Auftragsverarbeitung (AVV) nach Art. 28 DSGVO
Artikel 28 der DSGVO regelt die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter bei der Verarbeitung personenbezogener Daten. Der Verantwortliche entscheidet über Zweck und Mittel der Verarbeitung, während der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet.
Was bedeutet Auftragsverarbeitung
Eine Auftragsverarbeitung liegt vor, wenn ein Unternehmen als Auftraggeber ein anderes Unternehmen als Auftragsverarbeiter beauftragt, personenbezogene Daten in dessen Namen und nach dessen Weisungen zu verarbeiten. Der Auftragsverarbeiter handelt dabei nicht eigenverantwortlich, sondern ausschließlich innerhalb des vorgegebenen Rahmens.
Beispiel aus der Praxis
Ein Unternehmen beauftragt ein externes IT Unternehmen, um seine Kundendatenbank zu verwalten und zu pflegen. Das IT Unternehmen verarbeitet dabei personenbezogene Daten wie Name, Adresse, Telefonnummer und E Mail Adresse im Auftrag des Unternehmens. In diesem Fall handelt es sich eindeutig um eine Auftragsverarbeitung nach Art. 28 DSGVO.
Rechte und Pflichten
Wichtig ist, dass der Auftragsverarbeiter personenbezogene Daten ausschließlich nach den dokumentierten Anweisungen des Auftraggebers verarbeitet. Darüber hinaus ist er verpflichtet, alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau für personenbezogene Daten sicherzustellen.
Zwischen Auftraggeber und Auftragsverarbeiter ist zwingend ein schriftlicher Auftragsverarbeitungsvertrag (AVV) abzuschließen. Dieser regelt die Pflichten beider Parteien und stellt die Einhaltung der DSGVO sicher.
Zwischen Auftraggeber und Auftragsverarbeiter ist zwingend ein schriftlicher Auftragsverarbeitungsvertrag (AVV) abzuschließen. Dieser regelt die Pflichten beider Parteien und stellt die Einhaltung der DSGVO sicher.
Inhalt der Auftragsverarbeitung AVV
Artikel 28 DSGVO definiert zahlreiche Mindestanforderungen an den Inhalt einer Auftragsverarbeitung. Dies betrifft insbesondere den Gegenstand des Auftrags, die Dauer des Auftrags, den Zweck der Datenverarbeitung, die Kategorien der betroffenen Personen, die Ergreifung der erforderlichen technischen und organisatorischen Schutzmaßnahmen (TOM), den Umfang der Weisungsbefugnisse sowie die Rückgabe von Datenträgern nach Beendigung des Auftrags.
Auftragsverarbeitung DSGVO Sicherheit
Grundlagen, Pflichten und praktische Umsetzung
Die Auftragsverarbeitung (AVV), häufig auch als Auftragsdatenverarbeitung (ADV) bezeichnet, ist ein zentraler Begriff im Datenschutzrecht. Mit Inkrafttreten der Datenschutz Grundverordnung hat dieses Thema deutlich an Bedeutung gewonnen und ist heute ein fester Bestandteil auditfester Datenschutzorganisationen.
Rechtliche Konstruktion
Die rechtliche Konstruktion der Auftragsverarbeitung basiert darauf, dass der Auftraggeber als Verantwortlicher die Verarbeitung personenbezogener Daten an einen Dienstleister überträgt. Der Auftraggeber bleibt für die Rechtmäßigkeit verantwortlich, während der Auftragsverarbeiter die Verarbeitung weisungsgebunden übernimmt.
Pflichten nach DSGVO
Für eine datenschutzkonforme Auftragsverarbeitung müssen klare Regelungen getroffen werden. Diese umfassen die Dokumentation, die Weisungsbindung, geeignete technische und organisatorische Maßnahmen sowie die Rechenschaftspflicht des Auftraggebers. Die Anforderungen ergeben sich unmittelbar aus Art. 28 DSGVO.
