Auftragsverarbeitung

Wenn Daten durch Dienstleister verarbeitet werden.

Hier unterstützen wir Sie bei der Erstellung und Prüfung von Auftragsverarbeitungsverträgen sowie der allgemeinen Organisation und Dokumentation.

Auftragsverarbeitung und AV-Verträge

Verarbeiten Kooperationspartner Ihres Unternehmens personenbezogene Daten in Ihrem Auftrag (z.B. ein externer IT-Dienstleister), so muss gewähleistet sein, dass diese Partner alle Vorgaben der DSGVO einhalten und der Schutz der Rechte der betroffenen Person vollumfänglich gewährleistet wird. Um hier Klarheit hinsichtlich der jeweiligen Rechte und Pflichten zu erreichen, erfordert die DSGVO, dass die Verarbeitung durch diesen sogenannten Auftragsverarbeiter auf der Grundlage eines Vertrags erfolgt. Dieser Auftragsverarbeitungsvertrag (AV-Vertrag oder AVV) muss den Auftragsverarbeiter an den Verantwortlichen binden und bestimmte Inhalte regeln. Dazu zählen unter anderem der Gegenstand, die Dauer und der Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen.

Hierbei handelt es sich zum einen um einen juristisch anspruchsvollen Vorgang, zum anderen stellt dieses Themenfeld gerade in Zeiten zunehmender Digitalisierung und Internationalisierung ein hochkomplexes Zusammenspiel von Datenschutz und Informationssicherheit dar. Wir als SDG unterstützen Sie hier mit jahrelanger Expertise und Fachwissen, prüfen und erstellen AV-Verträge und bewerten und dokumentieren für Sie die Maßnahmen Ihrer Dienstleister, damit Sie Ihren gesetzlichen Kontrollpflichten vollumfänglich nachkommen können. So schaffen wir gemeinsam für Sie und Ihre Kunden ein Höchstmaß an Sicherheit bei der Verarbeitung personenbezogener Daten.

Wer gilt als Auftragsverarbeiter?

Bei Auftragsverarbeitern kann es sich sowohl um natürliche als auch juristische Personen sowie Behörden oder Körperschaften des öffentlichen Rechts handeln. Typische Beispiele sind:

  • Dienstleister zur Fernwartung von Comuptersystemen, wenn ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann
  • Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume
  • Datenträgerentsorger bzw. professionelle Aktenvernichter
  • Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben
  • Google-Dienste (wie z.B. Google Analytics)
  • Lohn- und Gehaltsabrechnung sowie die Finanzbuchhaltung durch externe Rechenzentren
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen
  • Werbe- oder Marketingagenturen (z. B. wenn personalisierte Anschreiben erfolgen)
  • Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen)
  • Apothekenrechenzentren nach § 300 SGB V
  • ärztliche/zahnärztliche Verrechnungsstellen ohne Forderungsverkauf

Einschränkung: In Fällen, in denen Dienstleister ihre Leistung eigenverantwortlich erbringen und gegenüber kooperierenden Unternehmen nicht weisungsgebunden sind (bspw. Berufsgeheimnisträger, Bankinstitute oder auch Postdienst), ist grundsätzlich kein AVV erforderlich.

Auftragsverarbeiter im Ausland

Gerade im IT-Bereich ist es üblich, mit Auftragsverarbeitern aus anderen Ländern zu kooperieren und dort Server- oder Cloud-Kapazitäten zu nutzen. Zum Problem kann dies allerdings werden, wenn eine Übermittlung personenbezogener Daten in Länder außerhalb der EU (sogenannte Drittländer) erfolgt. Dabei muss es nicht einmal zu einer unmittelbaren Kooperation mit einem Auftragsverarbeiter außerhalb der eigenen Landesgrenzen kommen: Es reicht, wenn ein inländischer Auftragsverarbeiter selbst in einem Drittland ansässige Auftragsverarbeiter nutzt und diese dort personenbezogene Daten speichern.

Die Herausforderung ist hier: In allen Fällen, in denen über die eigenen Auftragsverarbeiter solche sogenannten Unterauftragsverarbeiter zum Einsatz kommen, ist man auch als Unternehmen in der Pflicht, die Einhaltung geltender Datenschutzvorschriften für die personenbezogenen Daten der eigenen Kunden oder auch Angestellten zu gewährleisten. Es ist deshalb in so einem Fall zu prüfen, ob und auf welcher Grundlage eine solche Übermittlung personenbezogener Daten zulässig ist.

In all diesen Fällen unterstützen wir Sie als Süddeutsche Datenschutzgesellschaft gerne mit auf die jeweilige Situation zugeschnittener Beratung, der rechtssicheren Erstellung neuer Verträge sowie der Prüfung bestehender AV-Verträge.


Ähnliche Themen


Verarbeitungsverzeichnis

Für die meisten Unternehmen besteht eine Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT). Ein solches Verzeichnis bietet allerdings auch die Chance, als Herzstück eines Datenschutzmanagement-Systems (DSMS) zu fungieren. Hierbei unterstütze wir Sie gerne.

Mehr erfahren

Folgenabschätzung

Falls eine Verarbeitung personenbezogener Daten hohe Risiken für Betroffene birgt (bspw. Diskriminierung im Falle einer Datenpanne), verpflichtet die DSGVO zur Durchführung einer Risikobewertung, der Benennung von Maßnahmen zur Risikominderung sowie der Erstellung eines Maßnahmenplans.

Mehr erfahren

Informationssicherheit

Als Schutzziele der Informationssicherheit gelten Vertraulichkeit, Verfügbarkeit und Integrität. Zu diesem Zweck führen wir für Sie gerne interne Audits durch, bewerten Ihre technischen und organisatorischen Maßnahmen und prüfen die Sicherheit Ihrer Online-Auftritte mit Hilfe von Penetrationstests.

Mehr erfahren
Haben wir Ihr Interesse geweckt?
Termin vereinbaren