Auftragsverarbeitung

Auftragsverarbeitung

Immer dann, wenn der Verantwortliche selbst keine Daten verarbeitet, sondern dies durch einen anderen machen lässt, liegt eine Auftragsverarbeitung vor.

Ein "Auftragsverarbeiter" ist nach Artikel 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Was bei dem Einsatz eines Auftragsverarbeiters zu beachten ist, steht in den Artikeln 28 ff. DSGVO.

Die wichtigsten Verpflichtungen und Verantwortungen des Auftragsverarbeiters sind:

  • Weisungsgebundenheit aus Art. 29 DSGVO
  • Führung eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO

Es bedarf einer Grundlage, um eine Auftragsverarbeitung durchzuführen.

In den meisten Fällen erfolgt die Auftragsverarbeitung durch einen Vertrag gemäß Art. 28 Abs. 3 DSGVO.

Hierin sind jedoch einige Vereinbarungen zu treffen. Zu den Mindestanforderungen bei einem solchen Auftragsverarbeitungsvertrag zählen die folgenden Verpflichtungen des Auftragsverarbeiters:

  • Verarbeitung personenbezogener Daten nur auf dokumentiere Weisung des Verantwortlichen
  • Verpflichtung zur Vertraulichkeit / Auftragsvererbeiter unterliegt einer angemessenen gesetzlichen Verschwiegenheitspflicht
  • Gewährleistung des Art. 32 DSGVO
  • Einhaltung von Art. 28 Abs. 2 u. 4 bei Einsatz eines weiteren (Unter-)Auftragsverarbeiters
  • Unterstützung des Verantwortlichen bei Einhaltung der Art. 32 - 36
  • Löschung / Zurückgabe und Löschung der Kopien aller personenbezogenen Daten nach Erbringung der Verarbeitungstätigkeit
  • Zurverfügungstellung aller erforderlichen Informationen zum Nachweis der Einhaltung der o.g. Pflichten
  • Gewährleistung von Überprüfungen - einschließlich Inspektionen - durch den Verantwortlichen oder eine von diesem beauftragte Person
  • Unverzügliche Meldung an den Verantwortlichen, wenn eine Weisung gegen die DSGVO oder andere datenschutzrechtliche Regelungen nach Auffassung des Auftragsverarbeiters verstößt

Es ist also einiges zu beachten, wenn man einen sog. "Auftragsverarbeitungsvertrag" (AVV) schließen möchte.

Sie sind am Ende der Datenschutzrechtlichen Grundlagen angekommen. Wir hoffen, dieser "Guide" war für Sie verständlich und nachvollziehbar. Sollten Sie weitere Fragen haben, wenden Sie sich an die Stabsstelle für Datenschutz- und Informationssicherheitsmanagement.

Internetkoordinator (Stand: 19.01.2024)  | 
Zum Seitananfang scrollen Scroll to the top of the page