Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Attorneys
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Wiki

Wiki»Legal Lexikon»IT Recht»Auftragsverarbeiter

Auftragsverarbeiter

Begriffserklärung: Was ist ein Auftragsverarbeiter?

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Die Tätigkeit des Auftragsverarbeiters erfolgt dabei ausschließlich nach den Weisungen des Verantwortlichen und dient der Unterstützung bei der Erfüllung bestimmter Aufgaben. Typische Beispiele für Auftragsverarbeiter sind IT-Dienstleister, Cloud-Anbieter oder externe Buchhaltungsfirmen.

Rechtliche Grundlagen und Abgrenzung

Die Rolle des Auftragsverarbeiters ist im Datenschutzrecht klar definiert. Der Unterschied zum sogenannten Verantwortlichen besteht darin, dass Letzterer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Auftragsverarbeiter hingegen führt die Verarbeitung nur im Rahmen der erhaltenen Weisungen aus und trifft keine eigenen Entscheidungen über den Umgang mit den Daten.

Abgrenzung zu anderen Rollen

Neben dem Verantwortlichen gibt es auch noch weitere Beteiligte an einer Datenverarbeitung wie beispielsweise Empfänger oder Dritte. Ein Empfänger erhält lediglich Zugriff auf bestimmte Daten ohne eigene Entscheidungsbefugnis hinsichtlich deren Verarbeitung. Ein Dritter ist jede Person außerhalb des Kreises von Verantwortlichem und Auftragsverarbeiter.

Pflichten eines Auftragsverarbeiters

Auftragsverarbeiter unterliegen umfangreichen Pflichten zum Schutz personenbezogener Daten. Sie müssen geeignete technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau zu gewährleisten. Dazu zählen etwa Maßnahmen zur Datensicherheit sowie zur Vertraulichkeit der verarbeiteten Informationen.

Datenzugriff nur nach Weisung

Der Zugriff auf personenbezogene Daten darf ausschließlich entsprechend den Anweisungen des Verantwortlichen erfolgen. Eigene Zwecke dürfen mit diesen Informationen nicht verfolgt werden.

Unterstützungspflichten gegenüber dem Verantwortlichen

Der Auftragsverarbeiter muss den Verantwortlichen bei bestimmten Aufgaben unterstützen – etwa bei Anfragen betroffener Personen bezüglich ihrer Rechte oder beim Melden von Datenschutzverletzungen an zuständige Stellen.

Anforderungen an Verträge zwischen Verantwortlichem und Auftragsverarbeiter

Zwischen dem Auftraggeber (Verantwortlicher) und dem Dienstleister (Auftragsverarbeiter) muss eine schriftliche Vereinbarung bestehen, in welcher Umfang, Art sowie Zweck der Verarbeitung festgelegt werden. Diese Vereinbarung regelt zudem die Dauer der Zusammenarbeit sowie Art und Kategorien betroffener Personen beziehungsweise verarbeiteter Datenarten.

Mindestinhalte einer Vereinbarung zur Auftragsdaten­bearbeitung

  • Klar definierte Gegenstände sowie Dauer der Verarbeitungstätigkeit
  • Kategorien betroffener Personen
  • Sicherheitsmaßnahmen zum Schutz personenbezogener Informationen
  • Pflichten zur Unterstützung bei Wahrnehmung von Betroffenenrechten
  • Anforderungen an Unteraufträge (Einschaltung weiterer Dienstleister)
  • Löschung bzw. Rückgabe aller personenbezogenen Informationen nach Abschluss des Vertragszwecks
  • Möglichkeiten für Kontrollen durch den Auftraggeber hinsichtlich Einhaltung datenschutzrechtlicher Vorgaben durch den Dienstleister.

Einsatz von Unteraufträgen durch einen Auftrags­bearbeiter

Einige Dienstleistungen erfordern es möglicherweise , dass ein beauftragtes Unternehmen weitere Subunternehmer hinzuzieht . In solchen Fällen gelten besondere Anforderungen : Die Einschaltung zusätzlicher Dienstleister bedarf in aller Regel einer vorherigen Genehmigung durch das beauftragende Unternehmen . Zudem müssen auch diese Subunternehmer sämtliche datenschutzrechtlich relevanten Vorgaben erfüllen .

< h2 > Haftung & Kontrollrechte beim Einsatz eines
Auftrag s verarbeiters
< / h2 >
< p >
Sowohl das beauftragende Unternehmen als auch dessen externer Partner tragen Verantwortung für einen ordnungsgemäßen Umgang mit sensiblen Informationen . Während das Hauptunternehmen grundsätzlich dafür haftet , dass alle gesetzlichen Vorschriften eingehalten werden , kann aber auch gegen einen externen Partner vorgegangen werden , wenn dieser seine Pflichten verletzt . Das Hauptunternehmen hat zudem umfassende Kontrollrechte gegenüber seinem externen Partner .
< / p >

< h4 > Kontrollmöglichkeiten < / h4 >
< ul >
< li > Durchführung regelmäßiger Audits < / li >
< li > Einsichtnahme in relevante Dokumentationen &
Nachweise über getroffene Sicherheitsmaßnahmen < / li >
< li > Möglichkeit zur Vor-Ort-Prüfung beim externen Partner< / li >