Praktische Umsetzung
In der Praxis bedeutet dies, dass zwischen Auftraggeber und Auftragsverarbeiter ein schriftlicher Auftragsverarbeitungsvertrag abgeschlossen werden muss. Dieser definiert die Rechte und Pflichten beider Parteien und stellt sicher, dass die Anforderungen der DSGVO dauerhaft eingehalten und im Rahmen von Prüfungen nachvollziehbar belegt werden können.
Inhalt der Auftragsverarbeitung nach Art. 28 DSGVO
Artikel 28 DSGVO definiert verbindliche Mindestanforderungen an den Inhalt einer Auftragsverarbeitung beziehungsweise eines Auftragsverarbeitungsvertrags (AVV). Ziel ist es, die rechtmäßige, sichere und nachvollziehbare Verarbeitung personenbezogener Daten zwischen Verantwortlichem und Auftragsverarbeiter sicherzustellen.
Zentrale Mindestinhalte eines AVV
Gegenstand des Auftrags
Beschreibung der ausgelagerten Verarbeitungstätigkeit und klare Abgrenzung der Leistungen des Auftragsverarbeiters.
Beschreibung der ausgelagerten Verarbeitungstätigkeit und klare Abgrenzung der Leistungen des Auftragsverarbeiters.
Dauer des Auftrags
Festlegung des Beginns, der Laufzeit sowie der Beendigung der Auftragsverarbeitung.
Festlegung des Beginns, der Laufzeit sowie der Beendigung der Auftragsverarbeitung.
Art und Zweck der Datenverarbeitung
Konkrete Beschreibung, welche Verarbeitungsvorgänge durchgeführt werden und zu welchem Zweck dies erfolgt.
Konkrete Beschreibung, welche Verarbeitungsvorgänge durchgeführt werden und zu welchem Zweck dies erfolgt.
Kategorien betroffener Personen
Benennung der Personengruppen, deren personenbezogene Daten verarbeitet werden, beispielsweise Kunden, Mitarbeitende oder Lieferanten.
Benennung der Personengruppen, deren personenbezogene Daten verarbeitet werden, beispielsweise Kunden, Mitarbeitende oder Lieferanten.
Kategorien personenbezogener Daten
Beschreibung der verarbeiteten Datenarten, etwa Kontaktdaten, Vertragsdaten, Abrechnungsdaten oder besondere Kategorien personenbezogener Daten.
Beschreibung der verarbeiteten Datenarten, etwa Kontaktdaten, Vertragsdaten, Abrechnungsdaten oder besondere Kategorien personenbezogener Daten.
Technische und organisatorische Maßnahmen
Verpflichtung zur Umsetzung geeigneter TOM, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten sicherzustellen.
Verpflichtung zur Umsetzung geeigneter TOM, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten sicherzustellen.
Weisungsbefugnisse des Verantwortlichen
Regelungen zur Weisungsbindung des Auftragsverarbeiters sowie zum Umgang mit dokumentierten Weisungen.
Regelungen zur Weisungsbindung des Auftragsverarbeiters sowie zum Umgang mit dokumentierten Weisungen.
Rückgabe oder Löschung von Daten
Festlegung, wie personenbezogene Daten und Datenträger nach Beendigung des Auftrags zurückzugeben oder datenschutzkonform zu löschen sind.
Festlegung, wie personenbezogene Daten und Datenträger nach Beendigung des Auftrags zurückzugeben oder datenschutzkonform zu löschen sind.
Ein vollständig dokumentierter und regelmäßig geprüfter AVV ist Voraussetzung für eine rechtskonforme Auftragsverarbeitung und stellt einen zentralen Nachweis im Rahmen von Datenschutzprüfungen und Audits dar.
Rechtliche Grundlagen der Auftragsverarbeitung nach Art. 28 DSGVO
Die Datenschutz Grundverordnung definiert in Art. 4 Nr. 8 DSGVO den Begriff des Auftragsverarbeiters und regelt in Art. 28 DSGVO detailliert, wie ein Vertrag zur Auftragsverarbeitung, auch AV Vertrag oder AVV genannt, beschaffen sein muss.
In Deutschland war dieses Konzept bereits aus dem Bundesdatenschutzgesetz bekannt, wo es als Auftragsdatenverarbeitung bezeichnet wurde. Mit Einführung der DSGVO erfolgte eine europaweite Harmonisierung der Regelungen, sodass ein einheitlicher Rechtsrahmen für Verantwortliche und Auftragsverarbeiter geschaffen wurde.
In Deutschland war dieses Konzept bereits aus dem Bundesdatenschutzgesetz bekannt, wo es als Auftragsdatenverarbeitung bezeichnet wurde. Mit Einführung der DSGVO erfolgte eine europaweite Harmonisierung der Regelungen, sodass ein einheitlicher Rechtsrahmen für Verantwortliche und Auftragsverarbeiter geschaffen wurde.
Artikel 28 DSGVO Anforderungen und Pflichten
Artikel 28 DSGVO legt die Pflichten von Verantwortlichen und Auftragsverarbeitern fest, um die Sicherheit personenbezogener Daten zu gewährleisten. Die nachfolgenden Anforderungen sind für eine auditfeste und rechtskonforme Umsetzung verbindlich.
Schriftliche Vereinbarung
Verantwortliche und Auftragsverarbeiter müssen einen schriftlichen Vertrag abschließen, der die Verarbeitung personenbezogener Daten eindeutig regelt. Der Auftragsverarbeiter darf Daten ausschließlich nach dokumentierter Weisung des Verantwortlichen verarbeiten.
Sicherheit der Verarbeitung
Der Auftragsverarbeiter ist verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Diese Maßnahmen müssen dem Risiko der Verarbeitung angemessen sein.
Unterauftragsverarbeiter
Der Einsatz weiterer Dienstleister ist nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen zulässig. Für Unterauftragsverarbeiter müssen dieselben Datenschutzpflichten gelten wie für den ursprünglichen Auftragsverarbeiter.
Unterstützung des Verantwortlichen
Der Auftragsverarbeiter muss den Verantwortlichen bei der Erfüllung seiner gesetzlichen Pflichten unterstützen, beispielsweise bei Datenschutz Folgenabschätzungen oder bei der Meldung von Datenschutzverletzungen.
Löschung oder Rückgabe von Daten
Nach Beendigung der Verarbeitung sind personenbezogene Daten zu löschen oder zurückzugeben, sofern keine gesetzlichen Aufbewahrungsfristen bestehen. Der Umgang mit Sicherungskopien ist eindeutig zu regeln.
Überprüfungen und Audits
Der Auftragsverarbeiter muss dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen und Audits oder Inspektionen ermöglichen, um die Einhaltung der DSGVO nachzuweisen.
Zusammenarbeit mit Aufsichtsbehörden
Bei Bedarf ist der Auftragsverarbeiter verpflichtet, mit den zuständigen Datenschutzaufsichtsbehörden zusammenzuarbeiten und erforderliche Informationen bereitzustellen.
Vertraulichkeit und Dokumentation
Alle Mitarbeitenden, die personenbezogene Daten im Auftrag verarbeiten, müssen zur Vertraulichkeit verpflichtet werden. Zusätzlich ist eine detaillierte Dokumentation aller relevanten Verarbeitungstätigkeiten zu führen.
Datenschutzbeauftragter, Drittlandübermittlung und Fazit
Ist der Auftragsverarbeiter nach Art. 37 DSGVO verpflichtet, muss ein Datenschutzbeauftragter benannt werden. Eine Datenübermittlung in Drittländer ist nur zulässig, wenn sie mit der DSGVO und den Weisungen des Verantwortlichen vereinbar ist und gegebenenfalls zusätzliche Garantien bestehen.
Fazit: Artikel 28 DSGVO stellt sicher, dass Verantwortliche und Auftragsverarbeiter klare und überprüfbare Pflichten haben, um ein hohes Datenschutzniveau zu gewährleisten. Beide Parteien müssen diese Anforderungen kennen und konsequent umsetzen, um dauerhaft rechtskonform zu handeln.
Fazit: Artikel 28 DSGVO stellt sicher, dass Verantwortliche und Auftragsverarbeiter klare und überprüfbare Pflichten haben, um ein hohes Datenschutzniveau zu gewährleisten. Beide Parteien müssen diese Anforderungen kennen und konsequent umsetzen, um dauerhaft rechtskonform zu handeln.
Inhalte eines Auftragsverarbeitungsvertrags nach Art. 28 Abs. 3 DSGVO
Ein Auftragsverarbeitungsvertrag muss nach der Datenschutz Grundverordnung klare und überprüfbare Regelungen enthalten, um die Verarbeitung personenbezogener Daten zwischen Verantwortlichem und Auftragsverarbeiter rechtskonform zu gestalten. Art. 28 Abs. 3 DSGVO definiert hierfür verbindliche Mindestinhalte, die vollständig und nachvollziehbar dokumentiert sein müssen.
Zwingende Inhalte eines AV Vertrags
Die nachfolgenden Inhalte müssen in einem AV Vertrag eindeutig beschrieben sein, damit die Rechtmäßigkeit der Verarbeitung sichergestellt und im Rahmen von Prüfungen belegt werden kann.
Gegenstand und Dauer der Verarbeitung
Der Vertrag beschreibt eindeutig, welche personenbezogenen Daten verarbeitet werden und über welchen Zeitraum die Verarbeitung erfolgt. Dies umfasst auch Regelungen zum Beginn und Ende des Auftrags sowie zur Beendigung der Verarbeitung.
Art und Zweck der Verarbeitung
Es ist festzulegen, welche Verarbeitungstätigkeiten konkret durchgeführt werden und zu welchem Zweck dies erfolgt. Die Zweckbindung stellt sicher, dass personenbezogene Daten nicht außerhalb des vereinbarten Rahmens genutzt werden.
Kategorien betroffener Personen
Der AV Vertrag benennt die Kategorien betroffener Personen, beispielsweise Kunden, Mitarbeitende oder Lieferanten, deren personenbezogene Daten verarbeitet werden.
Kategorien personenbezogener Daten
Es sind die Kategorien personenbezogener Daten zu benennen, wie etwa Kontaktdaten, Zahlungsdaten, IP Adressen oder besondere Kategorien personenbezogener Daten wie Gesundheitsdaten, sofern diese verarbeitet werden.
Rechte und Pflichten des Verantwortlichen
Der Vertrag beschreibt die Rechte und Pflichten des Verantwortlichen, insbesondere die Weisungsbefugnis sowie die Pflicht, den Auftragsverarbeiter über Änderungen bei Datenschutzanforderungen oder Verarbeitungszwecken rechtzeitig zu informieren.
Pflichten des Auftragsverarbeiters
Zu den Pflichten des Auftragsverarbeiters gehören die Vertraulichkeit, die Unterstützung bei der Wahrnehmung von Betroffenenrechten sowie die Umsetzung angemessener technischer und organisatorischer Maßnahmen. Diese Maßnahmen müssen dem Risiko der Verarbeitung entsprechen und dokumentiert sein.
Wann liegt eine Auftragsverarbeitung vor
Eine Auftragsverarbeitung liegt vor, wenn ein Unternehmen personenbezogene Daten zwar für eigene Zwecke nutzt, die konkrete Verarbeitung jedoch durch einen externen Dienstleister im Auftrag und nach Weisung erfolgt. Entscheidend ist dabei nicht, wer die Daten nutzt, sondern wer über Zweck und Mittel der Verarbeitung entscheidet.
