Pra­xis­na­he Umset­zung seit 2013

Ihr Exper­te für Daten­schutz und Informationssicherheit

Auf­trags­ver­ar­bei­tung

Auf­trags­ver­ar­bei­tung: Kön­nen Sie als Unter­neh­mens­lei­tung die­se 5 Fra­gen beantworten?

Auf­trags­ver­ar­bei­tung: Der Überblick

Ein­lei­tung

Eine Auf­trags­ver­ar­bei­tung ermög­licht Ihnen, die Ver­ar­bei­tung personen­bezogener Daten im Auf­trag an Dienst­leister (= Auftrags­ver­arbeiter) aus­zu­la­gern, wenn Sie nicht alles selbst im Unter­neh­men machen wol­len oder können. 

Aber halt — wer haf­tet, wenn der Dienst­leis­ter nicht kor­rekt mit Ihren Daten umgeht, für die Sie eigent­lich die Ver­ant­wor­tung über­nom­men haben?

Denn: Sie blei­ben als Ver­ant­wort­li­cher grund­sätz­lich für die Ver­feh­lun­gen Ihrer Dienst­leis­ter ver­ant­wort­lich. Wenn sich im Nach­hin­ein her­aus­stellt, dass der Dienst­leis­ter gar nicht geeig­net war und Sie das hät­ten wis­sen kön­nen, bleibt womög­lich die Haf­tung auf Ihrer Sei­te.

Das Geheim­nis der Umset­zung: Suchen Sie sich geeig­ne­te Dienst­leis­ter, die für Sie im Auf­trag per­so­nen­be­zo­ge­ne Daten verarbeiten.

Die­se Infor­ma­tio­nen stel­len kei­ne Rechts­be­ra­tung dar, son­dern geben Anre­gun­gen zur Umset­zung. Für eine pass­ge­naue Umset­zung neh­men Sie ger­ne Kon­takt auf.

Inhalte 

Risi­ken beim Ein­satz von Auftragsverarbeitern

Als Ver­ant­wort­li­cher müs­sen Sie dafür sor­gen, dass alle gesetz­li­chen Vor­ga­ben im Daten­schutz umge­setzt wer­den. Wäh­rend Sie im eige­nen Unter­neh­men eine gute Kon­trol­le über Ihre inter­nen Berei­che haben, ist dies bei exter­nen Dienst­leis­tern mit zusätz­li­chem Auf­wand verbunden.

Durch das Out­sour­cing erge­ben sich diver­se Her­aus­for­de­run­gen. Wie wei­sen Sie zum Bei­spiel nach, dass der Auf­trags­ver­ar­bei­ter „geeig­net“ ist? Wie steu­ern Sie den Ein­satz der Auf­trags­ver­ar­bei­ter und stel­len sicher, dass Sie am Ende weit­ge­hend aus der Haf­tung kom­men, wenn der Dienst­leis­ter nicht fach­ge­recht mit Ihren Daten umgeht?

Beach­ten Sie mög­li­che Sanktionen!

Was ist, wenn die Daten­ver­ar­bei­tung durch eine Auf­sichts­be­hör­de Ihre Geschäfts­pro­zes­se unter­sagt oder Geld­bu­ßen auf­er­legt wer­den, weil Sie oder in die­sem Fall Ihr Auf­trags­ver­ar­bei­ter die Vor­ga­ben des Daten­schut­zes nicht ein­ge­hal­ten haben? Geld­bu­ßen wer­den auch ver­hängt, wenn kei­ne rechts­kon­for­men Ver­ein­ba­run­gen zur Auf­trags­ver­ar­bei­tung vorliegen.

Die Höhe vari­iert sicher­lich von Unter­neh­men zu Unter­neh­men und dem Risi­ko der Ver­ar­bei­tung für die betrof­fe­nen Per­so­nen, aber Ver­feh­lun­gen kön­nen teu­er werden.

Der Gesetz­ge­ber hat vor­ge­se­hen, dass die Unter­neh­men die Auf­trags­ver­ar­bei­ter vor der Zusam­men­ar­beit und danach regel­mä­ßig prü­fen müs­sen — und zwar gemes­sen am Risi­ko der Ver­ar­bei­tung. Eine inten­si­ve Auseinander­setzung aus einer Datenschutz­sicht ist daher erfor­der­lich, um die nach­fol­gen­den Pflich­ten erfül­len zu können.

