Was ist eine Auftragsverarbeitung?
Gemäß Art. 28 Abs. 1 DSGVO liegt eine Auftragsverarbeitung vor, wenn eine Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen erfolgt. Der externe Auftragnehmer ist hierbei weisungsgebunden. Der verantwortliche Auftraggeber bleibt der Hauptverantwortliche für den Umgang mit den personenbezogenen Daten. Der Auftragnehmer fungiert nur als der „verlängerte Arm“ des Auftraggebers. Die Auftragsverarbeitung wird auch bejaht in Fällen, in denen der Zugriff des externen Dienstleisters auf personenbezogene Daten nicht ausgeschlossen werden kann.
Typische Beispiele einer Auftragsverarbeitung, für die das Abschließen eines AV-Vertrags erforderlich ist, sind:
- Ein externes Unternehmen, dass die Buchhaltung/Gehaltsabrechnung für den Auftraggeber erledigt
- Ein Marketing-Dienstleister verarbeitet Kundendaten für Statistiken oder Newsletter
- Nutzung von Tracking Software wie Google Analytics
- Fernwartungssysteme durch einen externen Dienstleister
- Austausch von Hardware durch einen externen Dienstleister
- Aktenvernichtung durch einen externen Dienstleister
Sobald ein externer Dienstleister eigene Interessen verfolgt und nicht weisungsgebunden bei der Verarbeitung personenbezogener Daten eines Kunden agiert, ist er selbst als Verantwortlicher anzusehen und es findet keine Auftragsverarbeitung statt. Dann kommt eine eigene Verantwortlichkeit des Dienstleisters oder eine gemeinsame Verantwortlichkeit mit dem Hauptverantwortlichem gemäß Art. 26 DSGVO in Betracht.
Pflichten des Verantwortlichen
Der verantwortliche Auftraggeber muss sicherstellen, dass der Auftragnehmer sich bei der Verarbeitung seiner personenbezogenen Daten datenschutzkonform verhält. Dazu schließen der Auftraggeber und Auftragnehmer einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, der das Datenschutzniveau vorgibt. Zudem sollte der Verantwortliche sich in regelmäßigen Abständen davon überzeugen, dass der Auftragsverarbeiter die Vorgaben der Datenschutzgrundverordnung einhält. Hierzu kann er Vor-Ort-Kontrollen durchführen, ein Testat eines Sachverständigen einholen, den Bericht des eigenen Datenschutzbeauftragten einholen oder eine schriftliche Auskunft des Auftragnehmers einholen. Welche konkreten Maßnahmen im Einzelfall angebracht sind richtet sich maßgeblich nach dem Umfang der Datenverarbeitung, der Sensibilität der verarbeiteten Daten und dem Gefährdungspotential für den Betroffenen. Gesetzlich ist außerdem eine Protokollierung der Kontrollen vorgeschrieben. Nachfolgend können Sie einen auftragnehmerfreundlichen Entwurf eines Auftragsverarbeitungsvertrages herunterladen und auf Ihre Bedürfnisse anpassen: