Auftragsverarbeitung (vormals: „Auftragsdatenverarbeitung) findet dann statt, wenn ein externes Unternehmen Zugriff auf personenbezogene Daten eines anderen Unternehmens hat. Gemäß der DSGVO muss zwischen beiden Parteien ein AV-Vertrag geschlossen werden. Gemäß Art. 4 Nr. 8 DSGVO ist ein „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Personenbezogene Daten
Personenbezogene Daten umfassen alle Informationen, über die in jeglicher Art ein Bezug zu einer natürlichen Person hergestellt werden kann (personenbezogenen und personenbeziehbare Daten). Diese müssen nach der Datenschutz-Grundverordnung (DSGVO) gleichermaßen beachtet und geschützt werden. Dazu zählen beispielsweise:
- Name
- Anschrift
- E-Mail-Adresse
- Telefonnummer
- Kontodaten
- Standortdaten (GPS)
- IP-Adresse / MAC-ID
Akteure bei der Auftragsverarbeitung
Auftragsverarbeitung bedeutet, dass ein Unternehmen als Auftraggeber personenbezogene Daten von einem externen Dienstleister als Auftragnehmer verarbeiten lässt. Beim Auftragsverarbeiter kann es sich unter anderem um ein anderes Unternehmen, häufig in Form eines externen Dienstleisters (z.B. IT-Dienstleister) handeln.
In jedem Fall ist der Auftraggeber Hauptverantwortlicher für den Datenschutz und muss gewährleisten, dass die Daten ordnungsgemäß verarbeitet werden. Um zu garantieren, dass der Auftragsdatenverarbeiter das Datenschutzrecht einhält, ist der Auftraggeber verpflichtet, regelmäßig protokollierte Kontrollen durchzuführen. Hierzu können Kontrollen vor Ort zum Einsatz kommen, sowie Berichte eines Sachverständigen oder eines Datenschutzbeauftragten, entweder aus eigenen Reihen oder aus denen des Auftragnehmers.
Außerdem ist gesetzlich vorgeschrieben, dass zwischen Auftraggeber und Auftragnehmer eine Auftragsvereinbarung (AV) nach Art. 28 der DSGVO geschlossen werden muss, man spricht auch von einem AV-Vertrag.
AV-Vertrag
Ein AV-Vertrag regelt im Falle einer Auftragsverarbeitung den DSGVO-konformen Umgang mit personenbezogenen Daten. Nach Artikel 28 muss der Vertrag folgendes beinhalten:
- Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien betroffener Personen
- Pflichten und Rechte des Auftraggebers
- Unterstützungspflicht des Auftragnehmers gegenüber dem Auftraggeber beim Erfüllen seiner Pflichten
- Verpflichtung zur Vertraulichkeit des Auftragnehmers
- Ergreifung aller erforderlicher Maßnahmen gemäß Artikel 32 der DSGVO
- Löschung der Daten nach Beendigung des Auftrags
- Kontrollrechte des Auftraggebers und die entsprechenden Mitwirkungspflichten des Auftragnehmers
Verträge zu Auftragsdatenverarbeitung müssen immer dann geschlossen werden, wenn der Zugang zu personenbezogenen Daten nicht ausgeschlossen werden kann – auch dann, wenn kein direkter Zugriff darauf erfolgt. Die reine Möglichkeit eines externen Akteurs, auf die Daten zuzugreifen oder diese im Rahmen seiner Kerntätigkeit zur Kenntnis zu nehmen, reicht bereits aus.
Bei folgenden Dienstleistungen muss ein AV-Vertrag geschlossen finden:
- Tracking Software (z.B. Google Analytics)
- Hosting von Webseiten
- Call-Center-Dienstleistungen ohne eigene Entscheidungsmöglichkeiten
- Buchhaltung oder Gehaltsabrechnung (sofern nicht von einem Steuerberater erbracht)
- Newsletterdienstleister (z.B. SendinBlue)
- Aktenvernichtung
- IT-Outsourcing (z.B. Serverhosting, Cloudanbieter)
- Installation oder Wartung von Software
Fazit
Wenn ein Unternehmen personenbezogene Daten von einem anderen Unternehmen verarbeiten lässt, spricht man von Auftragsdatenverarbeitung. Daneben existiert jedoch auch noch das Konstrukt der gemeinsamen Verantwortung zweier eigenständigen Verantwortlichen (Art. 26 DSGVO), die gemeinsam die Zwecke und Mittel der Verarbeitung bestimmen und untereinander nicht weisungsgebunden sind.
Im Rahmen einer Auftragsverarbeitung bleibt der Auftraggeber für die Datenverarbeitung durch seinen Auftragsverarbeiter/Dienstleister verantwortlich für den Datenschutz und muss den Umgang mit den Daten seitens des Auftragsdatenverarbeiters auch regelmäßig kontrollieren („drum prüfe, wer sich ewig bindet).