Bereits bei der Aus­wahl der Auf­trags­ver­ar­bei­ter soll­ten Sie ent­spre­chen­de Qua­li­fi­ka­ti­ons­nach­wei­se anfor­dern. Ist der kauf­män­ni­sche Ver­trag bereits unter­schrie­ben, kann es schwie­ri­ger wer­den, sich wie­der von dem Dienst­leis­ter zu tren­nen, wenn Sie mer­ken, dass mit Ihren Daten nicht fach­ge­recht umge­gan­gen wird.

Den­ken Sie an die Folgeaufgaben!

Eine gute Doku­men­ta­ti­on der Auf­trags­ver­ar­bei­ter ist ent­schei­dend, um die Über­sicht zu behal­ten. Wie­der­keh­ren­de Prü­fun­gen sind, gemes­sen am Risi­ko durch­zu­füh­ren und in der Doku­men­ta­ti­on abzulegen.

Prüf­fra­gen für die Geschäftsleitung

Fra­gen Sie sich als Ver­tre­tung der Geschäfts­lei­tung: Machen wir im Bereich der Auf­trags­ver­ar­bei­tung alles rich­tig? Dann stel­len Sie Ihrem Per­so­nal oder dem Daten­schutz­be­auf­trag­ten die fol­gen­den Fra­gen und las­sen sich ent­spre­chen­de Nach­wei­se vorlegen.

compliance-im-datenschutz

Sie ken­nen das The­ma bereits und wol­len mehr Details wis­sen? Hier erhal­ten Sie mehr Detail­wis­sen für die Erstellung.

Sie wol­len in 4 Schrit­ten zum geeig­ne­ten Auf­trags­ver­ar­bei­ter? Hier erhal­ten Sie die pas­sen­den Informationen.

Sie wün­schen eine direk­te Kon­takt­auf­nah­me, um Ihre Fra­gen zum The­ma Auf­trags­ver­ar­bei­tung zu stellen? 

In 4 Schrit­ten zur rechts­kon­for­men Auftragsverarbeitung

Nach­fol­gend zei­ge ich Ihnen die 4 Schrit­te, wie Sie Auf­trags­ver­ar­bei­ter in Ihre Orga­ni­sa­ti­on integrieren.

Schritt 1: Holen Sie einen Spe­zia­lis­ten an Bord — schnel­ler geht es nicht.

Zunächst holen Sie sich einen Spe­zia­lis­ten, der seit vie­len Jah­ren unter­schied­li­che Auf­trags­ver­ar­bei­ter für ver­schie­de­ne Dienst­leis­tun­gen geprüft hat. 

Beach­ten Sie das Risi­ko für die betrof­fe­nen Personen!

Die Tie­fe der Prü­fung des Auf­trags­ver­ar­bei­ters ist abhän­gig von der Kom­ple­xi­tät der Ver­ar­bei­tung und dem Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen. Das Wis­sen für die Prü­fung des Auf­trags­ver­ar­bei­ters soll­ten Sie nicht allein durch den Fach­be­reich durch­füh­ren las­sen. Die­se Erfah­rung ist neben­be­ruf­lich nur schwer zu erlangen.

Schritt 2. Prü­fung der Auftragsverarbeitungsvereinbarung

Schlie­ßen Sie die AV-Ver­ein­ba­rung zusam­men mit dem kauf­män­ni­schen Ver­trag ab. Es gibt unter­schied­li­che Vari­an­ten von Ver­trä­gen zur Rege­lung der Rech­te und Pflich­ten der betei­lig­ten Par­tei­en: Einzel­verträge, Rah­men­ver­trä­ge mit Einzel­anlagen, als Anla­ge zu dem kauf­män­ni­schen Ver­trag, Online-Ser­vice-Terms oder EU-Stan­dar­d­­ver­trags­­klau­seln für vier unter­schied­li­che Ziel­grup­pen (Con­trol­ler-Pro­zes­sor, Pro­zes­sor-Pro­zes­sor usw.). 

