DSGVO – Auftragsdatenverarbeiter – Was Beachten – Richtiger Umgang

Wann immer Sie für jemand anderen personenbezogene Daten verarbeiten oder die Verarbeitung extern beauftragen, benötigen Sie einen Auftragsverarbeitungsvertrag AVV.

Der AVV regelt im Sinne der DSGVO die auftragsmäßige Verarbeitung personenbezogener Daten zwischen Ihnen und einem anderen Unternehmen.

Die neuen Regeln der Datenschutzgrundverordnung zur Auftragsdatenverarbeitung sind im Artikel 28 und Artikel 29 DSGVO hinterlegt. Die neue moderne und digitale Wirtschaft ist ohne richtige Auftragsverarbeitung nicht zu händeln. Mailversand, Adresspflege oder auch Online-Marketing…was zeichnet einen Auftragsverarbeiter aus, wer trägt die Verantwortung, Vertragsbesonderheiten, was ist zu beachten?

In der modernen Arbeitswelt kommt es regelmäßig vor, dass Unternehmen interne Prozesse aus Gründen der Zeitersparnis oder zur Kosteneinsparung an Dienstleister auslagern oder ihre Leistungen unter Einbeziehung von Dienstleistern erbringen (Beispielsweise: Callcenter, Marketingagentur, Steuerberater). Dies kann dazu führen, dass personenbezogene Daten von einem Unternehmen zum nächsten weitergegeben werden. Die Auftragsverarbeitung zeichnet sich dadurch aus, dass ein externer Dienstleister personenbezogene Daten im Auftrag weisungsgebunden nutzt.

Durch den nötigen AVV stellt das beauftragende Unternehmen (Verantwortlicher) sicher, dass das andere Unternehmen (Auftragsverarbeiter) bzgl. der Datenverarbeitung an seine Weisungen gebunden ist sowie auch die Vorgaben der DSGVO einzuhalten hat.

 

Auftraggeber = Auftragsverantwortlicher

 Der Auftraggeber ist verantwortlich für die DSGVO-konformen Umgang mit den Daten der betroffenen Personen

 

Auftragsnehmer = Auftragsverarbeiter

DSGVO Art.4 Nummer 8: Auftragsverarbeiter kann sein: „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“

Hinsichtlich des Zweckes der Verarbeitung besteht keine Entscheidungsgewalt. Bestimmte Entscheidungen können durch den Auftragsverarbeiter selbst getroffen werden. Auftragsverarbeiter können beispielsweise sein: Callcenter, externe Rechenzentren, E-Mail-Provider, Cloud-Anbieter, Agenturen oder EDV-, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Unternehmensdaten.

Hierzu hat ein Auftragsverarbeiter zu garantieren, dass seine TOM (Technische und Organisatorischen Maßnahmen) auch den neuen Datenschutzbestimmungen entsprechen.

 

Wer trägt Verantwortung?

Da das Ausgliedern bestimmter Aufgaben, den Auftraggeber nicht von seinen Pflichten in Sachen Datenschutz befreit, trägt die Hauptverantwortung für die Einhaltung datenschutzrechtlicher Anforderungen bei der Verarbeitung von personenbezogenen Daten der Auftraggeber.

Ansprechpartner hinsichtlich der Betroffenenrechte (z.B. Auskunftsanfragen oder Löschanliegen) bleibt der Auftragserteiler (Auftraggeber). Der Auftragsverarbeiter (Auftragnehmer) erhält die Befugnisse je nach Auftragsgestaltung hinsichtlich der Auswahl der Datenverarbeitungsmittel.

Der Auftraggeber erteilt die Vorgabe der TOM, welche der Auftragsverarbeiter einzuhalten hat. Der Auftragsverarbeiter hat hier natürlich auch einen Entscheidungsraum. Beispielsweise: Der Auftraggeber erteilt eine Vorgabe, in welcher zur Netzwerksicherungeine Firewall zur Sicherung zu Nutzen ist. Hersteller oder Modell der Firewall darf der Auftragnehmer selber entscheiden. Ebenso darf der Auftragsverarbeiter die Daten nicht für seine eigenen Zwecke nutzen.

 

Inhalt im Auftragsverarbeitungsvertrag

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Rechte und Pflichten der Vertragspartner

 

Weitere News zur DSGVO:

https://datenschutzbeauftragter-dsgvo.com/dsgvo-praezidenzfaelle-klagen-abmahnungen-verstoss-bussgelder/

https://datenschutzbeauftragter-dsgvo.com/ich-will-klagen-meine-rechte-sind-verletzt-welche-chancen-habe-ich/