Zum Inhalt springen

Support für ISO 27001:2022 und TISAX – von der Einführung bis zur Zertifizierung
Wir begleiten Ihr Unternehmen umfassend bei der Einführung und Umsetzung von ISO 27001:2022 und TISAX. Vereinbaren Sie ein unverbindliches Erstgespräch. Fordern Sie noch heute Ihr individuelles Angebot an.

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Datenschutz » Auftragsverarbeitung DSGVO

Auftragsverarbeitung DSGVO

Auftragsdatenverarbeitung DSGVO
Auftragsdatenverarbeitung DSGVO

Auftragsverarbeitung (AVV)

Der Artikel 28 der Datenschutz-Grundverordnung (DSGVO) behandelt die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter bei der Verarbeitung personenbezogener Daten. Der Verantwortliche ist diejenige Organisation oder Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, während der Auftragsverarbeiter diejenige ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Eine Auftragsverarbeitung gemäß der Datenschutz-Grundverordnung (DSGVO) findet statt, wenn ein Unternehmen oder eine Organisation (der Auftraggeber) ein anderes Unternehmen oder eine andere Organisation (den Auftragsverarbeiter) beauftragt, personenbezogene Daten in ihrem Namen und nach ihren Weisungen zu verarbeiten.

In einfacheren Worten: Eine Auftragsverarbeitung liegt vor, wenn ein Unternehmen einen externen Dienstleister beauftragt, um bestimmte Aufgaben im Zusammenhang mit personenbezogenen Daten durchzuführen. Personenbezogene Daten sind Informationen, die sich auf identifizierte oder identifizierbare Personen beziehen, wie z. B. Name, Adresse, Telefonnummer oder E-Mail-Adresse.

Ein Beispiel: Ein Unternehmen beauftragt ein externes IT-Unternehmen, um seine Kundendatenbank zu verwalten und zu pflegen. In diesem Fall findet eine Auftragsverarbeitung gemäß DSGVO statt, da das externe IT-Unternehmen personenbezogene Daten im Auftrag des Unternehmens verarbeitet.

Wichtig ist, dass der Auftragsverarbeiter die Daten ausschließlich nach den Anweisungen des Auftraggebers verarbeitet und dabei die erforderlichen Sicherheitsmaßnahmen trifft, um den Datenschutz zu gewährleisten. Außerdem sollte zwischen den beiden Parteien ein schriftlicher Auftragsverarbeitungsvertrag (AVV) geschlossen werden, der die Rechte und Pflichten beider Parteien regelt und sicherstellt, dass die Anforderungen der DSGVO eingehalten werden.

Grundlagen, Pflichten und praktische Umsetzung

Die Auftragsverarbeitung (AVV) – manchmal auch als Auftragsdatenverarbeitung (ADV) bezeichnet – ist ein zentraler Begriff im Datenschutzrecht. Insbesondere mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat das Thema zusätzliche Bedeutung gewonnen. Hinter dem Begriff steckt die rechtliche Konstruktion, dass ein Auftraggeber (Verantwortlicher) die Verarbeitung personenbezogener Daten an einen Dienstleister (Auftragsverarbeiter) überträgt. Um dies datenschutzkonform zu gestalten, bedarf es spezifischer Regelungen, die sich überwiegend in Art. 28 DSGVO wiederfinden.

Inhalt Auftragsverarbeitung​

Der Artikel 28 DSGVO definiert zahlreiche Mindestanforderungen an den Inhalt einer Auftragsverarbeitung AVV. Dies betrifft insbesondere:

  • Gegenstand des Auftrags
  • Dauer des Auftrags
  • Zweck der Datenverarbeitung
  • Kategorien der betroffenen Personen
  • Ergreifung der erforderlichen technischen und organisatorischen Schutzmaßnahmen TOM
  • Umfang der Weisungsbefugnisse
  • Rückgabe von Datenträgern nach Beendigung des Auftrags
Auftragsverarbeitung DSGVO Sicherheit
Auftragsverarbeitung DSGVO Sicherheit

Pflichten des Auftragsverarbeiters

Pflichten des Auftragsverarbeiters (Art. 30 Absatz 2): Alle Daten Kategorien, die im Auftrag eines Verantwortlichen durchgeführt werden, müssen zukünftig nach Art. 30 Abs. 2 DSGVO ebenfalls in einem Verzeichnis dokumentiert werden. Die Inhalte sind identisch zu den Verzeichnis für Verarbeitungstätigkeiten nach Artikel 30 DSGVO.​

Was ist eine Auftragsverarbeitung (AVV)?