Wel­che Par­tei die AV-Ver­ein­ba­rung zur Ver­fü­gung stellt, ist dabei egal. Im Mas­sen­ge­schäft, wie z. B. Web­hos­ter, die tau­sen­de von AV-Ver­ein­ba­run­gen abschlie­ßen, wird übli­cher­wei­se der Ver­ant­wort­li­che die AV-Ver­ein­ba­rung des Dienst­leis­ters akzep­tie­ren müs­sen. Ände­rungs­wün­sche wer­den eher sel­ten umgesetzt.

Wel­chen Ver­trag Sie auch wäh­len, die Vor­ga­ben der DSGVO müs­sen gere­gelt sein. Der Ver­trag soll­te kei­ne Par­tei über­vor­tei­len und kon­kret auf die Daten­ver­ar­bei­tung bezo­gen sein. Der Zeit­auf­wand für eine Prü­fung einer AV-Ver­ein­ba­rung liegt — je nach Daten­ver­ar­bei­tung — im Durch­schnitt zwi­schen 20 und 60 Minuten. 

Pro­to­kol­lie­ren Sie, was geprüft wor­den ist und zu wel­chem Ergeb­nis Sie gekom­men sind. Opti­mie­ren Sie die AV-Ver­ein­ba­rung, sofern dies mög­lich ist und legen die­se dann (beid­sei­tig unter­schrie­ben) im Ver­trags­ma­nage­ment oder im Daten­schutz-Manage­ment­sys­tem ab.

Schritt 3: Prü­fen Sie den Auf­trags­ver­ar­bei­ter auf Eignung

Jetzt wer­den wei­te­re Infor­ma­tio­nen zum Unter­neh­men genutzt, wie zum Bei­spiel die ein­ge­setz­ten Unter­auf­trags­ver­ar­bei­ter, den kauf­män­ni­schen Ver­trag, ggf. Pro­zess­be­schrei­bun­gen und der Gegen­stand der Ver­ar­bei­tung. Ermit­teln Sie das Risi­ko, dass der exter­ne Dienst­leis­ter mit sich bringt. 

Auf wel­che Infor­ma­tio­nen mit wel­chem Schutz­be­darf hat der Dienst­leis­ter Zugriff? Wel­che Kon­trol­le über Ihre Daten haben Sie noch? Wie häu­fig fin­det die Daten­ver­ar­bei­tung statt? Zie­hen Sie auch den Ein­blick bzw. Zugriff auf Ihre sons­ti­gen Daten in Ihre Über­le­gung mit ein. Was ist das Worst-Case-Szenario?

Beach­ten Sie die tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen!

Je nach Risi­ko der Ver­ar­bei­tung, die der Auftrags­verarbeiter mit sich bringt, soll­ten Sie nun den Dienst­leis­ter auf Eig­nung prü­fen. Sie müs­sen am Ende nach­wei­sen kön­nen, dass Sie — gemes­sen am Risi­ko der Ver­ar­bei­tung — die Prü­fung durch­ge­führt haben. Bei einem nor­ma­len Risi­ko soll­ten Sie ein paar ein­zel­ne Doku­men­te der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOMs) anfor­dern und schau­en, ob die­se fach­ge­recht erstellt wor­den sind.

Typi­sche Bei­spie­le sind: Vor­la­ge der Vertraulich­keits­vereinbarungen, Nach­wei­se von Schu­lun­gen der Beschäf­tig­ten mit Anga­ben zu den Schulungs­inhalten, bestehen­de Zer­ti­fi­ka­te oder einen Prüf­nach­weis des dor­ti­gen Daten­schutz­be­auf­trag­ten oder exter­nen Audi­to­ren mit Anga­be der Prüfinhalte.

Fokus­sie­ren Sie sich bei der Prüfung!

Set­zen Sie den Fokus auf die zu erbrin­gen­de Daten­ver­ar­bei­tung. Lie­fert der Auf­trags­ver­ar­bei­ter zeit­nah die gewünsch­ten Unter­la­gen? Sind die­se fach­ge­recht erstellt worden? 

