Praxisnahe Umsetzung seit 2013
Ihr Experte für Datenschutz und Informationssicherheit
Auftragsverarbeitung
Auftragsverarbeitung: Können Sie als Unternehmensleitung diese 5 Fragen beantworten?
Home » Datenschutz-Grundlagen » Auftragsverarbeitung
Auftragsverarbeitung: Der Überblick
Einleitung
Aber halt — wer haftet, wenn der Dienstleister nicht korrekt mit Ihren Daten umgeht, für die Sie eigentlich die Verantwortung übernommen haben?
Denn: Sie bleiben als Verantwortlicher grundsätzlich für die Verfehlungen Ihrer Dienstleister verantwortlich. Wenn sich im Nachhinein herausstellt, dass der Dienstleister gar nicht geeignet war und Sie das hätten wissen können, bleibt womöglich die Haftung auf Ihrer Seite.
Das Geheimnis der Umsetzung: Suchen Sie sich geeignete Dienstleister, die für Sie im Auftrag personenbezogene Daten verarbeiten.
Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.
Inhalte
Risiken beim Einsatz von Auftragsverarbeitern
Als Verantwortlicher müssen Sie dafür sorgen, dass alle gesetzlichen Vorgaben im Datenschutz umgesetzt werden. Während Sie im eigenen Unternehmen eine gute Kontrolle über Ihre internen Bereiche haben, ist dies bei externen Dienstleistern mit zusätzlichem Aufwand verbunden.
Durch das Outsourcing ergeben sich diverse Herausforderungen. Wie weisen Sie zum Beispiel nach, dass der Auftragsverarbeiter „geeignet“ ist? Wie steuern Sie den Einsatz der Auftragsverarbeiter und stellen sicher, dass Sie am Ende weitgehend aus der Haftung kommen, wenn der Dienstleister nicht fachgerecht mit Ihren Daten umgeht?
Beachten Sie mögliche Sanktionen!
Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden, weil Sie oder in diesem Fall Ihr Auftragsverarbeiter die Vorgaben des Datenschutzes nicht eingehalten haben? Geldbußen werden auch verhängt, wenn keine rechtskonformen Vereinbarungen zur Auftragsverarbeitung vorliegen.
Die Höhe variiert sicherlich von Unternehmen zu Unternehmen und dem Risiko der Verarbeitung für die betroffenen Personen, aber Verfehlungen können teuer werden.
Der Gesetzgeber hat vorgesehen, dass die Unternehmen die Auftragsverarbeiter vor der Zusammenarbeit und danach regelmäßig prüfen müssen — und zwar gemessen am Risiko der Verarbeitung. Eine intensive Auseinandersetzung aus einer Datenschutzsicht ist daher erforderlich, um die nachfolgenden Pflichten erfüllen zu können.
Bereits bei der Auswahl der Auftragsverarbeiter sollten Sie entsprechende Qualifikationsnachweise anfordern. Ist der kaufmännische Vertrag bereits unterschrieben, kann es schwieriger werden, sich wieder von dem Dienstleister zu trennen, wenn Sie merken, dass mit Ihren Daten nicht fachgerecht umgegangen wird.
Denken Sie an die Folgeaufgaben!
Eine gute Dokumentation der Auftragsverarbeiter ist entscheidend, um die Übersicht zu behalten. Wiederkehrende Prüfungen sind, gemessen am Risiko durchzuführen und in der Dokumentation abzulegen.
Prüffragen für die Geschäftsleitung
Fragen Sie sich als Vertretung der Geschäftsleitung: Machen wir im Bereich der Auftragsverarbeitung alles richtig? Dann stellen Sie Ihrem Personal oder dem Datenschutzbeauftragten die folgenden Fragen und lassen sich entsprechende Nachweise vorlegen.
- Wurde mit jedem Auftragsverarbeiter eine Vereinbarung zur Auftragsverarbeitung geschlossen und haben Sie nachweislich geprüft, ob im Vertrag alle Elemente enthalten sind, die in der DSGVO in Art. 28 und 29 DSGVO vorgegeben sind? Gibt es dazu ein Prüfprotokoll?
- Haben Sie für alle Auftragsverarbeiter gem. Art. 28 Abs. 1 DSGVO geeignete Garantien vorliegen und geprüft? Entsprechen die eingesetzten Verfahren, Maßnahmen und Kontrollen den Anforderungen der DSGVO und vor allem dem Risiko für der betroffenen Personen?
- Wurde Ihnen im Vertrag als Verantwortlicher bei der Inanspruchnahme weiterer Auftragsverarbeiter durch den Auftragsverarbeiter die Zustimmung oder zumindest ein Widerspruchsrecht eingeräumt?
- Werden Änderungen im Verzeichnis versioniert, so dass die Neuaufnahme, die inhaltliche Veränderung oder ein Wechsel eines Auftragsverarbeiters nachvollziehbar sind?
- Ist ein Prozess etabliert, um die Einhaltung der vertraglichen Regelungen durch den Auftragsverarbeiter zu überwachen, um sicherzustellen, dass die Verarbeitung und Gewährleistung der Sicherheit der personenbezogenen Daten bei dem Auftragsverarbeiter nach Ihren Vorgaben durchgeführt wird?
Sie kennen das Thema bereits und wollen mehr Details wissen? Hier erhalten Sie mehr Detailwissen.
Sie wollen in 4 Schritten zum geeigneten Auftragsverarbeiter? Hier erhalten Sie die passenden Informationen.
Sie wünschen eine direkte Kontaktaufnahme, um Ihre Fragen zum Thema Auftragsverarbeitung zu stellen?
In 4 Schritten zur rechtskonformen Auftragsverarbeitung
Nachfolgend zeige ich Ihnen die 4 Schritte, wie Sie Auftragsverarbeiter in Ihre Organisation integrieren.
Schritt 1: Holen Sie einen Spezialisten an Bord — schneller geht es nicht.
Zunächst holen Sie sich einen Spezialisten, der seit vielen Jahren unterschiedliche Auftragsverarbeiter für verschiedene Dienstleistungen geprüft hat.
Beachten Sie das Risiko für die betroffenen Personen!
Die Tiefe der Prüfung des Auftragsverarbeiters ist abhängig von der Komplexität der Verarbeitung und dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Das Wissen für die Prüfung des Auftragsverarbeiters sollten Sie nicht allein durch den Fachbereich durchführen lassen. Diese Erfahrung ist nebenberuflich nur schwer zu erlangen.
Schritt 2. Prüfung der Auftragsverarbeitungsvereinbarung
Welche Partei die AV-Vereinbarung zur Verfügung stellt, ist dabei egal. Im Massengeschäft, wie z. B. Webhoster, die tausende von AV-Vereinbarungen abschließen, wird üblicherweise der Verantwortliche die AV-Vereinbarung des Dienstleisters akzeptieren müssen. Änderungswünsche werden eher selten umgesetzt.
Welchen Vertrag Sie auch wählen, die Vorgaben der DSGVO müssen geregelt sein. Der Vertrag sollte keine Partei übervorteilen und konkret auf die Datenverarbeitung bezogen sein. Der Zeitaufwand für eine Prüfung einer AV-Vereinbarung liegt — je nach Datenverarbeitung — im Durchschnitt zwischen 20 und 60 Minuten.
Protokollieren Sie, was geprüft worden ist und zu welchem Ergebnis Sie gekommen sind. Optimieren Sie die AV-Vereinbarung, sofern dies möglich ist und legen diese dann (beidseitig unterschrieben) im Vertragsmanagement oder im Datenschutz-Managementsystem ab.
Schritt 3: Prüfen Sie den Auftragsverarbeiter auf Eignung
Jetzt werden weitere Informationen zum Unternehmen genutzt, wie zum Beispiel die eingesetzten Unterauftragsverarbeiter, den kaufmännischen Vertrag, ggf. Prozessbeschreibungen und der Gegenstand der Verarbeitung. Ermitteln Sie das Risiko, dass der externe Dienstleister mit sich bringt.
Auf welche Informationen mit welchem Schutzbedarf hat der Dienstleister Zugriff? Welche Kontrolle über Ihre Daten haben Sie noch? Wie häufig findet die Datenverarbeitung statt? Ziehen Sie auch den Einblick bzw. Zugriff auf Ihre sonstigen Daten in Ihre Überlegung mit ein. Was ist das Worst-Case-Szenario?
Beachten Sie die technischen und organisatorischen Maßnahmen!
Je nach Risiko der Verarbeitung, die der Auftragsverarbeiter mit sich bringt, sollten Sie nun den Dienstleister auf Eignung prüfen. Sie müssen am Ende nachweisen können, dass Sie — gemessen am Risiko der Verarbeitung — die Prüfung durchgeführt haben. Bei einem normalen Risiko sollten Sie ein paar einzelne Dokumente der technischen und organisatorischen Maßnahmen (TOMs) anfordern und schauen, ob diese fachgerecht erstellt worden sind.
Typische Beispiele sind: Vorlage der Vertraulichkeitsvereinbarungen, Nachweise von Schulungen der Beschäftigten mit Angaben zu den Schulungsinhalten, bestehende Zertifikate oder einen Prüfnachweis des dortigen Datenschutzbeauftragten oder externen Auditoren mit Angabe der Prüfinhalte.
Fokussieren Sie sich bei der Prüfung!
Setzen Sie den Fokus auf die zu erbringende Datenverarbeitung. Liefert der Auftragsverarbeiter zeitnah die gewünschten Unterlagen? Sind diese fachgerecht erstellt worden?
Hier habe ich schon viele alte und fehlerhafte Dokumente gesehen. Ist der Dienstleister nicht in der Lage, die Unterlagen zur Verfügung zu stellen oder weigert er sich: Entscheiden Sie, ob Sie den kaufmännischen Vertrag überhaupt mit dem Dienstleister schließen wollen oder den kaufmännischen Vertrag rückgängig machen. Sie dürfen ausschließlich Auftragsverarbeiter einsetzen, die auch aus Datenschutzsicht und gemessen am Risiko für die Betroffenen geeignet sind.
Dokumentieren Sie Prüfpunkte und ‑ergebnisse in einem kurzen Protokoll.
Schritt 4: regelmäßige Prüfung des Auftragsverarbeiters
Sie müssen jetzt noch einen Prozess einrichten, um nachweisen zu können, dass Sie den Auftragsverarbeiter auch regelmäßig prüfen. Ergänzen Sie in der Übersicht der Auftragsverarbeiter ein Datum für die Wiedervorlage.
Dokumentieren Sie zum Beispiel im Datenschutz-Handbuch, was und wie häufig Sie Ihre Auftragsverarbeiter prüfen werden. Ein gesundes Mittelmaß ist dabei zu wählen.
DEfinieren Sie pro Auftragsverarbeiter die Prüfhäufe und ‑tiefe!
Grundsätzlich gilt auch hier: Machen Sie die Prüftiefe und ‑häufigkeit davon abhängig, wie der Auftragsverarbeiter auf Ihre Daten zugreifen kann und welche Risiken für die Rechte und Freiheiten der betroffenen Personen (zum Beispiel Ihre Beschäftigten) entstehen können, wenn die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit verletzt werden.
Dokumentieren Sie die Änderungen!
Eine erneute Sichtung des Auftragsverarbeiters in einem Jahr (oder bei grundlegenden Änderungen der Datenverarbeitung zeitnah) sind der nächste Schritt.
Lassen Sie sich jährlich zum Beispiel in Textform bestätigen, dass die Ansprechpartner noch korrekt sind, der Gegenstand der Datenverarbeitung sich nicht verändert hat, keine Betroffenenrechte bei dem Auftragsverarbeiter geltend gemacht worden sind und keine Datenschutzverletzung stattgefunden hat (Negativmeldung).
Lassen Sie sich die aktuellen technischen und organisatorischen Maßnahmen (TOMs) zusenden oder neue Zertifikate und dokumentieren Sie die Prüfung der Unterlagen.
Sofern Sie in der Nähe des Dienstleisters sind und eine Prüfung möglich ist, ist ein Vor-Ort-Besuch eine gute Möglichkeit, die Zusammenarbeit auch auf Datenschutzebene zu intensivieren und sich einen Eindruck von der Eignung des Auftragsverarbeiters zu machen.
Auftragsverarbeiter — Wie geht es weiter?
Ergänzen Sie mit diesen Informationen nun weitere Dokumente, wie zum Beispiel die Informationspflichten, die Verzeichnisse der Verarbeitungstätigkeiten, das Betroffenenrecht “Auskunft”, Ihre eigenen technischen und organisatorischen Maßnahmen (TOMs) (Bereich Auftragskontrolle) oder das Löschkonzept.
Setzen SIe jetzt mit dem Wissen weitere Schritte um.
Je umfangreicher die Geschäftsprozesse sind, desto wichtiger wird es, die Risikobewertung der Auftragsverarbeiter zu erstellen. Das ist zwar sowieso eine erforderliche Notwendigkeit. Sie müssen aufgrund der datenschutzrechtlichen Nachweispflichten darlegen können, wie Sie das Risiko für Betroffene bewertet haben. Dann besteht die Möglichkeit, sich auf die wirklich erforderlichen Prüfungen der Auftragsverarbeiter zu fokussieren.
Sie benötigen Unterstützung beim Prüfen von Auftragsverarbeitern? Melden Sie sich gerne.
Details zur Auftragsverarbeitung
Verantwortlichkeiten
Zunächst muss festgelegt werden, welche Partei welche Rechte und Pflichten hat. Dabei entscheidet der Verantwortliche über die Zwecke (Was passiert mit den Daten?) und die Mittel (Wie werden die Daten verarbeitet) der Datenverarbeitung. Der Verantwortliche ist die in der Auftragskette bestimmende und weisungsberechtigte Partei. Der beauftragte Auftragsverarbeiter verarbeitet dann die Daten des Verantwortlichen auf Weisung.
Beispiel: Der Verantwortliche beauftragt eine Marketingagentur (= Auftragsverarbeiter) mit der Umsetzung einer E‑Mail-Kampagne für die eigenen Kunden. Mit dem Schließen des Vertrages darf der Verantwortliche die Daten der Betroffenen an den Auftragsverarbeiter übermitteln. Der Auftragsverarbeiter darf erst dann die Verarbeitung für die vorab festgelegten Zwecke auf Weisung verarbeiten und wird aufgrund der engen Bindung zum „verlängerten Arm“ des Verantwortlichen.
Typische Auftragsverarbeiter
Die Verarbeitung personenbezogener Daten im Auftrag muss eine Kerntätigkeit sein. Hier gibt es eine große Grauzone.
Typische Auftragsverarbeiter sind:
- Hosting von Websites oder Cloudspeicher
- Software-as-a-Service-Anbieter
- Werbeagenturen (z. B. Verarbeitung von E‑Mailadressen im Rahmen eines Gewinnspiels)
- Akten- und Datenträgervernichtung durch externe Dienstleister
- Lohn- und Gehaltsabrechnung oder Finanzbuchhaltung (Ausnahme: Steuerberatungen)
- IT-Wartung- und Supporttätigkeiten – auch Fernwartung
- Technischer Versanddienstleister für E‑Mails
- Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
- Dienstleister für Callcenter-Tätigkeiten
Achtung: Schauen Sie sich die vereinbarte Dienstleistung genau an. Sind alle Tätigkeiten im kaufmännischen Vertrag oder in der AV-Vereinbarung konkret beschrieben, die der Dienstleister erbringen soll?
Ggf. stellen auch nur Teile der Dienstleistung eine Auftragsverarbeitung dar. Nur diese sind dann in einer Auftragsverarbeitungsverarbeitung vertraglich zu regeln.
Bei der Auswahl und Bestimmung der Auftragsverarbeiter sollten Sie einen Experten hinzuziehen. Sie benötigen Unterstützung zu diesem Thema?
Beispiele von Nicht-Auftragsverarbeiter
Neben den Auftragsverarbeitern gibt es noch diverse weitere Unternehmen, die eine Dienstleistung erbringen, in denen die Verarbeitung personenbezogener Daten lediglich eine Nebensache ist und nicht den Kern der Datenverarbeitung betrifft.
Mein Tipp: Auch wenn die Tätigkeiten keine Auftragsverarbeitung darstellen – schließen Sie mit dem Dienstleister eine Vertraulichkeitsvereinbarung ab. Dies ist immer dann notwendig, wenn Sie sicherzustellen wollen, dass die Daten, die im Rahmen der Zusammenarbeit ausgetauscht werden, auch wirklich vertraulich im Sinne des Geschäftsgeheimnisgesetz verarbeitet werden.
Dokumentieren Sie mit dem Dienstleister eine einheitliche und stimmige Begründung, warum eine Auftragsverarbeitung besteht bzw. nicht. Auch die Aufsichtsbehörden in den unterschiedlichen Bundesländern sind sich hier nicht immer einig. Teilweise wird dies eine Einzelfallentscheidung bleiben.
- Housing“, d.h. Vermietung von Hardware ohne Datenzugriff
- Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, etc.)
- Inkasso-Dienstleister mit Forderungsübertragung
- Insolvenzverwalter
- Bankinstitute (Geldtransfer)
- WEG-Verwalter
- Detektive im Bereich der Observierung und Überwachung
- Hersteller und Großhandel im Rahmen einer beauftragten Warenzusendung
- Internet-Markplatzbetreiber
- Personalvermittlung
- Reine Telekommunikationsanbieter
- Finanz- und Versicherungsmakler und ‑vermittler
- Schulungsanbieter (Präsenzunterricht)
- Personenbeförderung
- und viele mehr
Weitere Themen rund um die Auftragsverarbeitung
Rund um das Thema Auftragsverarbeitung gibt es noch diverse andere Punkte, die in der Umsetzung Fragen aufwerfen. Einige davon werden hier dargestellt. Diese sind im Detail zwischen den Vertragsparteien zu klären.
- Sprache der Auftragsverarbeitungsvereinbarung
- Haftung zwischen dem Verantwortlichen und dem Auftragsverarbeiter
- Rechte und Pflichten der Beteiligten
- Dokumentation der Weisungen bei den Beteiligten
- Einsatz von Unterauftragsverarbeitern
- Übermittlungen in Drittländer
- Ablehnung von rechtswidrigen oder unzumutbaren Weisungen
- Verfahren bei mündlichen Weisungen
- Darstellung und Konkretheit der technischen und organisatorischen Maßnahmen
- Gestaltung des Verzeichnisses von Verarbeitungstätigkeiten für Auftragsverarbeiter
- Gestaltung der Löschprozesse
- Prozesse zur Meldung von Datenschutzverletzungen
- Prozesse zur Erfüllung der Betroffenenrechte
- Kontrollrechte und Umsetzung durch den Verantwortlichen
- Einsatz und Beweiskraft von Zertifikaten
- Einsatz von weiteren Auftragsverbeitern in Drittländern
- Beginn und Ende der AV-Vereinbarung
- Vorgehen bei Insolvenz des Auftragsverarbeiters oder des Verantwortlichen
- Aufwandsentschädigung für den Auftragsverarbeiter
- Vertragsarten und Form (schritlich, AGB etc.)
Sie sehen – das Thema Auftragsverarbeitung ist ein umfangreiches Thema. Bei der Auswahl und Bestimmung der Auftragsverarbeiter sollten Sie einen Experten hinzuziehen. Sie benötigen Unterstützung zu diesem Thema? Nehmen Sie gerne Kontakt auf.
Kontinuierliche Verbesserung
Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, Lernen und Anpassung. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unternehmens permanent infrage und startet im Unternehmen einen wiederkehrenden Regelkreis zur Verbesserung der Abläufe und Prozesse.
Auch bei der Umsetzung der Anforderungen im Bereich „Auftragsverarbeitung“ es einen stetigen Verbesserungsprozess durch regelmäßige Aktualisierungen und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen.
Bleiben SIe aktuell!
Erstellen auch Sie einen Regelkreis, damit Ihre Übersicht der Auftragsverarbeiter und die Vereinbarungen zur Auftragsverarbeitung aktuell sind und die Auftragsverarbeiter regelmäßig geprüft werden.
Die Prüfungen und Aktualisierungen führen nicht selten zur Optimierung der Datenschutz-Umgebung des Verantwortlichen und damit zum Schutz von betroffenen Personen.
Ist-Analyse der vorhandenen Auftragsverarbeiter und Erstellung eines Prozesses für die Beauftragung neuer Auftragsverarbeiter.
Bestimmung des Risikos der Datenverarbeitung für betroffene Personen und Festlegung und Durchführung von Eignungsprüfungen der Verträge und Auftragsverarbeiter.
Aktualisierung der Dokumentation in alle Bereichen, wie z. B. Verzeichnis der Verarbeitungstätigkeiten, Vorlagen für Auskunftsprozesse oder Informationspflichten.
Erneute Prüfung der Aktualität und Eignung aller Auftragsverarbeiter und AV-Vereinbarungen.
Clever sein — Auftragsverarbeiter effizient und praxisnah einbinden
Ich unterstütze Sie bei dem Management Ihrer Auftragsverarbeiter. Nutzen Sie meine mehrjährige Expertise, um zügig Auftragsverarbeiter gesetzeskonform einzubinden.
- Praxisnahe Prüfung von Auftragsverarbeitern
- Fokus im norddeutschen Raum
- Zeitnah verfügbar, vor Ort und digital
Häufig gestellte Fragen zur Auftragsverarbeitung
Jedes Unternehmen, welches personenbezogene Daten durch Auftragsverarbeiter verarbeiten lässt, hat die gesetzliche Pflicht, den Auftragsverbarbeiter vorab und dann regelmäßig zu prüfen. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein paar Antworten auf die häufigsten Fragen:
Die „Auftragsverarbeitung“ ist eine spezifische Form der Auslagerung bei der Verarbeitung personenbezogener Daten. Das verantwortliche Unternehmen verlagert dabei Teilaufgaben, die er selbst nicht vornehmen kann oder will. Werden dabei personenbezogene Daten durch einen externen Dienstleister (= Auftragsverarbeiter) verarbeitet, handelt es sich üblicherweise um eine Auftragsverarbeitung.
Beispiel: Ein Unternehmen übernimmt im Auftrag des Verantwortlichen die fachgerechte Vernichtung von Dokumenten oder Datenträgern.
Eine Auftragsverarbeitung liegt vor, wenn die folgenden Punkte zutreffen:
1.Es werden bei dem Verarbeitungsprozess personenbezogene Daten verarbeitet.
Personenbezogene Daten sind zum Beispiel Informationen über Kunden und Beschäftigte.
Hierzu zählen private oder dienstliche Angaben, wie z. B. Name, Alter, Familienstand oder Kontaktdaten wie z. B. Anschrift, Telefonnummer, E‑Mail-Adresse, Bankverbindungsdaten wie Konto- oder Kreditkartennummer, Kfz-Kennzeichen, Personalausweis- und Sozialversicherungsdaten,
Auch Fotos oder Videoaufnahmen sind üblicherweise personenbezogen.
2. Das Unternehmen, das die Verarbeitung durchführt, ist nicht verantwortlich.
Das gilt dann, wenn das Unternehmen nicht über die Zwecke und Mittel der Datenverarbeitung entscheidet.
Diverse Beispiele für typische Auftragsverarbeitungen finden Sie oben im Text.
Eine AV-Vereinbarung muss geschlossen werden, wenn die Kerntätigkeit des Dienstleisters aus der Verarbeitung personenbezogener Daten besteht und im Auftrag für des Verantwortlichen auf Weisung erbracht wird.
Sofern Sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, kontaktieren Sie ihn unverzüglich, um den Sachverhalt zu klären. Sind Sie nicht verpflichtet, nehmen Sie Kontakt mit dem Auftragsverarbeiter auf und klären, ob er ebenfalls die Notwendigkeit einer AV-Vereinbarung sieht. Sofern kein Know-how in diesem Bereich vorliegt, kontaktieren Sie z. B. einen externen Datenschutzberater oder ‑beauftragten. Der Nicht-Abschluss einer AV-Vereinbarung kann für beide Parteien zu einer Ordnungswidrigkeit und zu einem Bußgeld führen.
Der Verantwortliche bestimmt die Mittel, d. h. die Art und Weise der Verarbeitung. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Umsetzung der Verarbeitung. Er erhält klare Vorgaben, wie die Verarbeitung durchzuführen ist. Diese werden individuell und vertraglich festgelegt.
Der Auftragsverarbeiter hat zwar Spielräume bei der Umsetzung, die Zwecke werden aber vom Verantwortlichen vorgegeben. Es gilt eine strenge Zweckbindung, d. h. der Auftragsverarbeiter darf die Daten nicht für eigene Zwecke verarbeiten.
Gemäß der Rechtsauffassung der Datenschutz-Aufsichtsbehörden ist der Abschluss einer AV-Vereinbarung für IT-Dienstleister erforderlich, wenn personenbezogene Daten verarbeitet und auch eingesehen werden können. Dies ist üblicherweise bei Fehleranalysen, bei Fernwartung oder bei Support-Arbeiten der Fall.
Ja, wenn die Vernichtung der Daten (z. B. des Papiermülls) vertraglich festgelegt worden ist. Sofern lediglich Reinigungsarbeiten durchgeführt werden, ist dies üblicherweise nicht der Fall, auch wenn das Unternehmen Einblick in personenbezogene Daten nehmen kann. Hier sollte dann entsprechende technische und organisatorische Maßnahmen etabliert werden, um die Sicherheit der Daten zu erhöhen. Dazu gehören z. B. eine Clean-Desk-Richtlinie für die Beschäftigten, Zutrittsbeschränkungen, regelmäßige Kontrollen, Abschluss von Vertraulichkeitsvereinbarungen oder die Reinigung während der Arbeitszeiten. Der Umfang der Maßnahmen sollte sich am Risiko der Verarbeitung für die betroffenen Personen oder des Unternehmens (Geschäftsgeheimnisse) ausrichten.
