Argana Consulting GmbH 
Lasst uns lieber darüber reden, wie sich die Probleme lösen lassen.

Auftragsverarbeitung in Sinne der DSGVO

Ein Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Die Verantwortlichkeit für die personenbezogenen Daten verbleiben im Unternehmen und gehen nicht an den Auftragsverarbeiter über.

Ein Auftragsverarbeiter kann beispielsweise ein IT-Dienstleister sein, der die Datenverarbeitung für einen Kunden übernimmt, oder ein Cloud-Provider, der Daten für ein Unternehmen speichert. Der Auftragsverarbeiter darf die personenbezogenen Daten nur im Rahmen der Weisungen des Verantwortlichen und unter Einhaltung der datenschutzrechtlichen Bestimmungen verarbeiten.

Die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter wird in einem Auftragsverarbeitungsvertrag geregelt, in dem unter anderem die Art und Zweck der Verarbeitung, die Dauer der Verarbeitung, die Art der personenbezogenen Daten, die betroffenen Personen sowie die technischen und organisatorischen Maßnahmen zur Datensicherheit festgelegt werden. Der Verantwortliche bleibt für die Einhaltung der datenschutzrechtlichen Bestimmungen gegenüber den betroffenen Personen und den Datenschutzbehörden verantwortlich, auch wenn er die Verarbeitung an einen Auftragsverarbeiter ausgelagert hat.

Ein Auftragsverarbeitungsvertrag ist ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO), der die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen regelt. Der Vertrag sollte bestimmte Punkte gemäß Artikel 28  DSGVO enthalten, darunter:

  • Gegenstand und Dauer der Verarbeitung: Es soll klar definiert sein, welche personenbezogenen Daten vom Auftragsverarbeiter verarbeitet werden sollen und zu welchem Zweck dies geschieht. Ebenso soll die Dauer der Verarbeitung festgelegt werden.
  • Art und Zweck der Verarbeitung: Es soll klargestellt sein, welche Datenkategorien verarbeitet werden und zu welchem Zweck dies geschieht.
  • Art der personenbezogenen Daten: Es soll genau definiert sein, welche personenbezogenen Daten verarbeitet werden und welche Kategorien von betroffenen Personen betroffen sind.
  • Rechte und Pflichten des Verantwortlichen: Es sollten die Rechte und Pflichten des Verantwortlichen hinsichtlich der Kontrolle der Datenverarbeitung und der Einhaltung der DSGVO-Vorschriften sowie die Art und Weise der Überwachung der Datensicherheit und des Datenschutzes festgelegt werden.
  • Rechte und Pflichten des Auftragsverarbeiters: Es soll klargestellt werden, welche Verantwortlichkeiten der Auftragsverarbeiter in Bezug auf die Verarbeitung der personenbezogenen Daten hat, einschließlich der technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit.
  • Unterauftragsverarbeitung: Es soll festgelegt sein, ob der Auftragsverarbeiter eine Unterauftragsverarbeitung (Kettenoutsourcing) durchführen darf und unter welchen Bedingungen dies geschehen kann.
  • Haftung und Schadensersatz: Es soll die Haftung und die Schadensersatzregelungen für den Fall einer Verletzung der DSGVO-Vorschriften oder des Vertrags durch eine Partei festgelegt werden.
  • Vertraulichkeit und Datenschutz: Es soll sichergestellt werden, dass der Auftragsverarbeiter die Vertraulichkeit der personenbezogenen Daten wahrt und alle erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Daten ergreift.
  • Rückgabe und Löschung personenbezogener Daten: Es soll festgelegt werden, welche Schritte der Auftragsverarbeiter im Hinblick auf die Rückgabe oder Löschung personenbezogener Daten unternehmen muss, sobald die Verarbeitung abgeschlossen ist.
  • Audit- und Kontrollrechte: Es soll klargestellt werden, welche Audit- und Kontrollrechte der Verantwortliche gegenüber dem Auftragsverarbeiter hat, um sicherzustellen, dass die DSGVO-Vorschriften eingehalten werden.
  • Anwendbares Recht und Gerichtsstand: Es soll das anwendbare Recht und der Gerichtsstand für Streitigkeiten im Zusammenhang mit dem Vertrag festgelegt werden.


Wichtiger Hinweis 

Der Auftragsverarbeitungsvertrag ist ein schriftlicher Vertrag zwischen zwei Unternehmen und sollte von juristischen Personen und vom Datenschutzbeauftragtem erstellt und verhandelt werden. Die oben angerführten Punkte sind als Überblick gedacht und sind für einen Mustervertrag damit nicht geeignet. 


Begriff Kettenoutsourcing

Kettenoutsourcing, auch als mehrstufiges Outsourcing bezeichnet, bezieht sich auf eine Praxis, bei der ein Unternehmen die Verarbeitung personenbezogener Daten an mehrere Auftragsverarbeiter weitergibt, die ihrerseits die Daten an weitere Unterauftragsverarbeiter weitergeben können. Mit anderen Worten, es handelt sich um eine Kette von Unternehmen, die zusammenarbeiten, um die Verarbeitung personenbezogener Daten durchzuführen.