Die Auftragsverarbeitung ist allein schon bei einem Webhosting oder dem Einsatz einer Buchhaltungssoftware gegeben. Was Du in diesen Fällen beachten musst und was der Auftragsverarbeitungsvertrag alles beinhalten muss, erläutert dieser Beitrag.
In der arbeitsteilig organisierten Dienstleistungsgesellschaft ist die Auftragsdatenverarbeitung von erheblicher Bedeutung. Denn kaum ein Unternehmen wird seine gesamten Aufgaben ohne fremde Hilfe erledigen. Häufig werden Dienstleister eingeschaltet, die für das Unternehmen spezialisierte Dienste erbringen. Wenn Dritte derartige Aufgaben für andere übernehmen und dabei mit personenbezogenen Daten umgehen, spricht man von einer Auftragsverarbeitung.
Eine Auftragsverarbeitung liegt also dann vor, wenn eine natürliche oder juristische Person die personenbezogenen Daten im Auftrag des Verantwortlichen (Auftraggeber) verarbeitet. Maßgebliches Kennzeichen einer Auftragsverarbeitung ist die Weisungsgebundenheit des Auftragsverarbeiters gegenüber dem Auftraggeber. Nur der Auftraggeber ist also Verantwortlicher der Datenverarbeitung. Der Auftragsverarbeiter erbringt nur eine Dienstleistung und ist nicht daran interessiert in eigener (Mit-)Verantwortung die Daten zu verarbeiten.
Typische Fallgruppen der Auftragsverarbeitung sind beispielsweise Dienstleistungen im Bereich:
- IT-Outsourcing,
- Betrieb eines Rechenzentrums,
- Software-as-a-Service (SaaS),
- Cloud Computing oder
- Onlineshop- und
- Webhosting
Wenn ihr euch unsicher seid, ob der Dienstleister ein echter Auftragsverarbeiter ist, dann fragt euch, ob ihr als Auftraggeber vom Auftragnehmer verlangen könnt, die zu verarbeitenden Daten zu löschen. Wenn ja, spricht das für eine Weisungsabhängigkeit und damit für eine Auftragsverarbeitung.
Entscheidend ist, dass der Auftragnehmer die Daten nicht für eigene Zwecke verarbeitet, sondern immer nur der „verlängerte Arm“ des verantwortlichen Auftraggebers ist. Wer über das „Ob“ und „Wie“ der Datenverarbeitung entscheiden kann, ist niemals Auftragsverarbeiter.
Eine zwingend notwendige Grundlage für die Weitergabe der Daten an einen Auftragsverarbeiter ist ein Vertrag zwischen Verantwortlichem und Auftragsverarbeiter. Hier sind dann die gesetzlichen Anforderungen an Auftragsverarbeitungsverträge im Sinne der Datenschutz-Grundverordnung (DSGVO) zu erfüllen. In dem Vertrag hat sich der Auftragnehmer zu mindestens folgenden Inhalten zu verpflichten:
- Die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten.
- Die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit zu verpflichteten.
- Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
- Den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte (u. a. Auskunft, Berichtigung, Löschung oder Einschränkung) nachzukommen;
- Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben.
- Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in der DSGVO niedergelegten Pflichten des Verantwortlichen und des Auftragsverarbeiters zur Verfügung zu stellen und Überprüfungen durch den Verantwortlichen zu ermöglichen.
Wollt ihr also einen Auftragsverarbeiter einschalten, müsst ihr vorher klären, ob dieser Auftragsverarbeiter hinreichende Garantien dafür bietet, dass er die Verarbeitung im Einklang mit den datenschutzrechtlichen Vorschriften umsetzt. Ihr solltet also bereits mit den Verhandlungen über den Hauptvertrag (oft ein Dienst- oder Werkvertrag) auch den ebenfalls abzuschließenden Auftragsverarbeitungsvertrag des Dienstleisters anfragen und auf Vollständigkeit prüfen. Nicht allein die Funktionalität und der Preis sollten Abschlusskriterien sein, sondern auch die datenschutzrechtliche Regeltreue (Compliance). Denn: Wer sich eines Auftragsverarbeiters bedient , muss sich bewusst sein, dass er auch für dessen Fehlverhalten haften kann, soweit er sich nicht durch gute Auswahl und Überwachung davon befreien kann.
Und nun weiter mit der Verarbeitungssicherheit: https://gumbrecht.org/wie-sicher-ist-die-verarbeitung/
