Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Wiki

Auftragsverarbeiter

Begriffserklärung: Was ist ein Auftragsverarbeiter?

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Der Begriff stammt aus dem Datenschutzrecht und beschreibt Unternehmen oder Organisationen, die Daten nicht für eigene Zwecke nutzen, sondern ausschließlich nach Weisung des Auftraggebers handeln.

Rechtliche Grundlagen und Bedeutung

Die Rolle des Auftragsverarbeiters ist im Datenschutzrecht klar definiert. Ziel dieser Regelungen ist es sicherzustellen, dass personenbezogene Daten auch dann geschützt bleiben, wenn sie an Dritte weitergegeben werden. Der Verantwortliche bleibt dabei für den Schutz der Daten verantwortlich und muss sicherstellen, dass der beauftragte Dienstleister alle gesetzlichen Vorgaben einhält.

Abgrenzung zum Verantwortlichen

Der Unterschied zwischen einem Verantwortlichen und einem Auftragsverarbeiter liegt in der Entscheidungsbefugnis über die Verarbeitung von personenbezogenen Daten. Während der Verantwortliche darüber entscheidet „ob“ und „wie“ eine Verarbeitung erfolgt, führt der Auftragsverarbeiter diese Tätigkeiten lediglich auf Anweisung aus.

Typische Beispiele für Auftragsverarbeitung

Häufige Fälle von Auftragsverarbeitung sind etwa das Outsourcing von IT-Dienstleistungen wie Cloud-Speicherlösungen oder Lohnabrechnungsdienste. Auch externe Callcenter oder Aktenvernichtungsunternehmen können als Auftragsverarbeiter tätig sein.

Anforderungen an einen Auftragsverarbeiter

Vertrag zur Auftragsverarbeitung (AV-Vertrag)

Zwischen dem Verantwortlichen und dem beauftragten Unternehmen muss ein schriftlicher Vertrag geschlossen werden. Dieser regelt unter anderem den Gegenstand sowie Dauer der Verarbeitung, Art und Zweck der Nutzung sowie Rechte und Pflichten beider Parteien hinsichtlich des Datenschutzes.

Sorgfaltspflichten des Auftraggebers bei Auswahl des Dienstleisters

Der Auftraggeber hat die Pflicht zu prüfen, ob sein Dienstleister geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergreift. Dies umfasst beispielsweise Verschlüsselungstechnologien oder Zugangsbeschränkungen.

Kontrollrechte gegenüber dem Dienstleister

Dem Auftraggeber stehen Kontroll- sowie Überwachungsrechte zu. Er kann sich regelmäßig davon überzeugen lassen beziehungsweise Nachweise verlangen, dass beim Dienstleister alle datenschutzrechtlichen Anforderungen eingehalten werden.

Befugnisse & Grenzen eines Auftragsverarbeiters

Zulässige Handlungen durch den Verarbeiter

Ein Verarbeiter darf nur solche Handlungen mit den ihm überlassenen personenbezogenen Daten vornehmen wie sie ausdrücklich vom Auftraggeber angewiesen wurden – etwa Speichern bestimmter Informationen in einer Cloud-Lösung.

Einsatz weiterer Unteraufträge (Subunternehmer)

Sollte ein Verarbeiter weitere Subunternehmer einsetzen wollen – beispielsweise einen externen Rechenzentrumsbetreiber -, so bedarf dies grundsätzlich einer vorherigen Genehmigung durch den ursprünglichen Auftraggeber.

Sanktionen bei Verstößen gegen datenschutzrechtliche Vorgaben

Werden Vorschriften zur Beauftragung nicht eingehalten – etwa weil kein Vertrag besteht oder unzulässige Weitergaben erfolgen -, drohen empfindliche Sanktionen bis hin zu Bußgeldern.

Häufig gestellte Fragen zum Thema „Auftragsverarbeiter“ (FAQ)

Muss jeder Einsatz eines externen Unternehmens als „Auftrags­ verarbeitung“ gelten?

Nicht jede Zusammenarbeit mit einem externen Unternehmen stellt automatisch eine solche dar; entscheidend ist stets das Vorliegen einer weisungsgebundenen Tätigkeit bezüglich personenbezogener Daten.

Darf ein Verarbeiter eigenständig über Zwecke entscheiden?

Nein; er handelt ausschließlich nach Weisung seines Vertragspartners ohne eigene Entscheidungsbefugnis hinsichtlich Zweckbestimmung.

< h 1 >Welche Mindestinhalte sollte ein Vertrag zur Beauftragung enthalten? < p >Er sollte insbesondere Gegenstand/Dauer/Art/Zweck/Umfang/Rückgabe/Löschung/Sicherheitsmaßnahmen/Rechte/Pflichten regeln.< / p >

< h 1 >Was passiert bei unzulässiger Weitergabe an Dritte? < p >Eine unerlaubte Weiterleitung kann schwerwiegende Konsequenzen haben; sowohl verantwortliches Unternehmen als auch eingesetzter Partner können haftbar gemacht werden.< / p >

< h 1 >Wie wird sichergestellt , dass Subunternehmer ebenfalls datenschutzkonform arbeiten ?< / h1 >< p >Für jeden weiteren Unterauftrag müssen dieselben Anforderungen gelten ; meist wird dies durch entsprechende Vereinbarungen abgesichert .< / p >

< h 1 >Kann eine Privatperson auch als externer Partner tätig sein ?< / h1 >< p >Ja , sofern sie im Rahmen ihrer Tätigkeit weisungsgebunden agiert . Die rechtlichen Anforderungen unterscheiden sich dabei nicht .< / p >

< h 1 >Wer trägt letztlich die Verantwortung für Verstöße ?< / h1 >< p >
Grundsätzlich bleibt das ursprünglich verantwortliche Unternehmen verpflichtet , jedoch kann auch das externe Unternehmen belangt werden .

Auf dieser Seite

Tags dieses Rechtsbegriffs

Weitere Begriffserklärungen