Auftragsverarbeitung

Begriff aus dem Lexikon
Auftragsverarbeitung

Was ist eine Auftragsverarbeitung (früher: Auftragsdatenverarbeitung)?

Dieses Thema gehört zum Datenschutz.

Von einer Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) spricht man, wenn der Auftraggeber einen Auftragnehmer mit der Verarbeitung fremder Daten beauftragt – und der Auftragnehmer dabei weisungsabhängig mit den Daten umgehen muss. Bei der Auftragsverarbeitung bleibt der Auftraggeber die verantwortliche Stelle – aber auch der Auftragsverarbeiter ist in gewissen Grenzen mitverantwortlich.

Ein Beispiel
Der Veranstalter beauftragt eine Eventagentur mit der Planung einer Betriebsveranstaltung. Die Agentur soll dabei auch Einladungskarten mit den Namen der Gäste drucken lassen, und beauftragt dazu eine Druckerei. Die Druckerei wird nun auf Weisung der Agentur tätig, verarbeitet hierfür aber fremde Daten. Daher muss die Agentur, ggf. der Veranstalter, mit der Druckerei einen Vertrag über die Datenverarbeitung schließen.

Schwierig ist die Beurteilung, ob bspw. eine Eventagentur Auftragsverarbeiter ist, wenn Sie einen Full-Service-Auftrag für die komplette Veranstaltungsorganisation erhält: Wenn also der Gesamtauftrag lediglich einen kleinen Teil Datenverarbeitung enthält (z.B. Weitergabe der Teilnehmerdaten an das Hotel). Selbst wenn man sich in dieser Situation dazu entscheidet, dass die Agentur kein Auftragsverarbeiter ist, muss sich die Agentur natürlich (dann als eigenständig Verantwortlicher) um den Datenschutz kümmern!

Der Auftraggeber darf nur mit Auftragsverarbeitern zusammenarbeiten, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“ (siehe Art. 28 Absatz 1 DSGVO).

Die Auftragsverarbeitung erfolgt auf der Grundlage eines Vertrags, in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.

Dieser Vertrag muss bspw. vorsehen, dass der Auftragsverarbeiter

  1. die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet;
  2. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  3. alle gemäß Artikel 32 DSGVO erforderlichen Maßnahmen ergreift, d.h.abhängig von dem Stand der Technik, den Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, z.B. können das folgende Maßnahmen sein:
    • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
    • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
    • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  4. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht (sofern keine steuerrechtlichen oder haftungsrechtlichen Gründe für eine Speicherung bestehen);
  5. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Beide Seiten, also Auftragsgeber (z.B. Veranstalter) und Auftragsverarbeiter (z.B. Eventagentur) haben ein Interesse daran, diesen Vertrag zu schließen – d.h. wenn der Veranstalter keinen solchen Vertrag vorlegt, sollte der Auftragnehmer das tun. Dabei geht es bspw. dann auch um die Haftungsverteilung oder Kostentragung, wenn Betroffene ihre Rechte geltend machen (z.B. auf Auskunft).

Profitieren Sie von unserer Expertise!

In unserer Kanzlei verfügen wir in zwei Rechtsgebieten über eine hohe Expertise und viel Erfahrung: Mit Rechtsanwalt Thomas Waetke im Veranstaltungsrecht, und mit Rechtsanwalt Timo Schutt im Datenschutzrecht. Wir kennen also die Bedürfnisse und Gewohnheiten der Veranstaltungsbranche einerseits, aber auch die Herausforderungen aus der DSGVO andererseits.

  • Wir finden zunächst die Konstellationen, in denen ein AVV notwendig wird.
  • Wir erstellen dann u.a. solche AVV, sowohl für den Hauptauftraggeber gegenüber seinem Generalunternehmer, ebenso für den Generalunternehmer gegenüber seinen Subunternehmern.
  • Wir beraten bei der sinnvollen Zusammensetzung von technischen und organisatorischen Maßnahmen (TOM´s).
  • Wir können Ihnen Guidelines für die Beschäftigten erstellen genauso wie Hilfestellungen bei der Unterweisung geben.

Sprechen Sie uns an, Sie erhalten ein Angebot von uns! Schreiben Sie uns einfach eine E-Mail an info@eventfaq.de

ZUR VERTRAGSGESTALTUNG >
ZUR KATEGORIE DATENSCHUTZRECHT >
ZUM LEXIKON >

Urheberangabe für das/die Foto(s) (Symbolfoto):