DSGVO-Serie: Auftragsverarbeitung

Unternehmen arbeiten in der Regel nicht allein und auf einem lokalen Server mit den personenbezogenen Daten. Häufig gibt es externe Dienstleister, an die Daten weitergegeben werden. In diesem Fall handelt es sich gemäß Artikel 28 DSGVO um eine Auftragsverarbeitung (vorher auch als Auftragsdatenverarbeitung (ADV) bekannt). Dabei werden personenbezogene Daten übertragen, damit der jeweilige Empfänger weisungsgebunden einen Auftrag erfüllt. Er fungiert sozusagen als „verlängerter Arm“. Hierbei kann es sich beispielsweise um einen externen Anbieter für Newsletter-Versand, einen Softwareanbieter eines CRM-Systems, ein externes Rechenzentrum oder weitere Dienstleister handeln. Falls die Daten an Dritte (innerhalb der EU) weitergegeben werden, muss ein Auftragsverarbeitungsvertrag (AVV) aufgesetzt werden. Dieser ist von den Auftraggebern anzufordern, wenn der Auftragsnehmer nicht eigenständig einen zur Verfügung stellt. 

Was ist ein Auftragsverarbeitungsvertrag?

In dem AVV werden die Rechte und Pflichten beider Vertragsparteien aufgeführt. Der Auftragsnehmer muss versichern, dass er die Daten DSGVO-konform verarbeitet, und er muss eine Liste seiner technischen und organisatorischen Maßnahmen bereitstellen. Das auftraggebende Unternehmen muss diese prüfen und kann auch weitere Maßnahmen anfragen. Außerdem hat der Auftraggeber das Recht, eine Vor-Ort-Kontrolle durchzuführen. 

Zusätzlich müssen weitere Subunternehmen des Auftragsnehmers offengelegt und vom Auftraggeber genehmigt werden. Das soll dazu führen, dass die Auftragsnehmer auch ihre Dienstleister wieder mit einem AVV verpflichten. Wenn ein Unternehmen nicht seine DSGVO Konformität vorweisen kann, ist es möglich, dass es einen Wettbewerbsnachteil bekommt, weil es nicht mehr als Geschäftspartner gewählt wird. Das kann, neben der Bußgeldzahlungen, ein Anreiz für die Unternehmen sein, sich DSGVO konform aufzustellen.  

Der Auftragnehmer hat eine Meldepflicht von Datenschutzverstößen. Kommt es zu einem Datenschutzvorfall, bei dem weisungsbefugten Unternehmen, welches die Daten des Auftraggebers betrifft, muss dieses in der Regel informiert werden.  

Auch die Rückgabe von Datenträgern oder Löschung der Daten bei Vertragsbeendigung sind Teil des AVV.  

Was ist zu beachten?

Es ist zu beachten, dass der AVV in dieser Form nur zwischen Unternehmen innerhalb der EU geschlossen werden kann. Für Unternehmen aus Ländern außerhalb der EU, sogenannten „Drittstaaten“, gibt es mehrere Möglichkeiten einen Vertrag zu schließen. Entweder sie haben den Sitz in einem Land, welches von der EU als „sicher“ eingestuft wird, wie zum Beispiel Norwegen oder Kanada, oder es müssen „Standardvertragsklauseln“ genutzt werden, die den Datenschutz absichern. Hat das Unternehmen seinen Sitz in den USA ist auch die Verpflichtung nach US-Privacy Shield eine Möglichkeit. 

DSGVO-Serie: So geht es weiter

In den kommenden Wochen werden wir alle weiteren Maßnahmen zur Umsetzung der Datenschutzgrundverordnung erläutern.
Den ersten Artikel der Serie Datenschutzgrundverordnung – 6 Monate DSGVO und nun? finden Sie unter dem angegebenen Link.
Die nötigen Maßnahmen sind:

Es gilt genau hinzuschauen und die Prozesse im Unternehmen intensiv zu hinterfragen. Holen Sie sich Hilfe und Informationen bei Experten und lassen Sie sich beraten. Setzen Sie auf moderne Systeme und Lösungen, die Sie bei der Einhaltung der DSGVO unterstützen, wie zum Beispiel unseren DSGVO-Manager – Die Toolbox für eine erfolgreiche Umsetzung der EU-Datenschutzgrundverordnung.

Der DSGVO-Manager

Unser DSGVO-Manager unterstützt Sie vor allem bei der Dokumentation aller nötigen Maßnahmen. Hier haben Sie die Möglichkeit nicht nur Ihre Prozesse zu dokumentieren und die Verantwortlichen aufzulisten, Sie können auch Kundenanfragen, wenn es um Auskunft oder Löschung geht, im DSGVO-Manager nachhalten. Zudem unterstützt unser Tool bei der Beauskunftung gegenüber der Datenschutzbehörde im Rahmen einer Unternehmensprüfung.


Anmerkung: Eine juristische Beratung stellt unser Angebot nicht dar. Dazu nehmen Sie bitte mit einem Anwalt Kontakt auf und sprechen Sie mit Ihrem Datenschutzbeauftragten.

(Visited 116 times, 1 visits today)