Die Auftragsverarbeitung liegt vor, wenn ein externer Dienstleister personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Typische Beispiele sind:

  • Hosting von Websites und E-Mail-Services
  • Nutzung von Cloud-Diensten für das Dokumentenmanagement
  • Externe Lohn- und Gehaltsabrechnungen
  • Versanddienstleister für Newsletter oder Werbepost

Wesentliches Merkmal ist, dass der Auftragsverarbeiter selbst keine Entscheidungsbefugnis über die Datenzwecke hat. Er verarbeitet die Daten lediglich entsprechend der Anweisungen des Verantwortlichen.

Rechtliche Grundlagen

Die DSGVO definiert in Art. 4 Nr. 8 den Begriff des „Auftragsverarbeiters“ und regelt in Art. 28 detailliert, wie ein Vertrag zur Auftragsverarbeitung (auch kurz „AV-Vertrag“ oder „AVV“) beschaffen sein muss. In Deutschland wurde dieses Konzept zuvor bereits durch das Bundesdatenschutzgesetz (BDSG) bekannt, wo es als Auftragsdatenverarbeitung bezeichnet wurde. Mit Einführung der DSGVO ist eine umfassende Harmonisierung auf europäischer Ebene erfolgt.

In Artikel 28 werden verschiedene Anforderungen und Pflichten sowohl für den Verantwortlichen als auch für den Auftragsverarbeiter festgelegt, um die Sicherheit und den Schutz personenbezogener Daten bei der Verarbeitung zu gewährleisten. Einige der wichtigsten Punkte in Artikel 28 sind:

  • Schriftliche Vereinbarung: Verantwortliche und Auftragsverarbeiter müssen eine schriftliche Vereinbarung (in der Regel in Form eines Auftragsverarbeitungsvertrags) abschließen, die die Verarbeitung personenbezogener Daten regelt. Diese Vereinbarung muss sicherstellen, dass der Auftragsverarbeiter nur im Auftrag des Verantwortlichen handelt und die Verarbeitung gemäß den Anweisungen des Verantwortlichen durchführt.
  • Sicherheit der Verarbeitung: Der Auftragsverarbeiter muss geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten und die Einhaltung der DSGVO zu gewährleisten.
  • Unterauftragsverarbeiter: Wenn der Auftragsverarbeiter einen weiteren Unterauftragsverarbeiter zur Verarbeitung personenbezogener Daten beauftragen möchte, benötigt er die vorherige schriftliche Zustimmung des Verantwortlichen. Darüber hinaus müssen dieselben Datenschutzverpflichtungen, die zwischen Verantwortlichem und Auftragsverarbeiter bestehen, auch für den Unterauftragsverarbeiter gelten.
  • Unterstützung des Verantwortlichen: Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen bei der Erfüllung seiner gesetzlichen Pflichten zu unterstützen, wie z.B. bei der Durchführung von Datenschutz-Folgenabschätzungen oder bei der Meldung von Datenschutzverletzungen.
  • Löschung oder Rückgabe von Daten: Nach Beendigung der Verarbeitungsdienste muss der Auftragsverarbeiter die personenbezogenen Daten entweder löschen oder an den Verantwortlichen zurückgeben, es sei denn, es besteht eine rechtliche Verpflichtung zur Aufbewahrung der Daten.
  • Überprüfungen und Audits: Der Auftragsverarbeiter muss alle erforderlichen Informationen zur Verfügung stellen und bei Bedarf Audits und Inspektionen durch den Verantwortlichen oder einen beauftragten Prüfer ermöglichen, um die Einhaltung der in Artikel 28 festgelegten Anforderungen nachzuweisen.

