HOSH MEDIA

Share on facebook
Share on google
Share on twitter
Share on linkedin

Auftragsverarbeitung

Auftragsverarbeitung

Es kommt in der Praxis häufig vor, dass der Verantwortliche nicht alle Leistungen für die Vertragserfüllung aus eigener Kraft erbringen kann. Es ist daher nicht ungewöhnlich, dass ein Dienstleister zur Unterstützung eingeschaltet wird. Die DSGVO bezeichnet solche Dienstleister als Auftragsverarbeiter. Der Auftragsverarbeiter ist weisungsgebunden und verarbeitet personenbezogene Daten auf Grundlage eines schriftlichen Vertrags. Der Auftragsgeber bleibt dabei in der Haftung und Verantwortung.

Ein Beispiel ist der externe Buchhalter. Dabei bleibt der Auftraggeber, also das Unternehmen, für eine datenschutzkonforme Datenverarbeitung seines Buchhalters verantwortlich. Also ist das Unternehmen gut beraten bei der Wahl seiner Dienstleister, sogenannte Auftragsverarbeiter, hinreichend vorsorglich vorzugehen und nur solche beauftragen, die eine Verarbeitung im Einklang mit der DSGVO durchführen.

Typische Fälle für eine Auftragsverarbeitung sind:

  • Cloudbasierte und externe Lohnbuchhaltung
  • Versendung von Newsletter und E-Mailing über einen externen Cloud-Anbieter
  • Versand von Waren und Werbegeschenken durch externe Dienstleister
  • CRM´s, die über eine Cloud gehostet werden
  • Hosting von Onlineshops und Webseiten
  • Agenturen, wenn sie personenbezogene Daten verarbeiten
  • Jegliche Verarbeitung personenbezogener Daten durch eine externe Stelle

Für die Beauftragung eines Auftragsverarbeiters sieht Die DSGVO einen Vertrag zwischen dem Verantwortliche und dem Auftragsverarbeiter vor. Diesen Vertrag wird auch Auftragsverarbeitungsvertrag genannt

Auftragsverarbeitungsvertrag

Beim Auftragsverarbeitungsvertrag sind folgende Mindestvertragsinhalte zu beachten:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Die Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Regelungen zur Beendigung des Auftragsverhältnisses

Außerdem muss der Auftragsverarbeiter verpflichtet werden, folgende Punkte zu beachten und zu befolgen:

  • Verarbeitung nur auf Basis dokumentierter Weisung
  • Information des Verantwortlichen, wenn Weisungen gegen Datenschutzbestimmungen verstoßen
  • Einsatz technischer und organisatorischer Maßnahmen -die sogenannten TOMs – für eine datenschutzkonforme Verarbeitung
  • Einhaltung der Regelungen beim Einsatz eines weiteren Auftragsverarbeiters
  • Nachweis der Einhaltung der Pflichten aus der Auftragsverarbeitung
  • Mitwirkungspflicht bei Überprüfungen seitens des Verantwortlichen
  • Unterstützung des Verantwortlichen, wenn betroffene Personen ihre Rechte wahrnehmen

Darüber hinaus ist der Auftragsverarbeiter verpflichtet die verantwortliche Stelle beim Vorliegen von melde- und benachrichtigungspflichtigen Sicherheitsverstößen sofort zu informieren und zu unterstützen.

Hat der Dienstleister seinen Sitz außerhalb der EU, beispielsweise in Amerika (USA), dann gelten weitere besondere Regelungen. Bei der Datenübertragung in ein Drittland außerhalb der EU, wo nicht die gleiche Datenschutz Standards gelten wie in der EU, sind besondere Regelungen zu beachten.

Eine Übertragung darf stattfinden, wenn die EU-Kommission die Übertragung durch entsprechende Prüfung die Angemessenheit des Datenschutzniveaus bestätigt hat. Derzeit existieren Angemessenheitsbeschlüsse für folgende Länder: Andorra, Argentinien, Kanada, Israel, Japan, Schweiz. Die komplette Liste kann hier eingesehen werden.

https://cutt.ly/LhAr8I4

Zwar gibt es keine Angemessenheitsfeststellung für die USA, doch haben sich die EU und die US-Regierung auf ein Abkommen mit der Bezeichnung EU-US Privacy Shield geeinigt. Dieses Abkommen wurde nun vom Europäischen Gerichtshof nach etwa zwei Jahren der Anwendung für ungültig erklärt. Hintergrund ist, dass die nationalen Gesetze der USA den US-Behörden nahezu unbegrenzten Zugang zu personenbezogenen Daten gewähren. Damit können Unternehmen Daten nur noch über Standardvertragsklauseln in die USA übertragt werden können.

Mit den Standardvertragsklauseln ist sichergestellt dass der Empfänger geeignete Garantien zur Einhaltung der Datenschutzregeln vorgesehen hat. Verantwortlich bleibt jedoch weiterhin die Verantwortliche Stelle, der Auftraggeber.

Darüber hinaus gibt es eine Reihe von Ausnahmenfällen, wo ohne Einhaltung von oben genannten Punkten die Datenübertragung in ein Drittland stattfinden kann. Beispielsweise können die Daten mit der Einwilligung der Betroffenen Person übermittelt werden. Wichtig ist, dass wir die betroffene Person bei der Einwilligung über die Risiken der Übermittlung aufklären und dass die Person jederzeit seine Einwilligung widerrufen kann.

Shabi Houshangi

Shabi Houshangi

Über uns

Wir unterstützen kleine Unternehmen bei ihrer Digitalisierung.

Durch digitale Prozesse und einen hohen Automatisierungsgrad erreichen unsere Kunden mehr Effektivität bei gleichbleibenden Kosten.

Neueste Beiträge

Jetzt registrieren & up-to-date bleiben

Scroll to Top