HOSH MEDIA

Share on facebook
Share on linkedin
Share on email
Share on twitter

Auftragsverarbeitung

Auftragsverarbeitung

Es kommt in der Praxis häufig vor, dass der Verantwortliche nicht alle Leistungen für die Vertragserfüllung aus eigener Kraft erbringen kann. Es ist daher nicht ungewöhnlich, dass ein Dienstleister zur Unterstützung eingeschaltet wird. Die DSGVO bezeichnet solche Dienstleister als Auftragsverarbeiter. Der Auftragsverarbeiter ist weisungsgebunden und verarbeitet personenbezogene Daten auf Grundlage eines schriftlichen Vertrags. Der Auftragsgeber bleibt dabei in der Haftung und Verantwortung.

Ein Beispiel ist der externe Buchhalter. Dabei bleibt der Auftraggeber, also das Unternehmen, für eine datenschutzkonforme Datenverarbeitung seines Buchhalters verantwortlich. Also ist das Unternehmen gut beraten bei der Wahl seiner Dienstleister, sogenannte Auftragsverarbeiter, hinreichend vorsorglich vorzugehen und nur solche beauftragen, die eine Verarbeitung im Einklang mit der DSGVO durchführen.

Typische Fälle für eine Auftragsverarbeitung sind:

  • Cloudbasierte und externe Lohnbuchhaltung
  • Versendung von Newsletter und E-Mailing über einen externen Cloud-Anbieter
  • Versand von Waren und Werbegeschenken durch externe Dienstleister
  • CRM´s, die über eine Cloud gehostet werden
  • Hosting von Onlineshops und Webseiten
  • Agenturen, wenn sie personenbezogene Daten verarbeiten
  • Jegliche Verarbeitung personenbezogener Daten durch eine externe Stelle

Für die Beauftragung eines Auftragsverarbeiters sieht Die DSGVO einen Vertrag zwischen dem Verantwortliche und dem Auftragsverarbeiter vor. Diesen Vertrag wird auch Auftragsverarbeitungsvertrag genannt

Auftragsverarbeitungsvertrag

Beim Auftragsverarbeitungsvertrag sind folgende Mindestvertragsinhalte zu beachten:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Die Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Regelungen zur Beendigung des Auftragsverhältnisses

Außerdem muss der Auftragsverarbeiter verpflichtet werden, folgende Punkte zu beachten und zu befolgen:

  • Verarbeitung nur auf Basis dokumentierter Weisung
  • Information des Verantwortlichen, wenn Weisungen gegen Datenschutzbestimmungen verstoßen
  • Einsatz technischer und organisatorischer Maßnahmen -die sogenannten TOMs – für eine datenschutzkonforme Verarbeitung
  • Einhaltung der Regelungen beim Einsatz eines weiteren Auftragsverarbeiters
  • Nachweis der Einhaltung der Pflichten aus der Auftragsverarbeitung
  • Mitwirkungspflicht bei Überprüfungen seitens des Verantwortlichen
  • Unterstützung des Verantwortlichen, wenn betroffene Personen ihre Rechte wahrnehmen

Darüber hinaus ist der Auftragsverarbeiter verpflichtet die verantwortliche Stelle beim Vorliegen von melde- und benachrichtigungspflichtigen Sicherheitsverstößen sofort zu informieren und zu unterstützen.

Hat der Dienstleister seinen Sitz außerhalb der EU, beispielsweise in Amerika (USA), dann gelten weitere besondere Regelungen. Bei der Datenübertragung in ein Drittland außerhalb der EU, wo nicht die gleiche Datenschutz Standards gelten wie in der EU, sind besondere Regelungen zu beachten.

Eine Übertragung darf stattfinden, wenn die EU-Kommission die Übertragung durch entsprechende Prüfung die Angemessenheit des Datenschutzniveaus bestätigt hat. Derzeit existieren Angemessenheitsbeschlüsse für folgende Länder: Andorra, Argentinien, Kanada, Israel, Japan, Schweiz. Die komplette Liste kann hier eingesehen werden.

https://cutt.ly/LhAr8I4

Zwar gibt es keine Angemessenheitsfeststellung für die USA, doch haben sich die EU und die US-Regierung auf ein Abkommen mit der Bezeichnung EU-US Privacy Shield geeinigt. Dieses Abkommen wurde nun vom Europäischen Gerichtshof nach etwa zwei Jahren der Anwendung für ungültig erklärt. Hintergrund ist, dass die nationalen Gesetze der USA den US-Behörden nahezu unbegrenzten Zugang zu personenbezogenen Daten gewähren. Damit können Unternehmen Daten nur noch über Standardvertragsklauseln in die USA übertragt werden können.

Mit den Standardvertragsklauseln ist sichergestellt dass der Empfänger geeignete Garantien zur Einhaltung der Datenschutzregeln vorgesehen hat. Verantwortlich bleibt jedoch weiterhin die Verantwortliche Stelle, der Auftraggeber.

Darüber hinaus gibt es eine Reihe von Ausnahmenfällen, wo ohne Einhaltung von oben genannten Punkten die Datenübertragung in ein Drittland stattfinden kann. Beispielsweise können die Daten mit der Einwilligung der Betroffenen Person übermittelt werden. Wichtig ist, dass wir die betroffene Person bei der Einwilligung über die Risiken der Übermittlung aufklären und dass die Person jederzeit seine Einwilligung widerrufen kann.

Shabi Houshangi

Shabi Houshangi

Telefax ist nicht Datenschutz konform
Datenschutz - Praktische Anwendung

Telefax ist nicht Datenschutz konform

Mai 2021 erklärte der Bremer Landesbeauftragte für den Datenschutz, dass Faxe nicht datenschutzkonform sind. Doch was bedeutet das genau? War das Faxen nicht eine der sichersten Methoden zur Übermittlung personenbezogener Daten?

Weiterlesen »

Datenschutzschulung

Eine jährliche Datenschutzschulung ist Pflicht. Mit unserer Datenschutzschulung vermeidest Du Datenschutzverletzungen und sparst Dir jede Menge Ärger.

Die meisten Fehler im Bereich des Datenschutzes sind auf mangelndes Wissen der Mitarbeiter zurückzuführen.

Schule jetzt Deine Mitarbeiter mit unserer Onlineplattform

Jetzt registrieren & up-to-date bleiben

Scroll to Top

Wir sind für Dich Da!

Schön, dass Du da bist

Vereinbare Jetzt ein kostenloses Beratungsgespräch!

Vor Ort oder Online