Auftragsverarbeitung
Was fällt unter diese Kategorie?
Zur Auftragsverarbeitung zählen viele Prozesse, die Unternehmen gerne auslagern, beispielsweise
- die dauerhafte oder temporäre Nutzung von Cloud-Speichern oder Cloud-Anwendungen,
- die Auslagerung des Kundenservices (z. B. Bestellannahme oder Kundenservice) an ein externes Callcenter,
- die dauerhafte oder temporäre Nutzung externer Serverkapazitäten,
- die Entsorgung von Datenträgern oder Akten,
- Wartungsdienstleistungen der IT-Infrastruktur,
- die Nutzung von Google Analytics,
- die Nutzung von Service-Unternehmen wie E-Mail- oder CRM-Dienstleistern.
Wer gilt als Auftragsverarbeiter?
Als Auftragsverarbeiter gilt
- jede natürliche Person, die nicht im Unternehmen (bei der verantwortlichen Stelle) angestellt ist und personenbezogene Daten im Auftrag des Auftraggebers verarbeitet oder
- jede juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Auftraggebers verarbeitet. Dabei ist es unerheblich, ob es sich um ein Fremd-Unternehmen oder eine Firma handelt, die zum Firmenverbund der verantwortlichen Stelle gehört.
Wer hat das Sagen?
Der Auftraggeber bleibt für alle Zeiten Herr der von ihm erhobenen Daten und damit in der Grundverantwortung für alle Verfahrensschritte und Ergebnisse. Er muss aktiv die Einhaltung aller Datenschutzvorschriften gewährleisten und kontrollieren. Dieser Verantwortung kann er sich nicht durch die Beauftragung eines Rechenzentrums oder eines anderen Dienstleisters entziehen, sondern er bleibt der Normadressat für die Betroffenen. Das heißt, ihm gegenüber sind alle Rechte geltend zu machen.
Doch dies bedeutet keineswegs, dass der Auftragsverarbeiter nicht für Verstöße verantwortlich wäre. Auch er muss in seinem Zuständigkeitsbereich alle Anforderungen der EU-DSGVO erfüllen. Beispielsweise muss er seinen Dokumentationspflichten nachkommen und auch gegenüber betroffenen Personen haften!
Merke:
Der Auftraggeber darf nur mit solchen Auftragnehmern zusammenarbeiten, die garantieren können, dass sie die Verarbeitung der Daten unter Befolgung des Datenschutzrechts gewährleisten können.
Zusammenfassung
Spezielle IT-Bereiche befassen sich mit der Speicherung, Verarbeitung und Auswertung von großen Datenbeständen
("Big Data"), etwa indem sie "Data Mining" betreiben (also Muster herausfiltern).
Aber auch die Verarbeitung kleinerer Datenbestände wird oftmals von Unternehmen ausgelagert. Wenn davon auch personenbezogene Daten betroffen sind, muss zuvor ein Auftragsverarbeitungsvertrag (AVV) zwischen der verantwortlichen Stelle und dem Dienstleister geschlossen werden. Dieser Vertrag regelt alle inhaltlichen Details und erlaubt die Übermittlung der Daten ohne gesonderte gesetzliche Erlaubnis/Anordnung und ohne Einwilligung des Betroffenen.
Beispiele für Auftragsverarbeitung sind der Einsatz von Cloud-Speichern, Shop-Hostern, Callcentern, Daten- oder Akten-Vernichtungsunternehmen, IT-Wartungsunternehmen, Google Analytics, E-Mail- oder CRM-Dienstleistern.
Verantwortlich bei Verstößen gegen den Datenschutz ist in erster Linie der Auftraggeber; doch auch der Auftragsverarbeiter muss die datenschutzrechtlichen Vorgaben einhalten und ggf. mit haften.
Wir vertrauen Ihnen
und Ihrer Kompetenz!
