Praxisnahe Umsetzung seit 2013

Ihr Experte für Datenschutz und Informationssicherheit

Auftragsverarbeitung

Auftragsverarbeitung: Können Sie als Unternehmensleitung diese 5 Fragen beantworten?

Auftragsverarbeitung: Der Überblick

Einleitung

Eine Auftragsverarbeitung ermöglicht Ihnen, die Verarbeitung personen­bezogener Daten im Auftrag an Dienst­leister (= Auftrags­ver­arbeiter) auszulagern, wenn Sie nicht alles selbst im Unternehmen machen wollen oder können.

Aber halt – wer haftet, wenn der Dienstleister nicht korrekt mit Ihren Daten umgeht, für die Sie eigentlich die Verantwortung übernommen haben?

Denn: Sie bleiben als Verantwortlicher grundsätzlich für die Verfehlungen Ihrer Dienstleister verantwortlich. Wenn sich im Nachhinein herausstellt, dass der Dienstleister gar nicht geeignet war und Sie das hätten wissen können, bleibt womöglich die Haftung auf Ihrer Seite.

Das Geheimnis der Umsetzung: Suchen Sie sich geeignete Dienstleister, die für Sie im Auftrag personenbezogene Daten verarbeiten.

Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.

Inhalte

Risiken beim Einsatz von Auftragsverarbeitern

Als Verantwortlicher müssen Sie dafür sorgen, dass alle gesetzlichen Vorgaben im Datenschutz umgesetzt werden. Während Sie im eigenen Unternehmen eine gute Kontrolle über Ihre internen Bereiche haben, ist dies bei externen Dienstleistern mit zusätzlichem Aufwand verbunden.

Durch das Outsourcing ergeben sich diverse Herausforderungen. Wie weisen Sie zum Beispiel nach, dass der Auftragsverarbeiter „geeignet“ ist? Wie steuern Sie den Einsatz der Auftragsverarbeiter und stellen sicher, dass Sie am Ende weitgehend aus der Haftung kommen, wenn der Dienstleister nicht fachgerecht mit Ihren Daten umgeht?

Beachten Sie mögliche Sanktionen!

Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden, weil Sie oder in diesem Fall Ihr Auftragsverarbeiter die Vorgaben des Datenschutzes nicht eingehalten haben? Geldbußen werden auch verhängt, wenn keine rechtskonformen Vereinbarungen zur Auftragsverarbeitung vorliegen.

Die Höhe variiert sicherlich von den Unternehmen selbst und dem Risiko der Verarbeitung für die betroffenen Personen, aber Verfehlungen können teuer werden.

Der Gesetzgeber hat vorgesehen, dass die Unternehmen die Auftragsverarbeiter vor der Zusammenarbeit und danach regelmäßig prüfen müssen – und zwar gemessen am Risiko der Verarbeitung. Eine intensive Auseinander­setzung aus einer Datenschutz­sicht ist daher erforderlich, um die nachfolgenden Pflichten erfüllen zu können.

Bereits bei der Auswahl der Auftragsverarbeiter sollten Sie entsprechende Qualifikationsnachweise anfordern. Ist der kaufmännische Vertrag bereits unterschrieben, kann es schwieriger werden, sich wieder von dem Dienstleister zu trennen, wenn Sie merken, dass mit Ihren Daten nicht fachgerecht umgegangen wird.

Denken Sie an die Folgeaufgaben!

Eine gute Dokumentation der Auftragsverarbeiter ist entscheidend, um die Übersicht zu behalten. Wiederkehrende Prüfungen sind, gemessen am Risiko durchzuführen und in der Dokumentation abzulegen.

Prüffragen für die Geschäftsleitung

Fragen Sie sich als Vertretung der Geschäftsleitung: Machen wir im Bereich der Auftragsverarbeitung alles richtig? Dann stellen Sie Ihrem Personal oder dem Datenschutzbeauftragten die folgenden Fragen und lassen sich entsprechende Nachweise vorlegen.

compliance-im-datenschutz

Sie kennen das Thema bereits und wollen mehr Details wissen? Hier erhalten Sie mehr Detailwissen für die Erstellung.

Sie wollen in 4 Schritten zum geeigneten Auftragsverarbeiter? Hier erhalten Sie die passenden Informationen.

Sie wünschen eine direkte Kontaktaufnahme, um Ihre Fragen zum Thema Auftragsverarbeitung zu stellen? 

In 4 Schritten zur rechtskonformen Auftragsverarbeitung

Nachfolgend zeige ich Ihnen die 4 Schritte, wie Sie Auftragsverarbeiter in Ihre Organisation integrieren.

Schritt 1: Holen Sie einen Spezialisten an Bord – schneller geht es nicht.

Zunächst holen Sie sich einen Spezialisten, der seit vielen Jahren unterschiedliche Auftragsverarbeiter für verschiedene Dienstleistungen geprüft hat. 

Beachten Sie das Risiko für die betroffenen Personen!

Die Tiefe der Prüfung des Auftragsverarbeiters ist abhängig von der Komplexität der Verarbeitung und dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Das Wissen für die Prüfung des Auftragsverarbeiters sollten Sie nicht allein durch den Fachbereich durchführen lassen. Diese Erfahrung ist nebenberuflich nur schwer zu erlangen.

Schritt 2. Prüfung der Auftrags­verarbeitungs­vereinbarung

Schließen Sie die AV-Vereinbarung zusammen mit dem kaufmännischen Vertrag ab. Es gibt unterschiedliche Varianten von Verträgen zur Regelung der Rechte und Pflichten der beteiligten Parteien: Einzel­verträge, Rahmenverträge mit Einzel­anlagen, als Anlage zu dem kaufmännischen Vertrag, Online-Service-Terms oder EU-Standard­vertrags­klauseln für vier unterschiedliche Zielgruppen (Controller-Prozessor, Prozessor-Prozessor usw.).

Welche Partei die AV-Vereinbarung zur Verfügung steht, ist dabei egal. Im Massengeschäft, wie z. B. Webhoster, die tausende von AV-Vereinbarungen abschließen, wird üblicherweise der Verantwortliche die AV-Vereinbarung des Dienstleisters akzeptieren müssen. Änderungswünsche werden eher selten umgesetzt.

Welchen Vertrag Sie auch wählen, die Vorgaben der DSGVO müssen geregelt sein. Der Vertrag sollte keine Partei übervorteilen und konkret auf die Datenverarbeitung bezogen sein. Der Zeitaufwand für eine Prüfung einer AV-Vereinbarung liegt – je nach Datenverarbeitung – im Durchschnitt zwischen 20 und 60 Minuten. 

Protokollieren Sie, was geprüft worden ist und zu welchem Ergebnis Sie gekommen sind. Optimieren Sie die AV-Vereinbarung, sofern dies möglich ist und legen diese dann (beidseitig unterschrieben) im Vertragsmanagement oder im Datenschutz-Managementsystem ab.

Schritt 3: Prüfen Sie den Auftragsverarbeiter auf Eignung

Jetzt werden weitere Informationen zum Unternehmen genutzt, wie z. B. die eingesetzten Unterauftragsverarbeiter, den kaufmännischen Vertrag, ggf. Prozessbeschreibungen und der Gegenstand der Verarbeitung. Ermitteln Sie das Risiko, dass der externe Dienstleister mit sich bringt. 

Auf welche Informationen mit welchem Schutzbedarf hat der Dienstleister Zugriff? Welche Kontrolle über Ihre Daten haben Sie noch? Wie häufig findet die Datenverarbeitung statt? Ziehen Sie auch den Einblick bzw. Zugriff auf Ihren sonstigen Daten in Ihre Überlegung mit ein. Was ist das Worst-Case-Szenario?

Beachten Sie die technischen und organisatorischen Maßnahmen!

Je nach Risiko der Verarbeitung, die der Auftrags­verarbeiter mit sich bringt, sollten Sie nun den Dienstleister auf Eignung prüfen. Sie müssen am Ende nachweisen können, dass Sie – gemessen am Risiko der Verarbeitung – die Prüfung durchgeführt haben. Bei einem normalen Risiko sollten Sie ein paar einzelne Dokumente der technischen und organisatorischen Maßnahmen (TOMs) anfordern und schauen, ob diese fachgerecht erstellt worden sind.

Typische Beispiele sind: Vorlage der Vertraulich­keits­vereinbarungen, Nachweise von Schulungen der Beschäftigten mit Angaben zu den Schulungs­inhalten, bestehende Zertifikate oder einen Prüfnachweis des dortigen Datenschutzbeauftragten oder externen Auditoren mit Angabe der Prüfinhalte.

Fokussieren Sie sich bei der Prüfung!

Setzen Sie den Fokus auf die zu erbringende Datenverarbeitung. Liefert der Auftragsverarbeiter zeitnah die gewünschten Unterlagen? Sind diese fachgerecht erstellt worden? 

Hier habe ich schon viele alte und fehlerhafte Dokumente gesehen. Ist der Dienstleister nicht in der Lage, die Unterlagen zur Verfügung zu stellen oder weigert er sich: Entscheiden Sie, ob Sie kaufmännischen Vertrag überhaupt mit dem Dienstleister schließen wollen oder den kaufmännischen Vertrag rückgängig machen. Sie dürfen ausschließlich Auftragsverarbeiter einsetzen, die auch aus Datenschutzsicht und gemessen am Risiko für die Betroffenen geeignet sind. 

Dokumentieren Sie Prüfpunkte und -ergebnisse in einem kurzen Protokoll.

Schritt 4: regelmäßige Prüfung des Auftragsverarbeiters

Sie müssen jetzt noch einen Prozess einrichten, um nachweisen zu können, dass Sie den Auftragsverarbeiter auch regelmäßig prüfen. Ergänzen Sie in der Übersicht der Auftragsverarbeiter ein Datum für die Wiedervorlage

Dokumentieren Sie z. B. im Datenschutz-Handbuch, was und wie häufig Sie Ihre Auftragsverarbeiter prüfen werden. Ein gesundes Mittelmaß ist dabei zu wählen. 

DEfinieren Sie pro Auftragsverarbeiter die Prüfhäufe und -tiefe!

Grundsätzlich gilt auch hier: Machen Sie die Prüftiefe und -häufigkeit davon abhängig, wie der Auftragsverarbeiter auf Ihre Daten zugreifen kann und welche Risiken für die Rechte und Freiheiten der betroffenen Personen (z. B. Ihre Beschäftigten) entstehen können, wenn die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit verletzt werden.

Dokumentieren Sie die Änderungen!

Eine erneute Sichtung des Auftragsverarbeiters in einem Jahr (oder bei grund­legenden Änderungen der Datenverarbeitung zeitnah) sind dann der nächste Schritt. 

Lassen Sie sich jährlich z. B. in Textform bestätigen, dass die Ansprechpartner noch korrekt sind, der Gegenstand der Datenverarbeitung sich nicht verändert hat, keine Betroffenenrechte bei dem Auftragsverarbeiter geltend gemacht worden sind und keine Datenschutzverletzung stattgefunden hat (Negativmeldung).

Lassen Sie sich die aktuellen technischen und organisatorischen Maßnahmen (TOMs) zusenden oder neue Zertifikate und dokumentieren Sie die Prüfung der Unterlagen.

Sofern Sie in der Nähe des Dienstleisters sind und eine Prüfung möglich ist, ist ein Vor-Ort-Besuch eine gute Möglichkeit, die Zusammenarbeit auch auf Datenschutzebene zu intensivieren und sich einen Eindruck von der Eignung des Auftragsverarbeiters zu machen.

Auftragsverarbeiter – Wie geht es weiter?

Ergänzen Sie mit diesen Informationen nun weitere Dokumente, wie z. B. die Informationspflichten, die Verzeichnisse der Verarbeitungstätigkeiten, das Betroffenenrecht „Auskunft“, Ihre eigenen technischen und organisatorischen Maßnahmen (TOMs) (Bereich Auftragskontrolle) oder das Löschkonzept.

Setzen SIe jetzt mit dem Wissen weitere Schritte um.

Je umfangreicher die Geschäfts­prozesse sind, desto wichtiger wird es, die Risiko­bewertung der Auftragsverarbeiter zu erstellen. Das ist zwar sowieso eine erforderliche Notwendig­keit. Sie müssen aufgrund der datenschutzrechtlichen Nachweispflichten darlegen können, wie Sie das Risiko für Betroffene bewertet haben. Dann besteht die Möglichkeit, sich auf die wirklich erforder­lichen Prüfungen der Auftragsverarbeiter zu fokussieren.

Weitere Vorgehensweise beim Datenschutz

Sie benötigen Unterstützung beim Prüfen von Auftragsverarbeitern? Melden Sie sich gerne.

Kundenstimmen

Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.

Interner DSB aus Hamburg

IT Grosshandel

Mit einer hohen datenschutz­rechtlichen, organisatorischen und sicherheits­relevanten Kompetenz hat Herr Niehoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.

Geschäftsführer aus Hamburg

Testexperten KLE GmbH

Wir hatten die Herausforderung, dass wir nach der Erstellung & Umsetzungen der DSGVO-Richtlinien eine ernsthafte Prüfung im Bereich der DSGVO brauchten. Herr Niehoff hat uns das Ganze sehr gut erläutert und super unterstützt. Wir möchten uns an dieser Stelle für die hervorragende Zusammenarbeit bedanken!

Chief Digital Officer aus Lüneburg

Öffentliche Verwaltung

Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.

Sekretariat

Rechtsanwaltskanzlei

Außerdem hat unsere Bearbeit­erin unserer Homepage Ihre Anweisungen sehr gelobt! Sie schreibt: „Kompliment an dieser Stelle an ihren Datenschutz­beauftragten, ich habe selten so fundierte Anweisungen bekommen, bei denen ich zu 100% mitgehe.“ Auch ich kann Ihnen an dieser Stelle mitteilen, dass sie mir sehr verständlich aufzeigen, was ich im Datenschutzdschungel nach und nach alles bearbeiten muss. Danke dafür! 😊

Fachkunde

Die Gestaltung einer datenschutz­konformen Organisation verbessert sofort die Sicher­heit Ihres Unter­nehmens. Lassen Sie uns deshalb jetzt über Ihre laufenden oder zukünftigen Pro­jekte sprechen und die Umsetz­ung unter Einhaltung aller datenschutzrechtlichen Bestimmungen planen.

Im Laufe der Jahre habe ich mir ein fundiertes Wissen im Bereich des Datenschutzes und der Informationssicherheit angeeignet. Eine permanente Weiterbildung ist für mich selbstverständlich. Ich halte meine Mandanten auf dem neuesten Stand.

fachkundenachweis-niehoff (Benutzerdefiniert)

Details zur Auftragsverarbeitung

Verantwortlichkeiten

Zunächst muss festgelegt werden, welche Partei welche Rechte und Pflichten hat. Dabei entscheidet der Verantwortliche über die Zwecke (Was passiert mit den Daten?) und die Mittel (Wie werden die Daten verarbeitet) der Datenverarbeitung. Der Verantwortliche ist die in der Auftragskette bestimmende und weisungsberechtigte Partei. Der beauftragte Auftragsverarbeiter verarbeitet dann die Daten des Verantwortlichen auf Weisung. 

Beispiel: Der Verantwortliche beauftragt eine Marketingagentur (= Auftragsverarbeiter) mit der Umsetzung einer E-Mailkampagne für die eigenen Kunden. Mit dem Schließen des Vertrages darf der Verantwortliche die Daten der Betroffenen an den Auftragsverarbeiter übermitteln. Der Auftragsverarbeiter darf erst dann die Verarbeitung für die vorab festgelegten Zwecke auf Weisung verarbeiten und wird aufgrund der engen Bindung zum „verlängerten Arm“ des Verantwortlichen.

Typische Auftragsverarbeiter

Die Verarbeitung personenbezogener Daten im Auftrag muss eine Kerntätigkeit sein. Hier gibt es eine große Grauzone. 

Typische Auftrags­verarbeit­er sind:

Achtung: Schauen Sie sich die verein­barte Dienst­­leistung genau an. Sind alle Tätigkeiten im kauf­­männischen Vertrag oder in der AV-Verein­­barung konkret beschrieben, die der Dienst­­leister erbringen soll?

Ggf. stellen auch nur Teile der Dienst­leistung eine Auftrags­verarbeitung dar. Nur diese sind dann in einer Auftrags­­verarbeitungs­­verarbeitung vertrag­lich zu regeln.

Bei der Auswahl und Bestimmung der Auftragsverarbeiter sollten Sie einen Experten hinzuziehen. Sie benötigen Unterstützung zu diesem Thema?

Beispiele von Nicht-Auftragsverarbeiter

Neben den Auftragsverarbeitern gibt es noch diverse weitere Unternehmen, die eine Dienstleistung erbringen, in denen die Verarbeitung personenbezogener Daten lediglich eine Nebensache ist und nicht den Kern der Datenverarbeitung betrifft.

Auch ist keine Auftrags­verarbeitungs­­vereinbarung abzuschließen, wenn kein Weisungs­recht besteht, bei reinen Transport­­unternehmen oder wenn die Tätigkeit ein hohes Maß an Entscheidungs­­spielräumen mit sich bringt.

Mein Tipp: Auch wenn die Tätigkeiten keine Auftragsverarbeitung darstellen – schließen Sie mit dem Dienstleister eine Vertraulichkeitsvereinbarung ab. Dies ist immer dann notwendig, wenn Sie sicherzustellen wollen, dass die Daten, die im Rahmen der Zusammenarbeit ausgetauscht werden, auch wirklich vertraulich im Sinne des Geschäftsgeheimnisgesetz verarbeitet werden.

Dokumentieren Sie mit dem Dienstleister eine einheitliche und stimmige Begründung, warum eine Auftragsverarbeitung besteht bzw. nicht. Auch die Aufsichtsbehörden in den unterschiedlichen Bundesländern sind sich hier nicht immer einig. Teilweise wird dies eine Einzelfallentscheidung bleiben.

Weitere Themen rund um die Auftragsverarbeitung

Rund um das Thema Auftragsverarbeitung gibt es noch diverse andere Punkte, die in der Umsetzung Fragen aufwerfen. Einige davon werden hier dargestellt. Diese sind im Detail zwischen den Vertragsparteien zu klären. 

Sie sehen – das Thema Auftragsverarbeitung ist ein umfangreiches Thema. Bei der Auswahl und Bestimmung der Auftragsverarbeiter sollten Sie einen Experten hinzuziehen. Sie benötigen Unterstützung zu diesem Thema?

Kontinuierliche Verbesserung

Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, Lernen und Anpassung.  Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unter­nehmens permanent infrage und startet im Unternehmen einen wieder­kehrenden Regelkreis zur Verbess­erung der Abläufe und Prozesse. 

Auch bei der Umsetzung der Anforderungen im Bereich „Auftragsverarbeitung“ es einen stetigen Verbesserungsprozess durch regel­mäßige Aktualisierungen und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen.

Bleiben SIe aktuell!

Erstellen auch Sie einen Regelkreis, damit Ihre Übersicht der Auftragsverarbeiter und die Vereinbarungen zur Auftragsverarbeitung aktuell sind und die Auftragsverarbeiter regelmäßig geprüft werden.

Die Prüfungen und Aktualisierungen führen nicht selten zur Optimierung der Datenschutz-Umgebung des Verantwortlichen und damit zum Schutz von betroffenen Personen.

Plan

Ist-Analyse der vorhandenen Auftragsverarbeiter und Erstellung eines Prozesses für die Beauftragung neuer Auftragsverarbeiter.

Do

Bestimmung des Risikos der Datenverarbeitung für betroffene Personen und Festlegung und Durchführung von Eignungsprüfungen der Verträge und Auftragsverarbeiter.

Act

Aktualisierung der Dokumentation in alle Bereichen, wie z. B. Verzeichnis der Verarbeitungstätigkeiten, Vorlagen für Auskunftsprozesse oder Informationspflichten.

Check

Erneute Prüfung der Aktualität und Eignung aller Auftragsverarbeiter und AV-Vereinbarungen.

Leistungen

Bei den meisten Geschäftsprozessen werden personenbezogene Daten verarbeitet. Finden Sie hier meine Dienstleistungen, die ich Unternehmen seit vielen Jahren zur Verfügung stelle. 

Daten­schutz­berater DSGVO

Mit einer modernen Beratung im Bereich Daten­­schutz und Informations­sicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um.

Daten­schutz­beauftragter DSGVO

Als externer Datenschutz­­­beauftragter bietet ich Ihnen einen Rund-um-Support nach den gesetz­lichen Vorgaben. Nutzen Sie vom ersten Tag an meine lang­jährige Erfahrung.

Infor­mations­sicher­heits­beauf­tragter

Ich berate Sie in allen Bereichen der Informations­­sicherheit. Schützen Sie Ihre Daten vor den Gefähr­dungen dieser Zeit nach dem Stand der Technik.

Datenschutz-Schulungen DSGVO

Praxisnahe Schulungen im Datenschutz sind unerlässlich. Ich biete passende Präsenz­-Veranstaltungen, Webinare und E-Learning-Kurse.

Clever sein – Auftragsverarbeiter effizient und praxisnah einbinden

Ich unterstütze Sie bei dem Management Ihrer Auftragsverarbeiter. Nutzen Sie meine mehrjährige Expertise, um zügig Auftragsverarbeiter gesetzeskonform einzubinden. 

Ich habe in den letzten Jahren hunderte von Auftragsverarbeitungsvereinbarungen und Auftragsverarbeiter geprüft und verfüge hier über ein detailliertes Wissen bei der Bestimmung des Risikos für betroffene Personen.

Buchen Sie ein entsprechendes Modul oder punktuell zur Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen. 

Als Datenschutzbeauftragter ist die Unterstützung bei dem Einsatz von Auftragsverarbeiter fester Bestandteil. 

Fragen und Antworten zur Auftragsverarbeitung

Jedes Unter­nehmen, welches personenbezogene Daten durch Auftragsverarbeiter verarbeiten lässt, hat die gesetzliche Pflicht, den Auftragsverbarbeiter vorab und dann regelmäßig zu prüfen. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein paar Antworten auf die häufigsten Fragen:

Die „Auftragsverarbeitung“ ist eine spezifische Form der Auslagerung bei der Verarbeitung personenbezogener Daten. Das verantwortliche Unternehmen verlagert dabei Teilaufgaben, die er selbst nicht vornehmen kann oder will. Werden dabei personenbezogene Daten durch einen externen Dienstleister (= Auftragsverarbeiter) verarbeitet, handelt es sich üblicherweise um eine Auftragsverarbeitung.

Beispiel: Ein Unternehmen übernimmt im Auftrag des Verantwortlichen die fachgerechte Vernichtung von Dokumenten oder Datenträgern.

Eine Auftragsverarbeitung liegt vor, wenn die folgenden Punkte zutreffen:

1.Es werden bei dem Verarbeitungsprozess personenbezogene Daten verarbeitet.

Personenbezogene Daten sind zum Beispiel Informationen über Kunden und Beschäftigte.

Hierzu zählen private oder dienstliche Angaben, wie z. B. Name, Alter, Familienstand oder Kontaktdaten wie z. B.  Anschrift, Telefonnummer, E-Mail-Adresse, Bankverbindungsdaten wie Konto- oder Kreditkartennummer, Kfz-Kennzeichen, Personalausweis- und Sozialversicherungsdaten,

Auch Fotos oder Videoaufnahmen sind üblicherweise personenbezogen.

2. Das Unternehmen, das die Verarbeitung durchführt, ist nicht verantwortlich.

Das gilt dann, wenn das Unternehmen nicht über die Zwecke und Mittel der Datenverarbeitung entscheidet.

Diverse Beispiele für typische Auftragsverarbeitungen finden Sie oben im Text.

Eine AV-Vereinbarung muss geschlossen werden, wenn die Kerntätigkeit des Dienstleisters aus der Verarbeitung personenbezogener Daten besteht und im Auftrag für des Verantwortlichen auf Weisung erbracht wird.

Sofern Sie verpflichtet sind, einen Datenschutz­beauftragten zu bestellen, kontaktieren Sie ihn unver­züglich, um den Sachverhalt zu klären. Sind Sie nicht verpflichtet, nehmen Sie Kontakt mit dem Auftrags­verarbeiter auf und klären, ob er ebenfalls die Notwendig­keit einer AV-Vereinbarung sieht. Sofern kein Know-how in diesem Bereich vorliegt, kontaktieren Sie z. B. einen externen Datenschutz­berater oder -beauftragten. Der Nicht-Abschluss einer AV-Vereinbarung kann für beide Parteien zu einer Ordnungs­widrigkeit und zu einem Bußgeld führen.

Der Verantwortliche bestimmt die Mittel, d. h. die Art und Weise der Verarbeitung. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Umsetzung der Verarbeitung. Er erhält klare Vorgaben, wie die Verarbeitung durchzuführen ist. Diese werden individuell  und vertraglich festgelegt.

Der Auftragsverarbeiter hat zwar Spielräume bei der Umsetzung, die Zwecke werden aber vom Verantwortlichen vorgegeben. Es gilt eine strenge Zweckbindung, d. h. der Auftragsverarbeiter darf die Daten nicht für eigene Zwecke verarbeiten.

Gemäß der Rechtsauffassung der Datenschutz-Aufsichtsbehörden ist der Abschluss einer AV-Vereinbarung für IT-Dienstleister erforderlich, wenn personenbezogene Daten verarbeitet und auch eingesehen werden können. Dies ist üblicherweise bei Fehleranalysen, bei Fernwartung oder bei Support-Arbeiten der Fall.

Ja, wenn die Vernichtung der Daten (z. B. des Papiermülls) vertraglich festgelegt worden ist. Sofern lediglich Reinigungsarbeiten durchgeführt werden, ist dies üblicherweise nicht der Fall, auch wenn das Unternehmen Einblick in personenbezogene Daten nehmen kann. Hier sollte dann entsprechende technische und organisatorische Maßnahmen etabliert werden, um die Sicherheit der Daten zu erhöhen. Dazu gehören z. B. eine Clean-Desk-Richtlinie für die Beschäftigten, Zutrittsbeschränkungen, regelmäßige Kontrollen, Abschluss von Vertraulichkeitsvereinbarungen oder die Reinigung während der Arbeitszeiten. Der Umfang der Maßnahmen sollte sich am Risiko der Verarbeitung für die betroffenen Personen oder des Unternehmens (Geschäftsgeheimnisse) ausrichten.

Nein. Auch hier liegt keine Auftragsverarbeitung vor. Die Verarbeitung der personen­bezogenen Daten zur Zustellung ist zwar erforderlich, jedoch nicht die Kerntätigkeit.

Nein, zwischen der WEG und der Hausver­waltung liegt meist keine Auftrags­verarbeitung vor. Die Hausverwaltung ist dabei gem. § 27 des Gesetzes über das Wohnungs­eigentum und das Dauerwohn­recht (WEG) ein eigener Verantwortlicher.

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.

kontakt-niehoff-systemberatung