< h2 > Häufig gestellte Fragen zum Thema
Auftrag s ver arbeiter< / h2 >


< h3 > Wer gilt als
Auftrag s ver arbeiter ?< / h3 >
< p >
Eine Organisation gilt dann als externer Bearbeiter , wenn sie fremde sensible Angaben ausschließlich weisungsgebunden verarbeitet – also nicht selbst darüber entscheidet ,
für welche Zwecke diese genutzt werden .
< / p >

< h3 > Welche typischen Beispiele gibt es für externe Bearbeiter ?< / h3 >< p >
Typische Fälle sind IT – Serviceanbieter ,
Cloud – Speicherlösungen ,
externe Lohnbuchhalter oder Aktenvernichter .
Diese übernehmen Tätigkeiten rund um sensible Angaben im Namen anderer Firmen .
< / p >

< h3 > Welche recht lichen Pflichten treffen externe Bearbeiter ?< / h3 >< p >
Sie müssen insbesondere technische &
organisatorische Vorkehrungen treffen ,
um sensible Angaben ausreichend zu schützen,
dürfen diese nur gemäß erhaltenen Anweisungen nutzen,
und haben unterstützende Aufgaben gegenüber ihrem Vertragspartner wahrzunehmen .
< / p >

< h3 > Wie wird sichergestellt,
dass externe Bearbeiter korrekt arbeiten?< / h3 >< p >
Durch verbindliche Verträge zwischen beiden Parteien,
regelmäßige Überprüfungen seitens des Vertragspartners sowie klare Dokumentationspflichten wird sichergestellt,
dass alle Vorgaben eingehalten werden .
< / p >

< h3 > Darf ein externer Bearbeiter weitere Subunternehmer einsetzen?< / h3 >< p >
Dies ist grundsätzlich möglich,
bedarf jedoch meist einer ausdrücklichen Zustimmung seitens seines Vertragspartners;
auch Subunternehmer unterliegen sämtlichen relevanten Anforderungen bezüglich Datenschutz &
Datensicherheit .
< / p >

< h3 > Wer haftet bei Verstößen gegen Datenschutzvorgaben?< / h3 >< p >
Grundsätzlich trägt das Hauptunternehmen Verantwortung dafür,
dass sämtliche Vorschriften eingehalten werden;
bei Pflichtverletzungen können jedoch sowohl dieses als auch sein externer Partner belangt werden –
je nachdem wer konkret gegen geltendes Recht verstößt hat.< / p >< script type = "application/ld+json" > {
„@context“: „https://schema.org“,
„@type“: „FAQPage“,
„mainEntity“: [{
„@type“: „Question“,
„name“: „Wer gilt als Auftragsverarbeiter?“,
„acceptedAnswer“: {
„@type“: „Answer“,
„text“: „Eine Organisation gilt dann als externer Bearbeiter, wenn sie fremde sensible Angaben ausschließlich weisungsgebunden verarbeitet – also nicht selbst darüber entscheidet, für welche Zwecke diese genutzt werden.“
}
},
{
„@type“: „Question“,
„name“: „Welche typischen Beispiele gibt es für externe Bearbeiter?“,
„acceptedAnswer“: {
„@type“: „Answer“,
„text“: „Typische Fälle sind IT-Serviceanbieter, Cloud-Speicherlösungen, externe Lohnbuchhalter oder Aktenvernichter. Diese übernehmen Tätigkeiten rund um sensible Angaben im Namen anderer Firmen.“
}
},
{
„@type“: „Question“,
„name“: „Welche rechtlichen Pflichten treffen externe Bearbeiter?“,
„acceptedAnswer“: {
„@type“: ‚Answer‘,
‚text‘: ‚Sie müssen insbesondere technische & organisatorische Vorkehrungen treffen,num sensible Angaben ausreichend zu schützen,ndürfen diese nur gemäß erhaltenen Anweisungen nutzen,nund haben unterstützende Aufgaben gegenüber ihrem Vertragspartner wahrzunehmen.‘
}
},
{
„@type“:“Question“,
„name“:“Wie wird sichergestellt,dass externe Bearbeiter korrekt arbeiten?“,
„acceptedAnswer“:{
„@type“:“Answer“,“text“:“Durch verbindliche Verträge zwischen beiden Parteien,nregelmäßige Überprüfungen seitens des Vertragspartners sowie klare Dokumentationspflichten wird sichergestellt,ndass alle Vorgaben eingehalten werden.“
}
},
{
„@type“:“Question“,“name“:“Darf ein externer Bearbeiter weitere Subunternehmer einsetzen?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Dies ist grundsätzlich möglich,nbedarf jedoch meist einer ausdrücklichen Zustimmung seitens seines Vertragspartners;nauch Subunternehmer unterliegen sämtlichen relevanten Anforderungen bezüglich Datenschutz &nDatensicherheit.“}
},
{
„@type“:“Question“,“name“:“Wer haftet bei Verstößen gegen Datenschutzvorgaben?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Grundsätzlich trägt das Hauptunternehmen Verantwortung dafür,ndass sämtliche Vorschriften eingehalten werden;nbei Pflichtverletzungen können jedoch sowohl dieses als auch sein externer Partner belangt werden -nje nachdem wer konkret gegen geltendes Recht verstößt hat.“}
}
]
}

Auf dieser Seite

Tags dieses Rechtsbegriffs

Weitere Begriffserklärungen