Typische Beispiele aus der Praxis
Typische Anwendungsfälle einer Auftragsverarbeitung sind die Nutzung von Cloud Anbietern, die Unternehmensdaten auf externen Servern speichern, die Beauftragung von Lohnbuchhaltungsdienstleistern zur Erstellung von Gehaltsabrechnungen sowie der Einsatz von IT Dienstleistern, die Systeme betreuen und dabei Zugriff auf personenbezogene Daten erhalten.
Ist ein App Anbieter ein Auftragsverarbeiter
Ob ein App Anbieter als Auftragsverarbeiter im Sinne des Art. 28 DSGVO gilt, hängt von den konkreten Umständen der Datenverarbeitung ab. Entscheidend ist, ob personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet werden oder ob der Anbieter die Daten für eigene Zwecke nutzt und über Zweck und Mittel selbst entscheidet.
App Anbieter als Auftragsverarbeiter
Ein App Anbieter gilt als Auftragsverarbeiter, wenn er personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung eines Verantwortlichen verarbeitet.
Beispiel: Eine Organisation nutzt eine App, um Kundendaten zu erfassen und zu verwalten. Der App Anbieter verarbeitet diese Daten ausschließlich für die Organisation und nutzt sie nicht für eigene Zwecke. In diesem Fall liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor.
Beispiel: Eine Organisation nutzt eine App, um Kundendaten zu erfassen und zu verwalten. Der App Anbieter verarbeitet diese Daten ausschließlich für die Organisation und nutzt sie nicht für eigene Zwecke. In diesem Fall liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor.
App Anbieter als Verantwortlicher
Entwickelt der App Anbieter die Anwendung und nutzt die erhobenen Daten für eigene Zwecke, etwa für Marketing, Profiling oder Produktoptimierung, und entscheidet selbst über Zweck und Mittel der Verarbeitung, ist er als Verantwortlicher im Sinne der DSGVO einzuordnen. In diesem Fall liegt keine Auftragsverarbeitung vor.
Praxis Hinweis zur Rollenklärung
Die klare Definition der Rolle des App Anbieters ist zwingend erforderlich. Je nach Ausgestaltung ist er entweder Verantwortlicher oder Auftragsverarbeiter. In beiden Fällen müssen die Anforderungen der DSGVO erfüllt werden.
Dazu gehören insbesondere der Abschluss schriftlicher Vereinbarungen, die Umsetzung geeigneter Sicherheitsmaßnahmen, die Unterstützung bei der Wahrnehmung von Betroffenenrechten sowie die Zusammenarbeit mit Aufsichtsbehörden.
Dazu gehören insbesondere der Abschluss schriftlicher Vereinbarungen, die Umsetzung geeigneter Sicherheitsmaßnahmen, die Unterstützung bei der Wahrnehmung von Betroffenenrechten sowie die Zusammenarbeit mit Aufsichtsbehörden.
Rolle technischer und organisatorischer Maßnahmen
Ein zentraler Bestandteil der Auftragsverarbeitung sind technische und organisatorische Maßnahmen. Sie stellen sicher, dass personenbezogene Daten jederzeit angemessen geschützt sind. Der Auftragsverarbeiter muss nachweisen können, dass geeignete Sicherheitsmaßnahmen implementiert wurden.
Typische Maßnahmen sind Verschlüsselung und Pseudonymisierung, strikte Regelungen von Zugriffsrechten, regelmäßige Backups, Notfallpläne und Business Continuity Management sowie interne Prüfungen auf Datenschutzkonformität.
Wichtig: Der Verantwortliche bleibt verpflichtet, die Eignung dieser Maßnahmen zu prüfen und laufend zu kontrollieren.
Typische Maßnahmen sind Verschlüsselung und Pseudonymisierung, strikte Regelungen von Zugriffsrechten, regelmäßige Backups, Notfallpläne und Business Continuity Management sowie interne Prüfungen auf Datenschutzkonformität.
Wichtig: Der Verantwortliche bleibt verpflichtet, die Eignung dieser Maßnahmen zu prüfen und laufend zu kontrollieren.
