Ein Auftragsverarbeitungsvertrag kommt zum Einsatz, wenn personenbezogene Daten an Dritte weitergegeben und verarbeitet werden. Da in der heutigen Zeit das Auslagern von Aufgaben an Drittunternehmen oder Services eine gängige Praxis ist, betrifft dies viele Unternehmen. Beispielsweise muss auch das Nutzen eines Cloud-Systems zur Personal- und Kundenverwaltung durch einen Auftragsverarbeitungsvertrag geregelt werden.
Welche Anforderungen an den Auftragsverarbeitungsvertrag bestehen, kann in Art. 28 Abs. 3 DSGVO nachgelesen werden.
In Art. 28 DSGVO wird ein Auftragsverarbeitungsvertrag folgendermaßen definiert: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“
Weitergabe von personenbezogenen Daten allein muss nicht immer eine Auftragsverarbeitung darstellen. Das Augenmerk liegt hierbei auf der Verarbeitung der Daten durch den Auftragnehmer. Dienstleistungen, bei denen die Verarbeitung von personenbezogenen Daten kein Hauptbestandteil ist, werden nach DSGVO nicht als Auftragsverarbeitung gesehen und benötigen deshalb keinen Auftragsverarbeitungsvertrag. Bei beruflichen Tätigkeiten, welche schon von sich aus der Verschwiegenheit verpflichtet sind, ist ebenfalls kein Auftragsverarbeitungsvertrag notwendig.
Besteht allerdings kein Auftragsverarbeitungsvertrag in einer Situation, in der dieser notwendig wäre, so kann dies Konsequenzen wie beispielsweise hohe Bußgelder zur Folge haben. Es sollte deswegen immer geprüft werden, ob ein Auftragsverarbeitungsvertrag erforderlich ist und ob dieser alle notwendigen Inhalte aufweisen kann.
Haben Sie einen Dienstleistungsauftrag innerhalb Ihres Unternehmens wiedererkannt?
Wir helfen Ihnen einen rechtssicheren Auftragsverarbeitungsvertrag zu erstellen und Ihre Unternehmensprozesse
DSGVO-konform
anzupassen.
Die Auftragsverarbeitung beschreibt den Prozess der Auslagerung von Datenverarbeitungsprozessen durch das Beauftragen eines externen Dienstleisters. Der Dienstleister verarbeitet nach Weisung personenbezogenen Daten des Auftraggebers.
Seit dem 25. Mai 2018 ist die Möglichkeit zur Auftragsverarbeitung europaweit einheitlich in Art. 28 und Art. 29 DSGVO geregelt. Jede Auftragsverarbeitung erfolgt nach einem explizit der Verarbeitung angepassten AV-Vertrag.
Beim Erstellen von Datenschutz-Nachweisen, wie beispielsweise Impressum oder Datenschutzinformation, gibt es viele verschiedene Vorgaben zu beachten. Vor allem im rechtlichen Kontext ist es riskant beim Erstellen dieser Nachweise Fehler zu verursachen oder Lücken zu lassen. Diese können bei Problemen oder Vorkommnissen teure Folgen haben. Um diesen Situationen zu entgehen, ist es empfehlenswert Expert:innen zurate zu ziehen. Diese können beim Erstellen der Datenschutz-Nachweise helfen oder komplett übernehmen. So sind Sie immer auf der sicheren Seite.
Zum Erstellen der verschiedenen Datenschutz-Nachweise sind jeweils unterschiedliche Aspekte des Unternehmens und rechtliche Vorstellungen relevant. Es ist entscheidend, die Prozesse innerhalb des Unternehmens genau zu kennen, um zu ermitteln, welche Nachweise erstellt werden sollten und wie der Inhalt ausfallen muss. Beim Erstellen dieser Datenschutz-Nachweise gibt es einige allgemeine Formulierungen, aber auch einzelne Abschnitte, die auf unternehmensspezifischen Gegebenheiten beruhen.