Auftragsverarbeitung

Begriff aus dem Lexikon
Auftragsverarbeitung

Was ist eine Auftragsverarbeitung (früher: Auftragsdatenverarbeitung)?

Dieses Thema gehört zum Datenschutz.

Von einer Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) spricht man, wenn der Auftraggeber einen Auftragnehmer mit der Verarbeitung fremder Daten beauftragt – und der Auftragnehmer dabei weisungsabhängig mit den Daten umgehen muss. Bei der Auftragsverarbeitung bleibt der Auftraggeber die verantwortliche Stelle – aber auch der Auftragsverarbeiter ist in gewissen Grenzen mitverantwortlich.

Beispiel für Auftragsverarbeitung

Der Veranstalter beauftragt eine Eventagentur mit der Planung einer Betriebsveranstaltung. Die Agentur soll dabei auch Einladungskarten mit den Namen der Gäste drucken lassen, und beauftragt dazu eine Druckerei. Die Druckerei wird nun auf Weisung der Agentur tätig, verarbeitet hierfür aber fremde Daten. Daher muss die Agentur, ggf. der Veranstalter, mit der Druckerei einen Vertrag über die Datenverarbeitung schließen.

Der Auftraggeber darf nur mit Auftragsverarbeitern zusammenarbeiten, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“ (siehe Art. 28 Absatz 1 DSGVO).

Die Auftragsverarbeitung erfolgt auf der Grundlage eines Vertrags, in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.

Dieser Vertrag muss bspw. vorsehen, dass der Auftragsverarbeiter

  1. die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet;
  2. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  3. alle gemäß Artikel 32 DSGVO erforderlichen Maßnahmen ergreift, d.h.abhängig von dem Stand der Technik, den Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, z.B. können das folgende Maßnahmen sein:
    • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
    • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
    • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  4. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht (sofern keine steuerrechtlichen oder haftungsrechtlichen Gründe für eine Speicherung bestehen);
  5. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Beide Seiten, also Auftragsgeber (z.B. Veranstalter) und Auftragsverarbeiter (z.B. Eventagentur) haben ein Interesse daran, diesen Vertrag zu schließen – d.h. wenn der Veranstalter keinen solchen Vertrag vorlegt, sollte der Auftragnehmer das tun. Dabei geht es bspw. dann auch um die Haftungsverteilung oder Kostentragung, wenn Betroffene ihre Rechte geltend machen (z.B. auf Auskunft).

Meine Beiträge zum Datenschutz:

Intensiv-Coaching EventrechtInhouse-Schulung

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Banner quer Onlineberatung: (Foto links) © exclusive-design - Fotolia.com
  • Antike Schreibmaschine: © thirdparty - Fotolia.com