Auftragsverarbeitung

anwendbares Recht seit dem 25. Mai 2018

Im Zuge der Umstellung auf die Datenschutzgrundverordnung (DSGVO) wird der für Auftragsdatenverarbeitung vorher einschlägige § 11 Bundesdatenschutzgesetz (BDSG) durch Art. 28 DSGVO abgelöst.

Ein Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. In diesem Fall übernimmt jener Dritter, der Auftragnehmer, Aufgaben der Verarbeitung von personenbezogenen Daten auf Anweisung des Auftraggebers. Die Grundlagen der Auftragsverarbeitung werden in den Art. 28 f. DSGVO geregelt.

Typische Beispiele für eine Auftragsverarbeitung sind:

  • externe Lohnbuchhaltung
  • externe Reisekostenabrechnung
  • Datenträgervernichtung (z.B. Papier- und Aktenentsorgung)
  • Werbeadressengewinnung und -verarbeitung (z.B. Newsletterversand, Kundenumfagen, Gewinnspiele)
  • die Auslagerung von Datendiensten zu Websites (z.B. Einsatz von Trackingtools wie Google Analytics)
  • die Nutzung von Cloud-Services (z.B. virtueller Webserver oder Nutzung von Microsoft Office 365 oder Google Docs) und sofern ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann
  • Betreuung der IT-Infrastruktur durch einen IT-Dienstleister
  • Wartung von Softwarelösungen, Webportalen, Onlineshops etc. durch ein externes Softwareentwicklungsunternehmen
Ihre Ansprechpersonen

Team Datenschutz & Informationssicherheit

Telefon: +49 (0)30 293 98 300
Mail: edsb@procado.de

Auftragsverarbeitungsvertrag

Die Verarbeitung von personenbezogenen Daten im Auftrag muss auf Grundlage eines Vertrages zur Auftragsverarbeitung (AV-Vertrag) geschehen. Der Vertrag ist vor der Aufnahme der Auftragsverarbeitung abzuschließen. Der wirksame Abschluss eines solchen Vertrages ist an einige Grundbedingungen geknüpft:

  • Vor der Beauftragung muss durch den Auftraggeber überprüft werden, ob ein potentieller Auftragnehmer geeignet ist, eine AV-Leistung datenschutzrechtlich sicher durchzuführen (Art. 28 Abs. 1 DSGVO). Dabei muss der Auftraggeber v.a. die technischen und organisatorischen Maßnahmen des Auftragnehmers (vgl. Art. 32 DSGVO) überprüfen.
  • Die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO oder anerkannter Zertifizierungen gem. Art. 42 DSGVO durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne von Art. 28 Abs. 1 DSGVO nachzuweisen.
  • Ein AV-Vertrag muss schriftlich geschlossen werden. Art. 28 Abs. 9 DSGVO stellt allerdings klar, dass auch eine elektronische Form (z.B. E-Mail) ausreichend ist.

Gesetzliche Pflichten des Auftragnehmers

Nach Art. 28 Abs. 10 DSGVO gilt ein Auftragnehmer dann als verantwortliche Stelle der Datenverarbeitung, wenn er sich entsprechenden Weisungen des Auftraggebers widersetzt. Dies betrifft insbesondere etwaige Haftungs- und Auskunftsansprüche von betroffenen Personen. Außerdem existieren nach Art. 82 DSGVO spezielle Haftungsanforderungen für Auftragsverarbeiter.

Darüber hinaus muss nach Art. 30 Abs. 2 DSGVO auch der Auftragnehmer ein „Verzeichnis von Verarbeitungstätigkeiten“ führen, welches auf Verlangen einer Aufsichtsbehörde vorzeigbar sein muss. Liegt eine Datenpanne vor, muss der Auftraggeber die Aufsichtsbehörde nach Art. 33 Abs. 2 DSGVO unverzüglich, spätestens aber nach 72 Stunden darüber informieren. Erfolgt die Meldung nicht binnen 72 Stunden, so ist der Meldung eine Begründung für die Verzögerung beizufügen.

Der Einsatz von Subunternehmern innerhalb einer Auftragsverarbeitung ist unter den Voraussetzungen des Art. 28 Abs. 2 DSGVO möglich. Danach muss der Auftraggeber jede Beauftragung eines Subunternehmens durch den Auftragnehmer schriftlich genehmigen.

Unser Angebot

Auditierung der Datenverarbeitung im Auftrag nach Art. 28 Datenschutzgrundverordnung (DSGVO)
Viele Unternehmen lagern Teilaufgaben an externe Dienstleister aus. Insbesondere bei IT-Aufgaben wie Cloud-Computing oder dem Anbieten von externen Servern ist dies zur üblichen Praxis geworden. Jedoch ist für diese und andere externe Verarbeitungen von personenbezogenen Daten ein entsprechender Vertrag zwingend notwendig. Hierzu bieten wir folgende Leistungen an:

  • IT-Beratung für Auftragnehmer oder Auftraggeber
  • Prüfung der Verträge
  • Überprüfung der IT-Sicherheits- und Datenschutzkonzepte (sofern für die Auftragsverarbeitung relevant)
  • Vor-Ort-Kontrollen beim Auftragnehmer zur Prüfung der umgesetzten technischen und organisatorischen Maßnahmen
  • Identifikation von Korrektur- und Verbesserungsmaßnahmen
  • Erstellung eines Reports mit Maßnahmenempfehlungen
  • datenschutzrechtliche Bewertung von Geschäftsprozessen für Auftragnehmer
  • Ausstellung eines Zertifikats

Beratung/Prüfung des externen Dienstleisters (für Auftraggeber)
Das Angebot richtet sich an Unternehmen, die als Auftraggeber Dienstleistungen nach Art. 28 DSGVO an einen externen Auftragnehmer abgeben wollen. Der Auftraggeber als verantwortliche Stelle hat die Pflicht, den Auftragnehmer entsprechend der datenschutzrechtlichen Eignung auszuwählen. Die Pflichten und Rechte seitens der Vertragspartner sind in einem Vertrag zur Auftragsverarbeitung zu definieren und deren Umsetzung ist zu prüfen. Laut Gesetzgeber sind regelmäßige Kontrollen gefordert, diese sind zu dokumentieren.

Zertifizierung von Geschäftsprozessen (für Auftragnehmer)
Das Angebot richtet sich an externe Dienstleister, die als Auftragnehmer gegenüber ihren Auftraggebern den Nachweis der Einhaltung der Datenschutzvorgaben nach Art.28 DSGVO erbringen wollen. Für Auftragnehmer kann die Bescheinigung der Datenschutzkonformität der Geschäftsprozesse durch unabhängige Prüfer eine vertrauensbildende Maßnahme gegenüber potenziellen Neukunden darstellen. Einen besonderen Mehrwert stellen diese unabhängigen Prüfzertifikate aber insbesondere deshalb dar, weil damit aufwändige Einzelprüfungen durch Auftraggeber hinsichtlich der Umsetzung der vereinbarten technischen und organisatorischen Sicherheitsmaßnahmen entfallen.


Bei individuellen Anliegen, weiterführenden Fragen oder Angebotsanfragen zur Auditierung Ihrer Geschäftsprozesse wenden Sie sich gerne über das Kontaktformular an unser Datenschutzteam.