Pflichten des Verantwortlichen
Auch bei Beauftragung eines externen Dienstleisters bleibt der Verantwortliche für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich. Er muss sicherstellen, dass der Auftragsverarbeiter DSGVO konform arbeitet.
Dies umfasst die Prüfung vor Vertragsabschluss, die regelmäßige Durchführung von Kontrollen und Audits sowie die vollständige Dokumentation aller relevanten Vorgänge einschließlich Verzeichnis der Verarbeitungstätigkeiten und Kontrollnachweisen.
Dies umfasst die Prüfung vor Vertragsabschluss, die regelmäßige Durchführung von Kontrollen und Audits sowie die vollständige Dokumentation aller relevanten Vorgänge einschließlich Verzeichnis der Verarbeitungstätigkeiten und Kontrollnachweisen.
Internationale Datenübermittlung
Werden personenbezogene Daten durch einen Auftragsverarbeiter außerhalb der EU oder des EWR verarbeitet, gelten zusätzliche Anforderungen. Die DSGVO verlangt ein angemessenes Datenschutzniveau, beispielsweise durch EU Standardvertragsklauseln, Angemessenheitsbeschlüsse oder vergleichbare Schutzmechanismen.
Was sind personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Eine Identifizierbarkeit liegt vor, wenn eine Person direkt oder indirekt über Kennungen wie Name, Kennnummer, Standortdaten, Online Kennungen oder besondere Merkmale identifiziert werden kann.
Dazu zählen auch Angaben zur physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität.
Die Verarbeitung von Arbeitnehmerdaten wird in § 26 BDSG konkretisiert und ist unter bestimmten Voraussetzungen zulässig, etwa zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses oder zur Wahrnehmung von Mitbestimmungsrechten.
Dazu zählen auch Angaben zur physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität.
Die Verarbeitung von Arbeitnehmerdaten wird in § 26 BDSG konkretisiert und ist unter bestimmten Voraussetzungen zulässig, etwa zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses oder zur Wahrnehmung von Mitbestimmungsrechten.
Verwendung von Gesundheitsdaten und Fazit
Gesundheitsdaten gelten als besonders schutzwürdig und unterliegen Art. 9 DSGVO. Für bestimmte Branchen ist die Verarbeitung nach § 22 Abs. 1 Nr. 1 b BDSG zulässig, etwa zur Gesundheitsvorsorge oder zur medizinischen Versorgung.
Fazit: Die Auftragsverarbeitung ist ein zentrales Element des Datenschutzes nach DSGVO. Sie ermöglicht den Einsatz externer Dienstleister, sofern ein wirksamer Auftragsverarbeitungsvertrag besteht und Datenschutz sowie Datensicherheit kontinuierlich überprüft werden. Eine sorgfältige Auswahl des Dienstleisters, klare vertragliche Regelungen und laufende Kontrollen sind unerlässlich für eine rechtskonforme Umsetzung.
Fazit: Die Auftragsverarbeitung ist ein zentrales Element des Datenschutzes nach DSGVO. Sie ermöglicht den Einsatz externer Dienstleister, sofern ein wirksamer Auftragsverarbeitungsvertrag besteht und Datenschutz sowie Datensicherheit kontinuierlich überprüft werden. Eine sorgfältige Auswahl des Dienstleisters, klare vertragliche Regelungen und laufende Kontrollen sind unerlässlich für eine rechtskonforme Umsetzung.
Wann liegt eine Auftragsverarbeitung vor
Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb personenbezogene Daten zwar für eigene Zwecke nutzt, die konkrete Verarbeitung dieser Daten jedoch durch einen externen Dienstleister durchführen lässt. Entscheidendes Kriterium ist, dass der Dienstleister die Daten nicht eigenverantwortlich, sondern im Auftrag und nach Weisung des Verantwortlichen verarbeitet.
Typische Beispiele aus der Praxis
Eine Auftragsverarbeitung liegt typischerweise vor, wenn Cloud Anbieter Unternehmensdaten auf externen Servern speichern oder verarbeiten, wenn Lohnbuchhaltungsdienstleister Gehaltsabrechnungen erstellen und dabei Mitarbeiterdaten verarbeiten oder wenn IT Dienstleister Systeme betreuen und dabei Zugriff auf personenbezogene Daten erhalten.
Was sind im Sinne des Art. 28 DSGVO Auftragsverarbeiter
Auftragsverarbeiter sind Dienstleister, die personenbezogene Daten im Namen und nach Weisung des Verantwortlichen verarbeiten. Sie dürfen personenbezogene Daten ausschließlich gemäß den dokumentierten Anweisungen des Verantwortlichen und im Einklang mit der DSGVO nutzen. Eine eigene Zweckbestimmung durch den Dienstleister ist unzulässig.
Typische Kategorien von Auftragsverarbeitern
Cloud Anbieter zur Speicherung oder Verarbeitung personenbezogener Daten in Cloud Systemen.
IT Dienstleister für Betrieb von Infrastruktur, Software oder Support mit möglichem Datenzugriff.
Marketing und Analyseanbieter für E Mail Marketing, CRM Systeme oder Webanalyse mit personenbezogenen Daten.
Zahlungsdienstleister zur Verarbeitung von Kundendaten im Rahmen der Zahlungsabwicklung.
Personal und Lohnabrechnungsdienste zur Verwaltung und Abrechnung von Mitarbeiterdaten.
Wartung und Prüfung von IT Systemen durch externe Unternehmen mit potenziellem Einblick in personenbezogene Daten.
Bezug zu Artikel 28 DSGVO
Artikel 28 DSGVO legt verbindlich fest, welche Pflichten und Anforderungen bei einer Auftragsverarbeitung einzuhalten sind. Dazu zählen insbesondere schriftliche Verträge, die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, die Zusammenarbeit mit Aufsichtsbehörden sowie die Unterstützung des Verantwortlichen bei der Erfüllung seiner datenschutzrechtlichen Pflichten.
FAQ – Auftragsverarbeitung (AVV)
Die häufigsten Fragen und Antworten zur Auftragsverarbeitung nach Art. 28 DSGVO – übersichtlich zusammengefasst.
1Was versteht man unter Auftragsverarbeitung?
Eine Auftragsverarbeitung nach Art. 28 DSGVO liegt vor, wenn ein Verantwortlicher (z. B. ein Unternehmen) einen Dienstleister damit beauftragt, personenbezogene Daten ausschließlich nach seinen Vorgaben zu verarbeiten. Typische Beispiele sind Cloud-Dienste, Hosting-Anbieter oder externe Lohnabrechnungsstellen.
2Wann benötige ich einen Auftragsverarbeitungsvertrag (AVV)?
Immer dann, wenn externe Dienstleister personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten und keinen eigenen Zweck verfolgen. Sobald also ein Dienstleister direkten Zugriff auf personenbezogene Daten hat (z. B. Hosting, Newsletter-Versand, Lohnbuchhaltung), ist ein AV-Vertrag gesetzlich vorgeschrieben.
3Was muss ein AV-Vertrag beinhalten?
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Kategorien betroffener Personen und Daten
- Rechte und Pflichten des Verantwortlichen (z. B. Weisungsrecht)
- Pflichten des Auftragsverarbeiters (z. B. Vertraulichkeit, Unterstützung bei Betroffenenrechten)
- Technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten
4Wer haftet bei Datenschutzverstößen?
Grundsätzlich bleibt der Verantwortliche dafür verantwortlich, dass die Datenverarbeitung DSGVO-konform ist. Der Auftragsverarbeiter trägt jedoch ebenfalls eine Mitverantwortung. Bei Verstößen können beide Parteien belangt werden.
5Welche Kriterien sollte ich bei der Auswahl eines Auftragsverarbeiters beachten?
