Kein Job wie jeder andere: Die Auftragsverarbeitung (AV)

Der Art. 28 der Datenschutz-Grundverordnung (DSGVO), § 26 des Bundesdatenschutzgesetzes (BDSG neu) und der § 80 im Zehnten Buch des Sozialgesetzes regeln in Deutschland die ‚Datenverarbeitung im Auftrag‘ bzw. die ‚Auftragsverarbeitung (AV)‘. Sie bestimmen über das ‚Outsourcing‘ von Datenverarbeitungsaufträgen an externe Dritte.


Ein Auftragsverarbeiter ist jede Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Er hat kaum oder gar keine Entscheidungsbefugnis und ist an die Weisungen des Auftraggebers gebunden. Dem entgegen steht die "Übermittlung". Bei dieser Konstellation hat der Auftragnehmer eigene Verantwortlichkeiten.


Die Auftragsverarbeitung löst die ‚Auftragsdatenverarbeitung (ADV)‘ aus dem "alten" Bundesdatenschutzgesetz ab. Die Neuregelung lässt viele der schon bisher geltenden Anforderungen an den Verantwortlichen unverändert.

Ein Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO gibt seit der Umsetzung der DSGVO den rechtlichen Rahmen einer AV  in der Regel vor. In jenem werden unter anderem Gegenstand, Zweck, Art und Dauer der Verarbeitung festgelegt sowie die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen und die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters.

Der Verantwortliche hat sich – abhängig von der Art der erhobenen Daten – davon zu überzeugen, dass der Auftragsverarbeiter für die Aufgabe zertifiziert ist, und dass er ein Sicherheitskonzept umsetzt, welches gewährleistet, dass die Datenverarbeitung durch geeignete technische und organisatorische Maßnahmen mit den rechtlichen Bedingungen konform ist. Dies erfolgt in der Regel durch eine schriftliche Auskunft. Erst dann darf der Verantwortliche dem Auftragsverarbeiter personenbezogene Daten übermitteln.


Haftungsrechtlich steht bei Verstößen meist nicht der Dienstleister in der Verantwortung, sondern unverändert der Verantwortliche. Der Auftragsverarbeiter haftet hingegen, wenn er seinen Pflichten als Auftragsverarbeiter nicht nachgekommen ist. Dies ist der Fall sofern er die Anweisungen des Verantwortlichen nichtbeachtet oder sogar gegen die Weisungen gehandelt hat.


Ist ihr Dienstleister tatsächlich ein Auftragsverarbeiter im Sinne der DSGVO? Fragen Sie uns...

Λ