Hier habe ich schon vie­le alte und feh­ler­haf­te Doku­men­te gese­hen. Ist der Dienst­leis­ter nicht in der Lage, die Unter­la­gen zur Ver­fü­gung zu stel­len oder wei­gert er sich: Ent­schei­den Sie, ob Sie den kauf­män­ni­schen Ver­trag über­haupt mit dem Dienst­leis­ter schlie­ßen wol­len oder den kauf­män­ni­schen Ver­trag rück­gän­gig machen. Sie dür­fen aus­schließ­lich Auf­trags­ver­ar­bei­ter ein­set­zen, die auch aus Daten­schutz­sicht und gemes­sen am Risi­ko für die Betrof­fe­nen geeig­net sind. 

Doku­men­tie­ren Sie Prüf­punk­te und ‑ergeb­nis­se in einem kur­zen Protokoll.

Schritt 4: regel­mä­ßi­ge Prü­fung des Auftragsverarbeiters 

Sie müs­sen jetzt noch einen Pro­zess ein­rich­ten, um nach­wei­sen zu kön­nen, dass Sie den Auf­trags­ver­ar­bei­ter auch regel­mä­ßig prü­fen. Ergän­zen Sie in der Über­sicht der Auf­trags­ver­ar­bei­ter ein Datum für die Wie­der­vor­la­ge

Doku­men­tie­ren Sie zum Bei­spiel im Daten­schutz-Hand­buch, was und wie häu­fig Sie Ihre Auf­trags­ver­ar­bei­ter prü­fen wer­den. Ein gesun­des Mit­tel­maß ist dabei zu wählen. 

DEfi­nie­ren Sie pro Auf­trags­ver­ar­bei­ter die Prüf­häu­fe und ‑tie­fe!

Grund­sätz­lich gilt auch hier: Machen Sie die Prüf­tie­fe und ‑häu­fig­keit davon abhän­gig, wie der Auf­trags­ver­ar­bei­ter auf Ihre Daten zugrei­fen kann und wel­che Risi­ken für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen (zum Bei­spiel Ihre Beschäf­tig­ten) ent­ste­hen kön­nen, wenn die Schutz­zie­le Ver­füg­bar­keit, Inte­gri­tät und Ver­trau­lich­keit ver­letzt werden.

Doku­men­tie­ren Sie die Änderungen!

Eine erneu­te Sich­tung des Auf­trags­ver­ar­bei­ters in einem Jahr (oder bei grund­legenden Ände­run­gen der Daten­ver­ar­bei­tung zeit­nah) sind der nächs­te Schritt. 

Las­sen Sie sich jähr­lich zum Bei­spiel in Text­form bestä­ti­gen, dass die Ansprech­part­ner noch kor­rekt sind, der Gegen­stand der Daten­ver­ar­bei­tung sich nicht ver­än­dert hat, kei­ne Betrof­fe­nen­rech­te bei dem Auf­trags­ver­ar­bei­ter gel­tend gemacht wor­den sind und kei­ne Daten­schutz­ver­let­zung statt­ge­fun­den hat (Nega­tiv­mel­dung).

Las­sen Sie sich die aktu­el­len tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOMs) zusen­den oder neue Zer­ti­fi­ka­te und doku­men­tie­ren Sie die Prü­fung der Unterlagen.

Sofern Sie in der Nähe des Dienst­leis­ters sind und eine Prü­fung mög­lich ist, ist ein Vor-Ort-Besuch eine gute Mög­lich­keit, die Zusam­men­ar­beit auch auf Daten­schutz­ebe­ne zu inten­si­vie­ren und sich einen Ein­druck von der Eig­nung des Auf­trags­ver­ar­bei­ters zu machen.

Auf­trags­ver­ar­bei­ter — Wie geht es weiter?

Ergän­zen Sie mit die­sen Infor­ma­tio­nen nun wei­te­re Doku­men­te, wie zum Bei­spiel die Infor­ma­ti­ons­pflich­ten, die Ver­zeich­nis­se der Ver­ar­bei­tungs­tä­tig­kei­ten, das Betrof­fe­nen­recht “Aus­kunft”, Ihre eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOMs) (Bereich Auf­trags­kon­trol­le) oder das Lösch­kon­zept.

Set­zen SIe jetzt mit dem Wis­sen wei­te­re Schrit­te um.