- Vorhandenes Datenschutzkonzept und TOMs
- Zertifizierungen (z. B. ISO 27001) oder Gütesiegel
- Referenzen und Erfahrungen im Umgang mit sensiblen Daten
- Reaktionsfähigkeit bei Sicherheitsvorfällen
- Rechtlicher Rahmen (Sitz in der EU oder Standardvertragsklauseln bei Drittlandübermittlungen)
6Wie kontrolliere ich, ob mein Auftragsverarbeiter datenschutzkonform arbeitet?
Durch regelmäßige Audits oder Stichproben. Zudem sollten Nachweise wie Zertifikate oder Audit-Berichte eingefordert werden. Alle Kontrollen sind zu dokumentieren, um gegenüber Aufsichtsbehörden Nachweise zu haben.
7Muss ich mit jedem Dienstleister einen AV-Vertrag abschließen?
Nur, wenn personenbezogene Daten verarbeitet werden. Bei vielen Online-Services stellen Anbieter Standard-AV-Verträge bereit. Bei gemeinsamer Verantwortung (Joint Controllership) oder reinen Hilfsdiensten ohne Datenzugriff ist kein AV-Vertrag nötig.
8Was ist der Unterschied zwischen Auftragsverarbeitung und gemeinsamer Verantwortung?
Auftragsverarbeitung: Der Dienstleister verarbeitet Daten nur im Auftrag und nach Weisung des Verantwortlichen.
Gemeinsame Verantwortung: Mehrere Parteien entscheiden gemeinsam über Zwecke und Mittel der Verarbeitung und müssen die Zuständigkeiten vertraglich regeln.
9Brauche ich Standardvertragsklauseln (SCC) bei einer Auftragsverarbeitung im Ausland?
Ja, wenn der Auftragsverarbeiter außerhalb der EU/EWR sitzt und kein Angemessenheitsbeschluss vorliegt. In diesem Fall sind SCC oder gleichwertige Mechanismen (z. B. Binding Corporate Rules) notwendig, um ein angemessenes Datenschutzniveau sicherzustellen.
10Warum ist die Auftragsverarbeitung so wichtig?
Sie stellt sicher, dass externe Dienstleister DSGVO-konform mit Daten umgehen. Ein ordnungsgemäßer AV-Vertrag schützt Unternehmen vor Bußgeldern und Imageschäden, indem er Pflichten klar regelt und Verantwortlichkeiten transparent macht.
Kostenloses Erstgespräch zur Auftragsverarbeitung (AVV)
Sie sind unsicher, ob Ihre Verträge zur Auftragsverarbeitung DSGVO-konform sind? Oder möchten prüfen, ob Ihre Dienstleister die erforderlichen Sicherheitsmaßnahmen umsetzen? In einem unverbindlichen Erstgespräch analysieren wir Ihre Situation und zeigen Ihnen konkrete Handlungsschritte auf.
➡ Zu unseren Datenschutz-LeistungenWeitere Themen rund um Datenschutz
Vertiefende Informationen finden Sie in unseren Fachartikeln und Leistungsseiten. Hier eine Auswahl der wichtigsten Themen:
📌 Datenschutz Leistungen
Unsere Beratungs- und Umsetzungsangebote im Bereich Datenschutz.
👤 Datenschutzbeauftragter
Wann ein interner oder externer DSB vorgeschrieben ist und welche Aufgaben er übernimmt.
⚖️ Verarbeitung nach DSGVO
Grundsätze der DSGVO-konformen Datenverarbeitung für Unternehmen.
🗂️ Datenschutzmanagement
Strukturierter Aufbau und Pflege eines effektiven Datenschutz-Managementsystems.
🔎 Datenschutz-Folgenabschätzung (DSFA)
Wann eine DSFA Pflicht ist und wie Risiken systematisch bewertet werden.
🔐 Personenbezogene Daten
Definition, Beispiele und rechtliche Grundlagen zu personenbezogenen Daten.
