Auftragsverarbeitung DSGVO

Auftragsdatenverarbeitung DSGVO
Auftragsdatenverarbeitung DSGVO

Auftragsverarbeitung (AVV)​

Art. 28 DSGVO schreibt keine besondere Form vor. In der Praxis ist es jedoch allein wegen der Dokumentation und aus Beweisgründen empfehlenswert, einen Vertrag in Textform zu schließen. So kann der Vertrag in elektronischen Formaten (z.B. PDF) oder schriftlich in Papierform geschlossen werden. Die Auftragsverarbeitung ist hauptsächlich in Art. 28 der Datenschutz-Grundverordnung (DSGVO) geregelt.

Darüber hinaus enthält die DSGVO vereinzelte Vorschriften, die jedoch für Handwerksbetriebe nicht einschlägig sind. Das Gesetz bezeichnet den Dienstleister als „Auftragsverarbeiter“. Der beauftragende Betrieb wird „Verantwortlicher“ genannt, da er die Daten nutzt und damit trotz Einschaltung eines Dienstleisters auch für die Rechtmäßigkeit der Datenverarbeitung einstehen muss und verantwortlich bleibt.

Inhalt Auftragsverarbeitung​

Artikel 28 DSGVO definiert zahlreiche Mindestanforderungen an den Inhalt einer Auftragsverarbeitung AVV. Dies betrifft insbesondere:

Auftragsverarbeitung DSGVO Sicherheit
  • Gegenstand des Auftrags
  • Dauer des Auftrags
  • Zweck der Datenverarbeitung
  • Kategorien der betroffenen Personen
  • Ergreifung der erforderlichen technischen und organisatorischen Schutzmaßnahmen TOM
  • Umfang der Weisungsbefugnisse
  • Rückgabe von Datenträgern nach Beendigung des Auftrags

Pflichten des Auftragsverarbeiters (Art. 30 Absatz 2): Alle Daten Kategorien, die im Auftrag eines Verantwortlichen durchgeführt werden, müssen zukünftig nach Art. 30 Abs. 2 DSGVO ebenfalls in einem Verzeichnis dokumentiert werden. Die Inhalte sind identisch zu den Verzeichnis für Verarbeitungstätigkeiten nach Artikel 30 DSGVO.​

Stefan Stroessenreuther

Was versteht man unter AVV​

Eine Auftragsverarbeitung AVV liegt vor, wenn ein Betrieb zwar personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs.

Dies ist z.B. bei Anbietern von Cloud-Lösungen der Fall, die auf ihren Servern Daten für den Betrieb speichern. Dasselbe gilt für Steuerberater, die für den Betrieb die Steuerklärungen erstellen und dabei z.B. Rechnungen (Adressdaten der Kunden) verarbeiten

Wann liegt eine Auftragsverarbeitung vor?​

Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb zwar personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem Dienstleister vornehmen lässt.

Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. Dies ist z.B. bei Anbietern von Cloud-Lösungen der Fall, die auf ihren Servern Daten für den Betrieb speichern. Dasselbe gilt für Lohnbuchhaltungsanbieter, die für den Betrieb die Lohnbuchhaltung erstellen und dabei z.B. Mitarbeiterdaten (Name, Bankverbindung, Krankenkasse, Steuernummer etc.) verarbeiten.

Was sind personenbezogene Daten​

Sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

Die Verarbeitung personenbezogener Daten von Arbeitnehmern konkretisiert § 26 BDSG. Hiernach ist eine Verarbeitung zulässig, wenn es zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist (z.B. Speicherung von Lohnunterlagen und Krankheitstagen). Zur Ausübung der Interessensvertretung der Beschäftigten erforderlich ist (z.B. Weiterleitung von Arbeitnehmerdaten an den Betriebsrat).

Verwendung von Gesundheitsdaten​

Gesundheitsdaten (z.B. Dioptrienzahl, Gehörschädigung etc.) gelten als besonders schutzwürdige Daten (Art. 9 DSGVO). Für Betriebe der Gesundheitshandwerke folgt die Berechtigung zur Verarbeitung von Gesundheitsdaten aus § 22 Abs. 1 Nr. 1 b) BDSG. Diese Vorschrift erlaubt die Verarbeitung von Gesundheitsdaten:

  • zum Zweck der Gesundheitsvorsorge,
  • zur Versorgung oder Behandlung im Gesundheits- oder Sozialbereich,
  • wenn es für einen Vertrag zwischen der betroffenen Person und einem Angehörigen eines Gesundheitsberufs erforderlich ist.
nv-author-image

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB IntegrationsModell Bayreuth