Je umfang­rei­cher die Geschäfts­prozesse sind, des­to wich­ti­ger wird es, die Risiko­bewertung der Auf­trags­ver­ar­bei­ter zu erstel­len. Das ist zwar sowie­so eine erfor­der­li­che Notwendig­keit. Sie müs­sen auf­grund der daten­schutz­recht­li­chen Nach­weis­pflich­ten dar­le­gen kön­nen, wie Sie das Risi­ko für Betrof­fe­ne bewer­tet haben. Dann besteht die Mög­lich­keit, sich auf die wirk­lich erforder­lichen Prü­fun­gen der Auf­trags­ver­ar­bei­ter zu fokus­sie­ren.

Weitere Vorgehensweise beim Datenschutz

Sie benö­ti­gen Unter­stüt­zung beim Prü­fen von Auf­trags­ver­ar­bei­tern? Mel­den Sie sich gerne.

Details zur Auftragsverarbeitung

Ver­ant­wort­lich­kei­ten

Zunächst muss fest­ge­legt wer­den, wel­che Par­tei wel­che Rech­te und Pflich­ten hat. Dabei ent­schei­det der Ver­ant­wort­li­che über die Zwe­cke (Was pas­siert mit den Daten?) und die Mit­tel (Wie wer­den die Daten ver­ar­bei­tet) der Daten­ver­ar­bei­tung. Der Ver­ant­wort­li­che ist die in der Auf­trags­ket­te bestim­men­de und wei­sungs­be­rech­tig­te Par­tei. Der beauf­trag­te Auf­trags­ver­ar­bei­ter ver­ar­bei­tet dann die Daten des Ver­ant­wort­li­chen auf Weisung. 

Bei­spiel: Der Ver­ant­wort­li­che beauf­tragt eine Mar­ke­ting­agen­tur (= Auf­trags­ver­ar­bei­ter) mit der Umset­zung einer E‑Mail-Kam­pa­gne für die eige­nen Kun­den. Mit dem Schlie­ßen des Ver­tra­ges darf der Ver­ant­wort­li­che die Daten der Betrof­fe­nen an den Auf­trags­ver­ar­bei­ter über­mit­teln. Der Auf­trags­ver­ar­bei­ter darf erst dann die Ver­ar­bei­tung für die vor­ab fest­ge­leg­ten Zwe­cke auf Wei­sung ver­ar­bei­ten und wird auf­grund der engen Bin­dung zum „ver­län­ger­ten Arm“ des Verantwortlichen.

Typi­sche Auftragsverarbeiter

Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Auf­trag muss eine Kern­tä­tig­keit sein. Hier gibt es eine gro­ße Grauzone. 

Typi­sche Auftrags­verarbeit­er sind:

Ach­tung: Schau­en Sie sich die verein­barte Dienst­­leistung genau an. Sind alle Tätig­kei­ten im kauf­­männischen Ver­trag oder in der AV-Ver­ein­­­ba­rung kon­kret beschrie­ben, die der Dienst­­leister erbrin­gen soll?

Ggf. stel­len auch nur Tei­le der Dienst­leistung eine Auftrags­verarbeitung dar. Nur die­se sind dann in einer Auftrags­­verarbeitungs­­verarbeitung vertrag­lich zu regeln.

Bei der Aus­wahl und Bestim­mung der Auf­trags­ver­ar­bei­ter soll­ten Sie einen Exper­ten hin­zu­zie­hen. Sie benö­ti­gen Unter­stüt­zung zu die­sem Thema?

Bei­spie­le von Nicht-Auftragsverarbeiter

Neben den Auf­trags­ver­ar­bei­tern gibt es noch diver­se wei­te­re Unter­neh­men, die eine Dienst­leis­tung erbrin­gen, in denen die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ledig­lich eine Neben­sa­che ist und nicht den Kern der Daten­ver­ar­bei­tung betrifft.

Auch ist kei­ne Auftrags­verarbeitungs­­vereinbarung abzu­schlie­ßen, wenn kein Weisungs­recht besteht, bei rei­nen Transport­­unternehmen oder wenn die Tätig­keit ein hohes Maß an Entscheidungs­­spielräumen mit sich bringt. 

Mein Tipp: Auch wenn die Tätig­kei­ten kei­ne Auf­trags­ver­ar­bei­tung dar­stel­len – schlie­ßen Sie mit dem Dienst­leis­ter eine Ver­trau­lich­keits­ver­ein­ba­rung ab. Dies ist immer dann not­wen­dig, wenn Sie sicher­zu­stel­len wol­len, dass die Daten, die im Rah­men der Zusam­men­ar­beit aus­ge­tauscht wer­den, auch wirk­lich ver­trau­lich im Sin­ne des Geschäfts­ge­heim­nis­ge­setz ver­ar­bei­tet werden.

