Veröffentlicht von:
Auftragsverarbeitung und Auftragsverarbeitungsvertrag Art. 28 DSGVO
- 2 Minuten Lesezeit
Auftragsverarbeitung
Bei einer Auftragsverarbeitung verarbeitet ein Dienstleister (Auftragsverarbeiter bzw. Auftragnehmer) personenbezogene Daten weisungsabhängig im Auftrag der verantwortlichen Stelle (Verantwortlicher bzw. Auftraggeber).
Charakteristisch für die Auftragsdatenverarbeitung (kurz: AV) ist, dass ein Unternehmen (Auftraggeber) externe Dienstleister (Auftragnehmer) damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten. Die Verantwortung für die ordnungsgemäße Datenverarbeitung verbleibt dabei beim Auftraggeber, er ist der Hauptverantwortliche für den Datenschutz. Der externe Dienstleister wird bei der Auftragsdatenverarbeitung nur unterstützend tätig, er ist praktisch der „verlängerte Arm“ seines Auftraggebers. Eine Auftragsdatenverarbeitung besteht unter anderem in folgenden Fällen:
- Lohnbuchhaltungsbüros, Datenerfassungsbüros, Rechenzentren, Copyshops.
- Externe Dienstleister EDV und TK mit "Remote-Zugriff" (Server, Aktivkomponenten, Datenbanken, Wartungsverträge, Softwarepflege, Wartung TK-Anlagen etc.).
- Externe Dienstleister Peripherie IT/TK (Faxgeräte, Drucker, Multifunktionsgeräte, Scanner, Kopiergeräte, etc.).
- Entsorger IT / TK und Entsorger Papier.
- Internet-Service-Provider (Internet und E-Mail-Dienste).
- Application-Service-Provider (Fremdsoftware als Dienstleistung), z. B. DATEV, Addison, Systempartner
Keine Auftragsdatenverarbeitung liegt bei einer sogenannten Funktionsübertragung vor.
In Abgrenzung zur Auftragsverarbeitung liegt eine Funktionsübertragung dann vor, wenn der Auftragnehmer nicht nur Daten verarbeitende Hilfsfunktionen weisungsabhängig erfüllte, sondern die ihm übergebenen Daten zur Erfüllung weiterer eigener Aufgaben oder Funktionen benötigte, die weisungsunabhängig durchgeführt wurden. In der DSGVO ist die Konstellation der Funktionsübertragung nicht vorgesehen. Dies geht auch aus dem Kurzpapier Nr. 13 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) klar hervor.
Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer), Inkassobüros mit Forderungsübertragung, Bankinstituts für den Geldtransfer, Postdienstes für den Brieftransport, und vieles mehr.
Für die Übermittlung personenbezogener Daten an Stellen
- in anderen Mitgliedstaaten der Europäischen Union,
- in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder
- der Organe und Einrichtungen der Europäischen Gemeinschaften
gibt es keine Besonderheiten zu beachten, da sich diese im Geltungsbereich der DSGVO befinden. Im Grunde kann somit ein Vertrag zur Auftragsverarbeitung geschlossen werden. Ggf. können hierfür auch englische Muster Verwendung finden, wobei im Zweifelsfall immer ein Anwalt zu Rate gezogen werden sollte.
Vor einer Übermittlung personenbezogener Daten in Drittstaaten muss zunächst eine Prüfung des im Empfängerland vorhandenen Datenschutzniveaus erfolgen. Bei angemessenem Datenschutzniveau kann mit dem Dienstleister z.B. ein Vertragsschluss auf der Grundlage der sog. EU-Standardvertragsklauseln bzw. künftig Standarddatenschutzklauseln erfolgen.
Haben Sie Fragen dazu? Gibt es einen Auftragsverarbeitungsvertrag zu prüfen oder zu erstellen ?
Henning Koch, Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht, zertifizierter (auch behördlicher) Datenschutzbeauftragter (Wirtschaftskanzlei Ruhmann Peters Altmeyer PartG mbB) und Geschäftsführer der RPA Datenschutz + Compliance GmbH.
Auftragsverarbeitung (früher Auftragsdatenverarbeitung)
Artikel teilen: