Wenn Sie Auftragsverarbeiter laut DSGVO sind, haben Sie einige besondere Pflichten.

Doch leider realisieren viele Unternehmen gar nicht, dass sie zur Gruppe der Auftragsverarbeiter gehören. Und das kann dann schnell zu Problemen führen!

Um solche Probleme zu vermeiden und Ihre DSGVO Pflichten gesetzmäßig zu erfüllen, sollten Sie also abklären, ob auch Sie Auftragsverarbeiter sind und welche zusätzlichen Verpflichtungen dabei auf Sie zukommen!

Damit Ihnen das ganz einfach gelingt, haben wir hier die wichtigsten Informationen für Sie zusammengefasst:

• Was bedeutet „Auftragsverarbeitung“ überhaupt?
• Wer kann Auftragsverarbeiter sein?
• Welche besonderen Pflichten haben Sie als Auftragsverarbeiter?
• Was passiert, wenn Sie Ihre Pflichten nicht erfüllen?

Was bedeutet Auftragsverarbeitung eigentlich?

„Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages.“

Charakteristisch für die Auftragsverarbeitung ist, dass ein Unternehmen externe Dienstleister damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten.

Die Verantwortung für die DSGVO-konforme Datenverarbeitung verbleibt dabei beim Auftraggeber. Dieser ist somit der Hauptverantwortliche für den Datenschutz. Der externe Dienstleister wird bei der Auftragsverarbeitung nur unterstützend tätig, er ist praktisch der „verlängerte Arm“ des Auftraggebers. 

Einige Beispiele für Auftragsverarbeitungen sind:

Wer kann also Auftragsverarbeiter sein?

Sie sind Auftragsverarbeiter, wenn Sie Auftragsverarbeitungen, wie oben beschrieben durchführen.

Die Regelungen der Auftragsverarbeitung gelten für Sie schon dann, wenn die Verarbeitung einen Zusammenhang mit Tätigkeiten einer Niederlassung in der Union aufweist. Das heißt, dass es ausreichend ist, wenn entweder der Verantwortliche (also der Auftraggeber), oder Sie als Auftragsverarbeiter eine Niederlassung in der Union betreiben und die Verarbeitung mit der Arbeit in dieser zusammenhängt.

Beispiele für Auftragsverarbeiter:

• IT Dienstleister, die auf die Systeme ihrer Kunden zugreifen (z.B. via Fernwartung)
• Werbeagenturen die z.B. die Website oder Social Media Kanäle ihrer Kunden betreuen
• Anbieter von Software, die in einer Cloud gehostet sind

Welche besonderen Pflichten haben Sie als Auftragsverarbeiter?

Als Auftragsverarbeiter haben Sie (zusätzlich zu den grundsätzlichen Pflichten für Unternehmen laut DSGVO) einige besondere Aufgaben zu erfüllen:

Bei Auftragsverarbeitungen muss ein eigener Vertrag zwischen dem Auftraggeber und dem Auftragsverarbeiter geschlossen werden.

Dafür gibt es einige inhaltliche Mindestanforderungen wie z.B. welche Art von personenbezogenen Daten verarbeitet werden und der Gegenstand und Zweck der Verarbeitung. AVVs sollen den Schutz der eigenen Daten in fremden Unternehmen garantieren. Damit stellen sie ein wichtiges Element des Datenschutzes dar!
Mehr dazu erfahren Sie in unserem Beitrag zum Inhalt eines Auftragsverarbeitervertrages.

Eine weitere Pflicht besteht im Führen eines eigenen Auftragsverarbeiterverzeichnisses.

Darin werden z.B. die Namen und Kontaktdaten jedes Verantwortlichen, in dessen Auftrag Sie als Verarbeiter tätig sind, sowie die Kategorie der Verarbeitung usw. dokumentiert. 

Was passiert bei einem Verstoß?

Wenn Sie Auftragsverarbeiter sind und keinen Auftragsverarbeitervertrag mit Ihren Auftraggebern abschließen, verstoßen Sie ebenfalls gegen Ihre Pflichten laut DSGVO.

Dabei kann es schnell zu hohen Strafen kommen! Darüber hinaus können auch die Personen, deren Daten betroffen sind vom Auftragnehmer und Auftraggeber Schadensersatz verlangen.