Doku­men­tie­ren Sie mit dem Dienst­leis­ter eine ein­heit­li­che und stim­mi­ge Begrün­dung, war­um eine Auf­trags­ver­ar­bei­tung besteht bzw. nicht. Auch die Auf­sichts­be­hör­den in den unter­schied­li­chen Bun­des­län­dern sind sich hier nicht immer einig. Teil­wei­se wird dies eine Ein­zel­fall­ent­schei­dung bleiben.

Wei­te­re The­men rund um die Auftragsverarbeitung

Rund um das The­ma Auf­trags­ver­ar­bei­tung gibt es noch diver­se ande­re Punk­te, die in der Umset­zung Fra­gen auf­wer­fen. Eini­ge davon wer­den hier dar­ge­stellt. Die­se sind im Detail zwi­schen den Ver­trags­par­tei­en zu klären. 

Sie sehen – das The­ma Auf­trags­ver­ar­bei­tung ist ein umfang­rei­ches The­ma. Bei der Aus­wahl und Bestim­mung der Auf­trags­ver­ar­bei­ter soll­ten Sie einen Exper­ten hin­zu­zie­hen. Sie benö­ti­gen Unter­stüt­zung zu die­sem Thema?

Kon­ti­nu­ier­li­che Verbesserung

Ver­bes­sern bedeu­tet vor­ran­gig Pro­ble­me lösen. Pro­ble­me lösen wie­der­um heißt, Ler­nen und Anpas­sung.  Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situa­ti­on des Unter­nehmens per­ma­nent infra­ge und star­tet im Unter­neh­men einen wieder­kehrenden Regel­kreis zur Verbess­erung der Abläu­fe und Prozesse. 

Auch bei der Umset­zung der Anfor­de­run­gen im Bereich „Auf­trags­ver­ar­bei­tung“ es einen ste­ti­gen Ver­bes­se­rungs­pro­zess durch regel­mäßige Aktua­li­sie­run­gen und fes­te Ein­bin­dung im Gestal­tungs­pro­zess von Geschäftsprozessen.

Blei­ben SIe aktuell!

Erstel­len auch Sie einen Regel­kreis, damit Ihre Über­sicht der Auf­trags­ver­ar­bei­ter und die Ver­ein­ba­run­gen zur Auf­trags­ver­ar­bei­tung aktu­ell sind und die Auf­trags­ver­ar­bei­ter regel­mä­ßig geprüft werden.

Die Prü­fun­gen und Aktua­li­sie­run­gen füh­ren nicht sel­ten zur Opti­mie­rung der Daten­schutz-Umge­bung des Ver­ant­wort­li­chen und damit zum Schutz von betrof­fe­nen Personen.

Plan

Ist-Ana­ly­se der vor­han­de­nen Auf­trags­ver­ar­bei­ter und Erstel­lung eines Pro­zes­ses für die Beauf­tra­gung neu­er Auftragsverarbeiter.

Do

Bestim­mung des Risi­kos der Daten­ver­ar­bei­tung für betrof­fe­ne Per­so­nen und Fest­le­gung und Durch­füh­rung von Eig­nungs­prü­fun­gen der Ver­trä­ge und Auftragsverarbeiter.

Act

Aktua­li­sie­rung der Doku­men­ta­ti­on in alle Berei­chen, wie z. B. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten, Vor­la­gen für Aus­kunfts­pro­zes­se oder Informationspflichten.

Check

Erneu­te Prü­fung der Aktua­li­tät und Eig­nung aller Auf­trags­ver­ar­bei­ter und AV-Vereinbarungen.

Leis­tun­gen

Bei den meis­ten Geschäfts­pro­zes­sen wer­den per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Fin­den Sie hier mei­ne Dienst­leis­tun­gen, die ich Unter­neh­men seit vie­len Jah­ren zur Ver­fü­gung stelle. 

Cle­ver sein — Auf­trags­ver­ar­bei­ter effi­zi­ent und pra­xis­nah einbinden

Ich unter­stüt­ze Sie bei dem Manage­ment Ihrer Auf­trags­ver­ar­bei­ter. Nut­zen Sie mei­ne mehr­jäh­ri­ge Exper­ti­se, um zügig Auf­trags­ver­ar­bei­ter geset­zes­kon­form einzubinden. 

Ich habe in den letz­ten Jah­ren hun­der­te von Auf­trags­ver­ar­bei­tungs­ver­ein­ba­run­gen und Auf­trags­ver­ar­bei­ter geprüft und ver­fü­ge hier über ein detail­lier­tes Wis­sen bei der Bestim­mung des Risi­kos für betrof­fe­ne Personen.

Buchen Sie ein ent­spre­chen­des Modul oder punk­tu­ell zur Unter­stüt­zung. Ich bie­te Ihnen die Doku­men­ta­ti­on in Ihrem Ziel­sys­tem. Die Bera­tung kann bei Ihnen vor Ort oder per Video­kon­fe­renz erfol­gen. 

Als Daten­schutz­be­auf­trag­ter ist die Unter­stüt­zung bei dem Ein­satz von Auf­trags­ver­ar­bei­tern fes­ter Bestandteil. 

Fra­gen und Ant­wor­ten zur Auftragsverarbeitung

Jedes Unter­nehmen, wel­ches per­so­nen­be­zo­ge­ne Daten durch Auf­trags­ver­ar­bei­ter ver­ar­bei­ten lässt, hat die gesetz­li­che Pflicht, den Auf­trags­ver­b­ar­bei­ter vor­ab und dann regel­mä­ßig zu prü­fen. Da immer noch viel Unsi­cher­heit in die­sem The­ma besteht, fin­den Sie hier ein paar Ant­wor­ten auf die häu­figs­ten Fra­gen:

Die „Auf­trags­ver­ar­bei­tung“ ist eine spe­zi­fi­sche Form der Aus­la­ge­rung bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Das ver­ant­wort­li­che Unter­neh­men ver­la­gert dabei Teil­auf­ga­ben, die er selbst nicht vor­neh­men kann oder will. Wer­den dabei per­so­nen­be­zo­ge­ne Daten durch einen exter­nen Dienst­leis­ter (= Auf­trags­ver­ar­bei­ter) ver­ar­bei­tet, han­delt es sich übli­cher­wei­se um eine Auftragsverarbeitung.

Bei­spiel: Ein Unter­neh­men über­nimmt im Auf­trag des Ver­ant­wort­li­chen die fach­ge­rech­te Ver­nich­tung von Doku­men­ten oder Datenträgern.

Eine Auf­trags­ver­ar­bei­tung liegt vor, wenn die fol­gen­den Punk­te zutreffen:

1.Es wer­den bei dem Ver­ar­bei­tungs­pro­zess per­so­nen­be­zo­ge­ne Daten verarbeitet.

Per­so­nen­be­zo­ge­ne Daten sind zum Bei­spiel Infor­ma­tio­nen über Kun­den und Beschäftigte.

Hier­zu zäh­len pri­va­te oder dienst­li­che Anga­ben, wie z. B. Name, Alter, Fami­li­en­stand oder Kon­takt­da­ten wie z. B.  Anschrift, Tele­fon­num­mer, E‑Mail-Adres­se, Bank­ver­bin­dungs­da­ten wie Kon­to- oder Kre­dit­kar­ten­num­mer, Kfz-Kenn­zei­chen, Per­so­nal­aus­weis- und Sozialversicherungsdaten,

Auch Fotos oder Video­auf­nah­men sind übli­cher­wei­se personenbezogen.

2. Das Unter­neh­men, das die Ver­ar­bei­tung durch­führt, ist nicht verantwortlich.

Das gilt dann, wenn das Unter­neh­men nicht über die Zwe­cke und Mit­tel der Daten­ver­ar­bei­tung entscheidet.

Diver­se Bei­spie­le für typi­sche Auf­trags­ver­ar­bei­tun­gen fin­den Sie oben im Text.

Eine AV-Ver­ein­ba­rung muss geschlos­sen wer­den, wenn die Kern­tä­tig­keit des Dienst­leis­ters aus der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten besteht und im Auf­trag für des Ver­ant­wort­li­chen auf Wei­sung erbracht wird.