Neben den bereits genannten Punkten in Artikel 28 der DSGVO gibt es noch weitere Anforderungen und Pflichten, die sowohl für den Verantwortlichen als auch für den Auftragsverarbeiter gelten:

  • Zusammenarbeit mit Aufsichtsbehörden: Der Auftragsverarbeiter ist verpflichtet, bei Bedarf mit der zuständigen Datenschutzaufsichtsbehörde zusammenzuarbeiten, um die Einhaltung der DSGVO zu gewährleisten.
  • Vertraulichkeit: Der Auftragsverarbeiter muss sicherstellen, dass alle Personen, die im Rahmen der Auftragsverarbeitung personenbezogene Daten verarbeiten, zur Vertraulichkeit verpflichtet sind und die geltenden Datenschutzbestimmungen einhalten.
  • Dokumentation: Der Auftragsverarbeiter ist verpflichtet, eine detaillierte Dokumentation aller Kategorien von Verarbeitungstätigkeiten im Zusammenhang mit dem Verantwortlichen zu führen.
  • Datenschutzbeauftragter: Wenn der Auftragsverarbeiter aufgrund der Art, des Umfangs und der Zwecke der Verarbeitung personenbezogener Daten gemäß Artikel 37 der DSGVO verpflichtet ist, einen Datenschutzbeauftragten zu benennen, muss er dies tun und den Verantwortlichen entsprechend informieren.
  • Datenübermittlung in Drittländer: Artikel 28 enthält auch Bestimmungen zur Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen. Der Auftragsverarbeiter darf personenbezogene Daten nur dann in ein Drittland oder an eine internationale Organisation übermitteln, wenn dies im Einklang mit den Anforderungen der DSGVO und den Weisungen des Verantwortlichen steht.

Der Artikel 28 der DSGVO legt die Verantwortlichkeiten und Pflichten von Verantwortlichen und Auftragsverarbeitern bei der Verarbeitung personenbezogener Daten fest, um ein hohes Schutzniveau für die betroffenen Personen und die Einhaltung der Datenschutzbestimmungen zu gewährleisten. Es ist wichtig, dass beide Parteien die Anforderungen von Artikel 28 genau verstehen und einhalten, um Rechtskonformität und effektiven Datenschutz zu gewährleisten.

Inhalte eines AV-Vertrags

Nach Art. 28 Abs. 3 DSGVO müssen in einem Auftragsverarbeitungsvertrag folgende Punkte festgelegt sein:

  • Gegenstand und Dauer der Verarbeitung: Um welche Daten geht es und wie lange werden sie verarbeitet?
  • Art und Zweck der Verarbeitung: Was wird konkret mit den Daten gemacht?
  • Kategorien der betroffenen Personen: Betroffene können beispielsweise Kunden, Mitarbeiter oder Lieferanten sein.
  • Kategorien personenbezogener Daten: Dazu gehören Kontaktdaten, Zahlungsdaten, IP-Adressen, Gesundheitsdaten usw.
  • Rechte und Pflichten des Verantwortlichen: Etwa die Verpflichtung, den Auftragsverarbeiter zu informieren, wenn sich an den Datenschutzanforderungen etwas ändert.
  • Pflichten des Auftragsverarbeiters: Darunter fällt unter anderem die Verpflichtung zur Vertraulichkeit, zur Unterstützung bei der Erfüllung der Betroffenenrechte oder zur Sicherstellung angemessener technischer und organisatorischer Maßnahmen (TOM).

    Wann liegt eine Auftragsverarbeitung vor?​

    Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb zwar personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem Dienstleister vornehmen lässt.

    Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. Dies ist z.B. bei Anbietern von Cloud-Lösungen der Fall, die auf ihren Servern Daten für den Betrieb speichern. Dasselbe gilt für Lohnbuchhaltungsanbieter, die für den Betrieb die Lohnbuchhaltung erstellen und dabei z.B. Mitarbeiterdaten (Name, Bankverbindung, Krankenkasse, Steuernummer etc.) verarbeiten.

    Was sind im Sinne des Artikels 28 Auftragsverarbeiter?

    Auftragsverarbeiter sind also Dienstleister, die im Namen und auf Weisung des Verantwortlichen personenbezogene Daten verarbeiten. Typische Beispiele für Auftragsverarbeiter sind:

