Auftragsverarbeitung (AVV)
Art. 28 DSGVO schreibt keine besondere Form vor. In der Praxis ist es jedoch allein wegen der Dokumentation und aus Beweisgründen empfehlenswert, einen Vertrag in Textform zu schließen. So kann der Vertrag in elektronischen Formaten (z.B. PDF) oder schriftlich in Papierform geschlossen werden. Die Auftragsverarbeitung ist hauptsächlich in Art. 28 der Datenschutz-Grundverordnung (DSGVO) geregelt.
Darüber hinaus enthält die DSGVO vereinzelte Vorschriften, die jedoch für Handwerksbetriebe nicht einschlägig sind. Das Gesetz bezeichnet den Dienstleister als „Auftragsverarbeiter“. Der beauftragende Betrieb wird „Verantwortlicher“ genannt, da er die Daten nutzt und damit trotz Einschaltung eines Dienstleisters auch für die Rechtmäßigkeit der Datenverarbeitung einstehen muss und verantwortlich bleibt.
Inhalt Auftragsverarbeitung
Artikel 28 DSGVO definiert zahlreiche Mindestanforderungen an den Inhalt einer Auftragsverarbeitung AVV. Dies betrifft insbesondere:
Pflichten des Auftragsverarbeiters
Pflichten des Auftragsverarbeiters (Art. 30 Absatz 2): Alle Daten Kategorien, die im Auftrag eines Verantwortlichen durchgeführt werden, müssen zukünftig nach Art. 30 Abs. 2 DSGVO ebenfalls in einem Verzeichnis dokumentiert werden. Die Inhalte sind identisch zu den Verzeichnis für Verarbeitungstätigkeiten nach Artikel 30 DSGVO.
Was versteht man unter AVV
Eine Auftragsverarbeitung AVV liegt vor, wenn ein Betrieb zwar personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs.
Dies ist z.B. bei Anbietern von Cloud-Lösungen der Fall, die auf ihren Servern Daten für den Betrieb speichern. Dasselbe gilt für Steuerberater, die für den Betrieb die Steuerklärungen erstellen und dabei z.B. Rechnungen (Adressdaten der Kunden) verarbeiten
Wann liegt eine Auftragsverarbeitung vor?
Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb zwar personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem Dienstleister vornehmen lässt.
Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. Dies ist z.B. bei Anbietern von Cloud-Lösungen der Fall, die auf ihren Servern Daten für den Betrieb speichern. Dasselbe gilt für Lohnbuchhaltungsanbieter, die für den Betrieb die Lohnbuchhaltung erstellen und dabei z.B. Mitarbeiterdaten (Name, Bankverbindung, Krankenkasse, Steuernummer etc.) verarbeiten.
Was sind personenbezogene Daten
Sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
Die Verarbeitung personenbezogener Daten von Arbeitnehmern konkretisiert § 26 BDSG. Hiernach ist eine Verarbeitung zulässig, wenn es zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist (z.B. Speicherung von Lohnunterlagen und Krankheitstagen). Zur Ausübung der Interessensvertretung der Beschäftigten erforderlich ist (z.B. Weiterleitung von Arbeitnehmerdaten an den Betriebsrat).
Verwendung von Gesundheitsdaten
Gesundheitsdaten (z.B. Dioptrienzahl, Gehörschädigung etc.) gelten als besonders schutzwürdige Daten (Art. 9 DSGVO). Für Betriebe der Gesundheitshandwerke folgt die Berechtigung zur Verarbeitung von Gesundheitsdaten aus § 22 Abs. 1 Nr. 1 b) BDSG. Diese Vorschrift erlaubt die Verarbeitung von Gesundheitsdaten:
