Auftragsverarbeitung

Auftragsverarbeitung

Auftragsverarbeitung bezeichnet eine bestimmte Art der Zusammenarbeit von Unternehmen, bei der personenbezogene Daten verarbeitet werden. Eine Auftragsverarbeitung liegt immer dann vor, wenn ein Unternehmen (der sog. Auftragnehmer) im Auftrag eines anderen Unternehmens (dem Auftraggeber) personenbezogene Daten erhebt, verarbeitet oder nutzt. In Abgrenzung zu anderen Konstellationen der Zusammenarbeit von Unternehmen ist der Auftragnehmer dem Auftraggeber gegenüber streng weisungsgebunden.

Typische Beispiele für Auftragsverarbeiter sind IT-Dienstleister, Hersteller von Software, externe Wartungsfirmen und externe Dienstleister für Aktenvernichtung. Dagegen sind Rechtsanwälte keine Auftragsverarbeiter, da sie ihren Mandanten gegenüber nicht weisungsgebunden sind.

Charakteristika der Auftragsverarbeitung

Der Auftragsverarbeiter (Auftragnehmer) fungiert bei der Auftragsverarbeitung als verlängerter Arm des Verantwortlichen (Auftraggeber) und verarbeitet die Daten ausschließlich auf seine Weisung hin. Dementsprechend muss die Weisung des Auftraggebers detaillierte Angaben zu Art und Umfang der Datenverarbeitung enthalten und hat dokumentiert zu erfolgen. Der Auftragnehmer hat bei der Auftragsverarbeitung keine Entscheidungsbefugnis über den Verarbeitungszweck und kein Nutzungsrecht an den Daten.

Voraussetzungen der Auftragsverarbeitung

Die Auftragsverarbeitung ist nur zulässig, wenn sie auf Grundlage einer Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 Abs. 3 DS-GVO erfolgt. Wurde keine AVV geschlossen, ist der Auftragsverarbeiter Dritter im Sinne der DS-GVO, dem Daten in der Regel nur nach Zustimmung des Betroffenen zugänglich gemacht werden dürfen. Wichtig ist, dass für die Auftragsverarbeitung nicht nur eine AVV geschlossen wird, sondern dass diese auch alle inhaltlichen Vorgaben nach Art. 28. Abs. 3 DS-GVO erfüllt. Danach muss die für die Auftragsverarbeitung notwendige Vereinbarung z. B. exakt darlegen, was Gegenstand der Auftragsverarbeitung ist, welche Daten und Personen von der Auftragsverarbeitung betroffen sind, mit welchen technisch-organisatorischen Maßnahmen der Auftragsverarbeiter die personenbezogenen Daten schützt und dass der Auftragsverarbeiter umfangreiche Pflichten bei der Auftragsverarbeitung hat.

Verantwortlichkeiten bei der Auftragsverarbeitung

Die Verantwortung für die rechtmäßige Verarbeitung der personenbezogenen Daten liegt bei der Auftragsverarbeitung einzig und allein beim Auftraggeber. Er muss den Auftragnehmer deshalb über die AVV zum Schutz der Daten verpflichten und ihn diesbezüglich auch kontrollieren. Der Auftragnehmer muss den Auftraggeber allerdings darauf hinweisen, wenn er der Meinung ist, eine seiner Weisungen oder eine Verarbeitung verstößt gegen die Vorgaben der DS-GVO. Auch gegenüber Betroffenen ist bei der Auftragsverarbeitung der Auftraggeber grundsätzlich erster Ansprechpartner und verantwortlich dafür, dass die datenschutzrechtlichen Rechte erfüllt werden. Allerdings haften der Auftraggeber und der Auftragnehmer nach Art. 82 DS-GVO gemeinsam, wobei die Haftung des Auftragsverarbeiters eingeschränkt ist. Er kann nur haftbar gemacht werden, wenn er gegen ihm speziell auferlegte Pflichten verstößt.