    • Cloud-Anbieter: Unternehmen, die Cloud-Speicher- oder Cloud-Computing-Dienste anbieten, bei denen personenbezogene Daten gespeichert oder verarbeitet werden.
    • IT-Dienstleister: Unternehmen, die IT-Infrastruktur, Softwareentwicklung oder IT-Support für andere Unternehmen bereitstellen, bei denen sie möglicherweise Zugriff auf personenbezogene Daten haben.
    • Marketing- und Analyseanbieter: Dienstleister, die Marketing- oder Analyseleistungen für den Verantwortlichen erbringen und dabei personenbezogene Daten verarbeiten, wie zum Beispiel E-Mail-Marketing, Webanalyse oder Customer-Relationship-Management (CRM)-Systeme.
    • Zahlungsdienstleister: Unternehmen, die Zahlungsabwicklungen für den Verantwortlichen durchführen und dabei personenbezogene Daten von Kunden verarbeiten.
    • Personal- und Lohnabrechnungsdienste: Dienstleister, die Personalmanagement oder Lohnabrechnungen für den Verantwortlichen durchführen und dabei personenbezogene Daten von Mitarbeitern verarbeiten.
    • Wartung und Prüfung von IT-Systemen: Wartungsfirmen bei Ausübung ihrer Tätigkeit der Wartung von IT-Systemen (personenbezogene Daten können ggf. eingesehen werden)

    Auftragsverarbeiter dürfen personenbezogene Daten nur gemäß den Weisungen des Verantwortlichen und im Einklang mit der DSGVO verarbeiten. Artikel 28 legt die Anforderungen und Pflichten für beide Parteien in Bezug auf die Verarbeitung personenbezogener Daten fest, einschließlich der Schließung von schriftlichen Vereinbarungen, Sicherheitsmaßnahmen und Zusammenarbeit bei der Erfüllung von Datenschutzpflichten.

    Ist ein APP Anbieter auch ein Auftragsverarbeiter

    Ob ein App-Anbieter als Auftragsverarbeiter im Sinne des Artikels 28 der DSGVO gilt, hängt von den Umständen und der Art der Datenverarbeitung ab, die der App-Anbieter durchführt.

    Ein App-Anbieter kann als Auftragsverarbeiter betrachtet werden, wenn er personenbezogene Daten im Auftrag und auf Weisung eines Verantwortlichen verarbeitet. Zum Beispiel kann ein Unternehmen eine App entwickeln und anbieten, die von anderen Organisationen genutzt wird, um Kundendaten zu sammeln und zu verarbeiten. In diesem Fall wäre der App-Anbieter der Auftragsverarbeiter, der im Auftrag des Verantwortlichen (der Organisation, die die App nutzt) personenbezogene Daten verarbeitet.

    Wenn jedoch der App-Anbieter die App entwickelt und die gesammelten personenbezogenen Daten selbst für eigene Zwecke verwendet und Entscheidungen über die Verarbeitung dieser Daten trifft, kann der App-Anbieter als Verantwortlicher und nicht als Auftragsverarbeiter betrachtet werden.

    In jedem Fall ist es wichtig, die Rolle des App-Anbieters im Zusammenhang mit der Verarbeitung personenbezogener Daten zu klären und die entsprechenden Datenschutzbestimmungen einzuhalten, sei es als Verantwortlicher oder als Auftragsverarbeiter. Dies kann die Einhaltung der DSGVO, die Schließung von schriftlichen Vereinbarungen, die Umsetzung von Sicherheitsmaßnahmen und die Zusammenarbeit bei der Erfüllung von Datenschutzpflichten beinhalten.

    Rolle von technischen und organisatorischen Maßnahmen

    Ein zentraler Bestandteil der Auftragsverarbeitung sind die technischen und organisatorischen Maßnahmen. Sie sollen gewährleisten, dass die personenbezogenen Daten angemessen geschützt sind. Dabei muss der Auftragsverarbeiter zeigen, dass er zum Beispiel:

    • Verschlüsselung und Pseudonymisierung anwendet,
    • Zugriffsrechte strikt regelt,
    • regelmäßige Backups durchführt,
    • Notfallpläne bereithält,
    • die Datenschutzkonformität in eigenen Prozessen überprüft.

    Der Verantwortliche bleibt in der Pflicht, die Eignung dieser Maßnahmen zu bewerten und laufend zu kontrollieren.

    Pflichten des Verantwortlichen

    Auch wenn ein externer Dienstleister beauftragt wird, bleibt der Verantwortliche (das Unternehmen) letztlich für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich. Er muss sich vergewissern, dass der Auftragsverarbeiter die Daten gesetzeskonform verarbeitet. Dazu gehören:

    • Prüfung vor Vertragsabschluss: Vorab sicherstellen, dass der potenzielle Dienstleister technisch und organisatorisch in der Lage ist, DSGVO-konform zu arbeiten.
    • Regelmäßige Kontrollen: Nach Vertragsabschluss sollten in angemessenen Abständen Audits oder Prüfungen stattfinden, um sicherzustellen, dass alle vereinbarten Maßnahmen eingehalten werden.
    • Dokumentation: Alle relevanten Vorgänge müssen schriftlich festgehalten werden – vom Verzeichnis der Verarbeitungstätigkeiten bis hin zu Kontrollnachweisen.

