Auftragsverarbeitung – Einsatz von externen Partnern bei der Verarbeitung von personenbezogenen Daten

Die meisten Unternehmen verarbeiten Daten mit Personenbezug nicht nur selbst, sondern reichen diese auch an externe Partner s.g. Auftragsverarbeiter weiter. Solche Partner sind vor allem Outsourcing-Anbieter, die z.B. Unterstützung bei Lohnbuchhaltung oder Personalbeschaffung leisten. Viele Betriebe ziehen es vor, derartige Aufgaben an Spezialisten zu übertragen, um dadurch Rechtssicherheit zu erlangen und gleichzeitig Kosten einzusparen.

Sobald eine Übermittlung personenbezogener Daten an den externen Partner stattfindet, wird dessen Leistung aus Sicht des Datenschutzes als Auftragsverarbeitung bezeichnet. Die Verarbeitung von Daten im Auftrag ist in der Gesetzgebung akribisch geregelt und gilt als komplex. Es existieren mehrere Stolpersteine, die schon so manches Unternehmen teuer zu stehen gekommen sind.

Auftragsdatenverarbeitung vs Auftragsverarbeitung

Mit Einführung der Datenschutzgrundverordnung (DSGVO) wurde der Begriff Auftragsdatenverarbeitung von der Auftragsverarbeitung (kurz AV) abgelöst, ebenso der frühere Auftragsdatenverarbeiter vom Auftragsverarbeiter. Aber nicht nur die Begrifflichkeiten sind in der DSGVO neu geregelt, sondern auch einige der anzuwendenden Vorschriften bei der Verarbeitung von personenbezogenen Daten im Auftrag.

Die Verarbeitung von personenbezogenen Daten im Auftrag ist im geschäftlichen Alltag sehr viel stärker verbreitet als im Allgemeinen angenommen wird. Zur besseren Veranschaulichung haben wir verschiedene Beispiele rund um die Auftragsverarbeitung zusammengetragen.

  • Lohnbuchhaltung: Das Unternehmen leitet personenbezogene Daten zu einzelnen Mitarbeitern gezielt weiter. Hierunter befinden sich sogar sensible Daten, weil unter anderem die Höhe des Einkommens oder die Anzahl der Kinder mitgeteilt wird.
  • Kundenservice: Besonders im Kundenservice ist Outsourcing stark verbreitet, viele Unternehmen betreuen ihre Kunden nicht mehr selbst. Wenn beispielsweise Reparaturen innerhalb der Garantiezeit anstehen, werden externe Service-Partner eingeschaltet, die zugleich personenbezogene Daten übermittelt bekommen.
  • Personalbeschaffung: Im produzierenden Gewerbe ist es nicht ungewöhnlich, dass sich Unternehmen gezielt Fachkräfte bei Arbeitsvermittlern oder Zeitarbeitsfirmen leihen. Auch hier werden sensible Daten regelmäßig im Auftrag übermittelt.
Eine der großen Kernfragen bei der Herstellung von Datensicherheit im Unternehmen dreht sich darum, ob und mit welchen Partnern eine Auftragsverarbeitung erfolgt. Die Praxis zeigt, dass die Situation in vielen Unternehmen falsch eingeschätzt wird. Oft wird vermutet, dass entsprechende Vertragsverhältnisse gar nicht existieren. Doch nach einer gründlichen Prüfung, beispielsweise durch einen externen Datenschutzbeauftragten, werden meist gleich mehrere solcher Verhältnisse aufgedeckt. Im Übrigen gibt es auch Grenzfälle, in denen nicht unbedingt auf den ersten Blick zu erkennen ist, ob eine Auftragsverarbeitung stattfindet. Dies trifft ganz besonders für das Konzernumfeld zu, wenn beispielsweise Tochterunternehmen gezielt Daten untereinander austauschen. In solchen Fällen bedarf es einer genauen Prüfung, um beurteilen zu können, ob eine Auftragsverarbeitung vorliegt.

Vertragliche Regelungen bei Auftragsverarbeitung

Sowohl für das Unternehmen als auch den externen Dienstleister ist es erforderlich, sich vertraglich abzusichern. Leider kommt es in der Praxis noch immer vor, dass eine Zusammenarbeit und somit auch der Austausch personenbezogener Daten erfolgt, obwohl kein Vertragsverhältnis besteht. Solch eine Vorgehensweise bedeutet einen erheblichen Verstoß gegen die in Europa gültigen Datenschutzbestimmungen und kann mit einem Bußgeld, in Höhe von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, geahndet werden.

Bei der Schließung eines Vertrags über die Auftragsverarbeitung ist es erforderlich, sämtliche Details zu berücksichtigen, die gem. Art. 28 DSGVO im Vertrag zu regeln sind. Zusammengefasst handelt es sich dabei um die folgenden Punkte:

  • Gegenstand und Dauer der Verarbeitung
  • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten und Kreis der Betroffenen
  • Sicherstellung der technischen und organisatorischen Maßnahmen
  • Berichtigung, Löschung und Sperrung von Daten
  • Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen
  • Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers
  • Verpflichtung der Mitarbeiter des Auftragnehmers zur Vertraulichkeit
  • Mitwirken bei Datenschutz-Folgenabschätzungen und Meldepflichten
  • Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen
  • Zusammenwirken bei Anfragen und Ansprüchen von betroffenen Personen
  • Ausmaß der Weisungsbefugnisse, welche sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält
  • Rückgabe von Datenträgern sowie Löschung gespeicherter Daten nach Auftragsbeendigung

Haben Sie Fragen zum Thema Auftragsverarbeitung? Möchten Sie einen bestehenden oder neuen Vertrag prüfen lassen? Haben Sie weitere Fragen zum Thema Datenschutz?

Kontaktieren Sie uns! Wir helfen Ihnen gerne.

Auf der Suche nach Unterstützung?

Wir beraten Sie mit unserer Expertise zu den Themen Datenschutz und Informationssicherheit

Online Termin buchen

... oder Kontakt aufnehmen?

Unsere Leistungen

Online Services

Unternehmen

Rechtliches

© 2024 Resilien[i]T GmbH   |   Monschauer Str. 12   |   D-40549 Düsseldorf