Nein. Auch hier liegt keine Auftragsverarbeitung vor. Die Verarbeitung der personenbezogenen Daten zur Zustellung ist zwar erforderlich, jedoch nicht die Kerntätigkeit.
Nein, zwischen der WEG und der Hausverwaltung liegt meist keine Auftragsverarbeitung vor. Die Hausverwaltung ist dabei gem. § 27 des Gesetzes über das Wohnungseigentum und das Dauerwohnrecht (WEG) ein eigener Verantwortlicher.
Wenn Sie eine professionelle Unterstützung im Auftragsverarbeitung suchen, sollten wir uns kennenlernen!
Finden Sie hier eine Auswahl von Dienstleistungen. Mit einen Klick auf die Schaltfläche erhalten Sie mehr Informationen
Datenschutzberater DSGVO
Mit einer modernen Beratung im Bereich Datenschutz und Informationssicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um. Ich biete stundenweise eine Datenschutzberatung von A‑Z.
Datenschutzbeauftragter DSGVO
Informationssicherheitsbeauftragter
Ich berate Sie in allen Bereichen der Informationssicherheit. Schützen Sie Ihre Daten vor den Gefährdungen dieser Zeit nach dem Stand der Technik nach bewährten Methoden. Erfüllen Sie die Anforderungen des IT-Grundschutzes?
Datenschutzkonforme Website
Benötigen Sie regelmäßige Reports über alle Websites inkl. Unterseiten, auch in englischer Sprache? Hätten Sie gerne eine aktive Information, wenn sich die Rechtslage ändert und Sie aktiv werden müssen. Ich biete praxisnahe Maßnahmen zur Optimierung!
Videoüberwachung DSGVO
Datenschutz-Schulungen DSGVO
Praxisnahe Schulungen im Datenschutz und in der Informationssicherheit sind für Unternehmen unerlässlich. Ich biete Präsenz-Veranstaltungen, Webinare und E‑Learning-Kurse an. Schulen Sie Ihre Beschäftigten zielgruppengenau und passend auf Ihr Unternehmen.
Preise Datenschutz und Informationssicherheit
Ich biete individuelle Lösungen für Unternehmen, denen Datenschutz und Informationssicherheit wichtig sind. Gern nehme ich mir Zeit für eine persönliche Beratung und fertige Ihnen unverbindlich und kostenlos ein für Sie zugeschnittenes Angebot an. Ich bevorzuge Unternehmen, die den Datenschutz und die Informationssicherheit umsetzen wollen. Wenn Sie eine Beratung von der Stange zu geringen Kosten bevorzugen, passen wir nicht zusammen. Ich biete maßgeschneiderte Lösungen für Ihr Unternehmen.
Bestandsaufnahme
ab 1.680 €
Externer Berater
140 € / Stunde
Externer Beauftragter
ab 370 € / Monat
Audit Videoüberwachung
ab 800 €
Paket Website Audit DSGVO
ab 200 €
Schulungen
Auf Anfrage
Kundenstimmen
Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.
Mit einer hohen datenschutzrechtlichen, organisatorischen und sicherheitsrelevanten Kompetenz hat Herr Niehoff unser Unternehmen schnell und mit außerordentlicher Unterstützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.
Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.
Nach dem ersten Start haben wir schnell gemerkt, dass es ohne professionelle Hilfe nicht weitergeht. Herr Niehoff hat uns hier auf die richtige Spur gebracht und wir uns auch in Zukunft weiter unterstützen. Vielen Dank für die super schnelle Reaktion und Hilfe in der Krise! Wir freuen uns auch in Zukunft einen starken Partner an der Seite zu haben! Karsten Lorenzen, Geschäftsführer Testexperten KLE GmbH
Kontakt
- Direkte Betreuung
- Direkt vor Ort in Nord-Deutschland
- Direkt verfügbar
Buchen Sie ein kostenfreies Erstgespräch uns lassen Sie über Ihre Auftragsverarbeitung sprechen.