Sofern Sie ver­pflich­tet sind, einen Datenschutz­beauftragten zu bestel­len, kon­tak­tie­ren Sie ihn unver­züglich, um den Sach­ver­halt zu klä­ren. Sind Sie nicht ver­pflich­tet, neh­men Sie Kon­takt mit dem Auftrags­verarbeiter auf und klä­ren, ob er eben­falls die Notwendig­keit einer AV-Ver­ein­ba­rung sieht. Sofern kein Know-how in die­sem Bereich vor­liegt, kon­tak­tie­ren Sie z. B. einen exter­nen Datenschutz­berater oder ‑beauf­trag­ten. Der Nicht-Abschluss einer AV-Ver­ein­ba­rung kann für bei­de Par­tei­en zu einer Ordnungs­widrigkeit und zu einem Buß­geld führen.

Der Ver­ant­wort­li­che bestimmt die Mit­tel, d. h. die Art und Wei­se der Ver­ar­bei­tung. Der Auf­trags­ver­ar­bei­ter unter­stützt den Ver­ant­wort­li­chen bei der Umset­zung der Ver­ar­bei­tung. Er erhält kla­re Vor­ga­ben, wie die Ver­ar­bei­tung durch­zu­füh­ren ist. Die­se wer­den indi­vi­du­ell  und ver­trag­lich festgelegt.

Der Auf­trags­ver­ar­bei­ter hat zwar Spiel­räu­me bei der Umset­zung, die Zwe­cke wer­den aber vom Ver­ant­wort­li­chen vor­ge­ge­ben. Es gilt eine stren­ge Zweck­bin­dung, d. h. der Auf­trags­ver­ar­bei­ter darf die Daten nicht für eige­ne Zwe­cke verarbeiten.

Gemäß der Rechts­auf­fas­sung der Daten­schutz-Auf­sichts­be­hör­den ist der Abschluss einer AV-Ver­ein­ba­rung für IT-Dienst­leis­ter erfor­der­lich, wenn per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet und auch ein­ge­se­hen wer­den kön­nen. Dies ist übli­cher­wei­se bei Feh­ler­ana­ly­sen, bei Fern­war­tung oder bei Sup­port-Arbei­ten der Fall.

Ja, wenn die Ver­nich­tung der Daten (z. B. des Papier­mülls) ver­trag­lich fest­ge­legt wor­den ist. Sofern ledig­lich Rei­ni­gungs­ar­bei­ten durch­ge­führt wer­den, ist dies übli­cher­wei­se nicht der Fall, auch wenn das Unter­neh­men Ein­blick in per­so­nen­be­zo­ge­ne Daten neh­men kann. Hier soll­te dann ent­spre­chen­de tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men eta­bliert wer­den, um die Sicher­heit der Daten zu erhö­hen. Dazu gehö­ren z. B. eine Clean-Desk-Richt­li­nie für die Beschäf­tig­ten, Zutritts­be­schrän­kun­gen, regel­mä­ßi­ge Kon­trol­len, Abschluss von Ver­trau­lich­keits­ver­ein­ba­run­gen oder die Rei­ni­gung wäh­rend der Arbeits­zei­ten. Der Umfang der Maß­nah­men soll­te sich am Risi­ko der Ver­ar­bei­tung für die betrof­fe­nen Per­so­nen oder des Unter­neh­mens (Geschäfts­ge­heim­nis­se) ausrichten.

Nein. Auch hier liegt kei­ne Auf­trags­ver­ar­bei­tung vor. Die Ver­ar­bei­tung der personen­bezogenen Daten zur Zustel­lung ist zwar erfor­der­lich, jedoch nicht die Kerntätigkeit.

Nein, zwi­schen der WEG und der Hausver­waltung liegt meist kei­ne Auftrags­verarbeitung vor. Die Haus­ver­wal­tung ist dabei gem. § 27 des Geset­zes über das Wohnungs­eigentum und das Dauerwohn­recht (WEG) ein eige­ner Verantwortlicher.

Kon­takt

Buchen Sie ein kos­ten­frei­es Erst­ge­spräch und las­sen Sie uns über Ihr Pro­jekt sprechen.

kontakt-niehoff-systemberatung