    Internationale Datenübermittlung

    Verarbeitet ein Auftragsverarbeiter Daten außerhalb der EU bzw. des EWR, kommen zusätzliche Anforderungen ins Spiel. Die DSGVO verlangt, dass ein angemessenes Datenschutzniveau gewährleistet wird – etwa durch EU-Standardvertragsklauseln, Angemessenheitsbeschlüsse oder andere Mechanismen, die den Schutz personenbezogener Daten auch in Drittstaaten sicherstellen.

    Was sind personenbezogene Daten​

    Sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

    Die Verarbeitung personenbezogener Daten von Arbeitnehmern konkretisiert § 26 BDSG. Hiernach ist eine Verarbeitung zulässig, wenn es zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist (z.B. Speicherung von Lohnunterlagen und Krankheitstagen). Zur Ausübung der Interessensvertretung der Beschäftigten erforderlich ist (z.B. Weiterleitung von Arbeitnehmerdaten an den Betriebsrat).

    Verwendung von Gesundheitsdaten​

    Gesundheitsdaten (z.B. Dioptrienzahl, Gehörschädigung etc.) gelten als besonders schutzwürdige Daten (Art. 9 DSGVO). Für Betriebe der Gesundheitshandwerke folgt die Berechtigung zur Verarbeitung von Gesundheitsdaten aus § 22 Abs. 1 Nr. 1 b) BDSG. Diese Vorschrift erlaubt die Verarbeitung von Gesundheitsdaten:

    • zum Zweck der Gesundheitsvorsorge,
    • zur Versorgung oder Behandlung im Gesundheits- oder Sozialbereich,
    • wenn es für einen Vertrag zwischen der betroffenen Person und einem Angehörigen eines Gesundheitsberufs erforderlich ist.
    Fazit

    Die Auftragsverarbeitung (AVV) ist ein zentrales Element des Datenschutzes nach DSGVO. Sie ermöglicht Unternehmen, externe Dienstleister für spezifische Aufgaben einzusetzen, ohne selbst gegen die gesetzlichen Vorgaben zu verstoßen – vorausgesetzt, es besteht ein gültiger Auftragsverarbeitungsvertrag, der den rechtlichen Standards entspricht und regelmäßig kontrolliert wird. Eine sorgfältige Auswahl des Dienstleisters, klare vertragliche Regelungen und eine kontinuierliche Prüfung der Einhaltung von Datenschutz und Datensicherheit sind dabei unerlässlich. So können Verantwortliche sicherstellen, dass sie ihre Pflichten erfüllen und gleichzeitig von den Vorteilen einer ausgelagerten Datenverarbeitung profitieren.

    FAQ zur Auftragsverarbeitung (AVV)
    Was versteht man unter Auftragsverarbeitung?

    Eine Auftragsverarbeitung nach Art. 28 DSGVO liegt vor, wenn ein Verantwortlicher (zum Beispiel ein Unternehmen) einen Dienstleister (Auftragsverarbeiter) damit beauftragt, personenbezogene Daten ausschließlich nach den Vorgaben und Weisungen des Verantwortlichen zu verarbeiten. Typische Beispiele sind Cloud-Dienste, Hosting-Anbieter oder externe Lohnabrechnungsstellen.

    Wann benötige ich einen Auftragsverarbeitungsvertrag (AVV)?

    Immer dann, wenn externe Dienstleister personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten und keinen eigenen Zweck verfolgen. Sobald also ein Dienstleister direkten Zugriff auf personenbezogene Daten hat (z. B. auf einer gehosteten Website, beim Versand von Newslettern oder in einer Lohnbuchhaltung), ist ein AV-Vertrag gesetzlich vorgeschrieben.

    Was muss ein AV-Vertrag beinhalten?

