell über Mobiltelefone Fotos und Videos aufzunehmen, kommt es in diesem Zusammenhang immer mehr zu ... Weiterlesen
Ticketabmahnung durch den VfL Bochum 1848 GmbH & Co. KGaA durch die RuhrKanzlei

Unsere Kanzlei wird mehrfach wöchentlich aufgrund typischer Ticketabmahnungen für verschiedene Fußballvereine kontaktiert und beauftragt. So liegt uns auch eine aktuelle Ticketabmahnung der VfL ... Weiterlesen
Zahlungsaufforderung durch die ddp media GmbH aufgrund der Internetnutzung urheberrechtlich geschützten Bildmaterials

Unsere Kanzlei betreut ständig urheberrechtlich Fälle gegen die ddp media GmbH aus Hamburg. Hierbei handelt es sich um eine renommierte, international tätige Bildagentur der action press-Gruppe, ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Robin Tafel

Weitere

Beiträge zum Thema

Auftragsverarbeitung: Datenschutz bei der Verarbeitung personenbezogener Daten

17.01.2023

Auftragsverarbeitung: Was ist das? Eine Auftragsverarbeitung – früher Auftragsdatenverarbeitung genannt – liegt ... Weiterlesen
Personenbezogene Daten: Was Sie über Datenschutz wissen müssen!

26.08.2022

Sobald personenbezogene Daten erfasst werden – ob von Mitarbeitern, Website-Besuchern oder Kunden – handelt es ... Weiterlesen
Datenschutz im Unternehmen – Was Sie als Unternehmer beachten müssen

17.03.2023

Einleitung: Datenschutz spielt in der heutigen digitalen Welt eine immer größere Rolle, insbesondere für ... Weiterlesen

Weitere

Ihre Spezialisten

Rechtsanwalt Kamen

Rechtsanwalt Datenschutzrecht

Rechtsanwalt Kamen Datenschutzrecht