Auftragsdatenverarbeitung

Auftragsdatenverarbeitung2018-02-21T14:36:57+00:00

Wenn die Verarbeitung personen bezogener Daten nicht im Unternehmen selbst, sondern durch Dritte erfolgt, spricht man von Auftragsdatenverarbeitung. Dies geschieht beispielsweise, wenn ein Unternehmen die Lohnbuchhaltung auslagert. Hierdurch ergeben sich einige Besonderheit auf die jeder Unternehmer achten muss.

Was ist Auftragsdatenverarbeitung?

Auftragsdatenverarbeitung bezeichnet das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen Dienstleister (Auftragnehmer). Der Dienstleister ist an die Weisungen des Auftragsgebers gebunden. Die Grundlage für diese Zusammenarbeit ist ein schriftlicher Vertrag (ADV-Vertrag). Maßgeblich für diese Auftragsdatenverarbeitung sind der § 62 BDSG und in Ansätzen der Artikel 17 der EU-Datenschutzrichtlinie. Der  Artikel 28 DSGVO regelt sie künftig jedoch wesentlich detaillierter.

Was ist beim ADV-Vertrag nach Inkrafttreten der DSVGO zu beachten?

ADV-Verträge müssen nicht mehr ausschließlich schriftlich vorliegen, sondern können auch in elektronischer Form abgeschlossen werden (Art.28, Abs. 9 DSGVO).

Der Artikel 28 der EU-Datenschutz-Grundverordnung (DSGVO) wird diese Last ab dem 25. Mai 2018 allerdings auf beide Schultern verteilen: Durch die DSGVO wachsen Auftraggeber und Auftragnehmer noch mehr zusammen, wenn es darum geht, die Verantwortung zum Schutz der personenbezogenen Daten zu übernehmen. Der Artikel 28 DSGVO verteilt die Haftung, im Rahen des sog. „Joint Controller
Prinzips“ auf Auftraggeber und Auftragnehmer.

Welche Pflichten bestehen bei der Auftragsdatenverarbeitung?

Pflichten bei der Auftragsdatenverarbeitung ergeben sich aus dem § 62 des Bundesdatenschutzgesetz (BDSG), die im Zuge der Weitergabe von personenbezogenen Daten zu berücksichtigen sind:

  • Gegenstand und Dauer des Auftrags.
  • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten. Art der Daten und Kreis der Betroffenen.
  • Berichtigung, Löschung und Sperrung von Daten.
  • Nach Art. 28 DSGVO, sowie §§62-65 BDSG bestehende Pflichten des Auftragnehmers, insbesondere von ihm durchzuführende Kontrollen.
  • Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen.
  • Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers.
  • Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen.
  • Ausmaß der Weisungsbefugnisse, welche sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält.
  • Rückgabe von Datenträgern sowie Löschung gespeicherter Daten nach Auftragsbeendigung.

Was ist ein ADV-Vertrag?

Auftraggeber bzw. Verantwortliche dürfen personenbezogene Daten grundsätzlich nicht an „Dritte“ weitergeben. Bereits die Übertragung von Daten auf einen anderen Server als den Unternehmensserver, beispielsweise die Nutzung von Google Analytics auf Ihrer Website, ist grundsätzlich nicht erlaubt. Durch einen ADV-Vertrag wird der Auftragsdatenverarbeiter rechtlich wie ein Teil des verantwortlichen Unternehmens eingestuft – und nicht als Dritter. Mit dem ADV-Vertragkönnen Sie die Auftragsdatenverarbeitung gesetzeskonform gestalten.
Ein ADV-Vertrag ist ein Vertrag zur Datenverarbeitung im Auftrag. Wie oben beschrieben, regelt er die betriebliche Datenverarbeitung mithilfe eines Dienstleisters, der dem Auftraggeber weisungsgebunden ist. Wenn der Auftragnehmer selbst Entscheidungen treffen kann bzw. darf, ist es derzeit noch eine Funktionsübertragung. Diese gängige Bezeichnung aus der Praxis zur Abgrenzung von der Auftragsdatenverarbeitung wird es so künftig jedoch nicht mehr geben (vgl. Art. 4 Nr. 8 DSGVO). Nach EU-Datenschutz-Grundverordnung (DSGVO) muss jedes Unternehmen einen ADV-Vertrag abschließen, das personenbezogene Daten von einem Dienstleister verarbeiten lässt.

Wie kann ein externer Datenschutzbeauftragter unterstützen?

Zuerst prüft der Datenschutzbeauftragte, ob  Vertragsverhältnisse über die Auftragsdatenverarbeitung bestehen. Anhand der Unterlagen kann er bewerten, ob diese Verträge den Anforderungen an den Datenschutz gerecht werden oder ob die Verträge nachgebessert werden müssen.Bestehen keine Verträge so kann der DAtenschutzbeauftragte diese mit Ihnen erstellen.

Wir helfen gerne! Falls Sie nicht wissen, ob Ihr Unternehmen den Anforderungen und Pflichten an die Auftragsdatenverarbeitung gerecht wird, dann beraten wir Sie gerne online oder telefonisch.

Noch Fragen?