    Die DSGVO nennt in Art. 28 Abs. 3 verschiedene Mindestinhalte:
    Gegenstand und Dauer der Verarbeitung
    Art und Zweck der Verarbeitung
    Kategorien betroffener Personen und Daten
    Rechte und Pflichten des Verantwortlichen (z. B. Weisungsrecht)
    Pflichten des Auftragsverarbeiters (z. B. Vertraulichkeit, Unterstützung bei Betroffenenrechten)
    Technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten

    Wer haftet bei Datenschutzverstößen?

    Grundsätzlich bleibt der Verantwortliche dafür verantwortlich, dass die Datenverarbeitung den gesetzlichen Vorgaben entspricht. Der Auftragsverarbeiter trägt jedoch ebenfalls eine Mitverantwortung. Verstößt der Dienstleister gegen die vertraglichen oder gesetzlichen Datenschutzpflichten, können sowohl der Verantwortliche als auch der Auftragsverarbeiter von den Aufsichtsbehörden belangt werden.

    Welche Kriterien sollte ich bei der Auswahl eines Auftragsverarbeiters beachten?

    Datenschutzkonzept und vorhandene technische und organisatorische Maßnahmen
    Zertifizierungen (z. B. ISO 27001) oder anerkannte Gütesiegel
    Referenzen und Erfahrungen im Umgang mit sensiblen Daten
    Reaktionsfähigkeit bei Sicherheitsvorfällen
    Rechtlicher Rahmen (z. B. Sitz innerhalb der EU oder Einsatz von Standardvertragsklauseln bei Drittlandübermittlungen)

    Wie kontrolliere ich, ob mein Auftragsverarbeiter datenschutzkonform arbeitet?

    Der Verantwortliche kann regelmäßige Audits oder Stichproben durchführen oder durchführen lassen. Zudem sollten Nachweise (z. B. Zertifikate, Audit-Berichte) angefordert werden. Die Ergebnisse und Kontrollen sollten unbedingt dokumentiert werden, um im Ernstfall gegenüber den Aufsichtsbehörden nachweisen zu können, dass die Vorgaben eingehalten wurden.

    Muss ich mit jedem Dienstleister einen AV-Vertrag abschließen?

    Nur, wenn personenbezogene Daten verarbeitet werden und der Dienstleister keine eigenen Zwecke verfolgt. Bei vielen Online-Services (z. B. Cloud-Speichern, Newsletter-Tools) stellen die Anbieter standardisierte AV-Verträge bereit, die der Verantwortliche prüfen und unterzeichnen sollte. Wenn es sich hingegen um eine gemeinsame Verantwortung (Joint Controllership) oder eine rein unterstützende Dienstleistung ohne Zugriff auf personenbezogene Daten handelt, ist kein AV-Vertrag erforderlich.

    Was ist der Unterschied zwischen Auftragsverarbeitung und gemeinsamer Verantwortung (Art. 26 DSGVO)?

    Auftragsverarbeitung: Der Dienstleister verarbeitet Daten nur im Auftrag und nach Weisung des Verantwortlichen, ohne eigene Entscheidungsbefugnis.
    Gemeinsame Verantwortung: Mehrere Parteien entscheiden gemeinsam über die Zwecke und Mittel der Verarbeitung. In diesem Fall müssen sie vertraglich regeln, wer welchen Teil der DSGVO-Verpflichtungen erfüllt.

    Brauche ich Standardvertragsklauseln (SCC) bei einer Auftragsverarbeitung im Ausland?

    Wenn der Auftragsverarbeiter außerhalb der EU bzw. des EWR sitzt (Drittlandübermittlung) und kein Angemessenheitsbeschluss vorliegt, müssen in der Regel Standardvertragsklauseln oder ein gleichwertiger Mechanismus (z. B. Binding Corporate Rules) eingesetzt werden, um ein angemessenes Datenschutzniveau zu gewährleisten.

    Warum ist die Auftragsverarbeitung (AVV) so wichtig für Unternehmen?

    Sie stellt sicher, dass externe Dienstleister verantwortungsvoll mit personenbezogenen Daten umgehen und die DSGVO eingehalten wird. Ein ordnungsgemäßer AV-Vertrag schützt Unternehmen vor Bußgeldern und Imageschäden, indem er klare Pflichten für alle Beteiligten festschreibt und die Verantwortung transparent regelt.

    Schlagwörter:
    Stefan Stroessenreuther

    Stefan Stroessenreuther

    Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

    Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

    Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

    Cookie Consent mit Real Cookie Banner