Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Attorneys
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Wiki

Wiki»Legal Lexikon»Datenschutzrecht»Auftragsverarbeitung

Auftragsverarbeitung

Begriff und Bedeutung der Auftragsverarbeitung

Die Auftragsverarbeitung ist ein zentraler Begriff im Datenschutzrecht. Sie beschreibt die Konstellation, in der eine Organisation (der sogenannte Verantwortliche) einen externen Dienstleister damit beauftragt, personenbezogene Daten im Auftrag zu verarbeiten. Dabei bleibt die Verantwortung für den Schutz und die rechtmäßige Verarbeitung dieser Daten beim Auftraggeber, während der Dienstleister als sogenannter Auftragsverarbeiter tätig wird.

Abgrenzung: Verantwortlicher und Auftragsverarbeiter

Der Unterschied zwischen dem Verantwortlichen und dem Auftragsverarbeiter ist wesentlich für das Verständnis des Begriffs. Der Verantwortliche entscheidet über Zweck und Mittel der Verarbeitung personenbezogener Daten. Der Auftragsverarbeiter hingegen verarbeitet diese Daten ausschließlich nach Weisung des Verantwortlichen und darf sie nicht für eigene Zwecke nutzen.

Typische Beispiele für Auftragsverarbeitung

  • Buchhaltungsdienstleister, die Lohnabrechnungen erstellen
  • IT-Unternehmen, die Server oder Cloud-Dienste bereitstellen
  • Kundendienstzentren, welche Kundendaten im Auftrag bearbeiten
  • Druckereien, die personalisierte Werbeschreiben versenden

Rechtliche Anforderungen an die Auftragsverarbeitung

Vertrag zur Regelung der Zusammenarbeit (Auftragsverarbeitungsvertrag)

Für jede Form von Auftragsverarbeitung muss ein schriftlicher Vertrag zwischen dem Verantwortlichen und dem Dienstleister geschlossen werden. Dieser Vertrag regelt unter anderem den Gegenstand sowie Dauer der Verarbeitung, Art und Zweck der Datenbearbeitung sowie Rechte und Pflichten beider Parteien.

Sorgfaltspflichten bei Auswahl des Dienstleisters

Der Auftraggeber muss sicherstellen, dass nur solche Unternehmen mit einer Verarbeitung betraut werden, welche ausreichende Garantien bieten können – insbesondere hinsichtlich technischer Sicherheit sowie organisatorischer Maßnahmen zum Schutz personenbezogener Daten.

Kerninhalte eines Vertrags zur Auftragsverarbeitung:

  • Anweisungsgebundenheit: Der Verarbeiter handelt ausschließlich auf Weisung des Auftraggebers.
  • Sicherheitsmaßnahmen: Es müssen geeignete technische sowie organisatorische Maßnahmen vereinbart werden.
  • Löschung oder Rückgabe von Daten nach Abschluss des Vertrags.
  • Meldepflichten bei Datenschutzverletzungen gegenüber dem Auftraggeber.
  • Möglichkeit zur Kontrolle durch den Auftraggeber.

Bedeutung für Betroffene Personenrechte

Auch wenn ein externer Dienstleister eingeschaltet wird, bleiben alle Rechte betroffener Personen – wie Auskunfts-, Berichtigungs- oder Löschansprüche – bestehen. Die Verantwortung dafür liegt weiterhin beim ursprünglichen verantwortlichen Unternehmen; dieses muss gewährleisten können, dass auch bei Einschaltung eines Dritten sämtliche gesetzlichen Vorgaben eingehalten werden.

Sanktionen bei Verstößen gegen Vorschriften zur Auftragsverarbeitung

Werden gesetzliche Vorgaben rund um die Beauftragung externer Verarbeiter nicht eingehalten – etwa weil kein entsprechender Vertrag abgeschlossen wurde oder Sicherheitsvorkehrungen fehlen -, drohen empfindliche Sanktionen durch zuständige Behörden. Diese reichen von Verwarnungen bis hin zu erheblichen Geldbußen.

Häufig gestellte Fragen zum Thema „Auftragsverarbeitung“ (FAQ)

Wann liegt eine „Auftragsverarbeitung“ vor?

Eine solche Konstellation besteht immer dann, wenn ein externer Dienstleister personenbezogene Daten ausschließlich auf Weisung eines anderen Unternehmens verarbeitet – ohne dabei eigene Zwecke zu verfolgen.

< h3 >Welche Pflichten hat das beauftragende Unternehmen?
< p >
Das beauftragende Unternehmen bleibt verantwortlich dafür sicherzustellen , dass alle datenschutzrechtlichen Anforderungen erfüllt sind . Dazu gehört insbesondere , einen entsprechenden Vertrag abzuschließen , geeignete Partner auszuwählen sowie Kontrollen durchzuführen .
< / p >

< h3 >Was unterscheidet einen „Verantwortlichen“ vom „Auftrags ver arbeiter“ ?
< p >
Der Unterschied liegt darin , wer über Zweck & Mittel entscheidet : Nur das verantwortliche Unternehmen trifft diese Entscheidungen ; der externe Ver ar beiter handelt lediglich weisungsgebunden .
< / p >

< h3 >Muss jeder externe IT-Dienst leister als „Auf trags ver arbeiter “ gelten ?
< p >
Nicht jeder externe IT -Dienst leister ist automatisch als solcher einzustufen . Entscheidend ist stets , ob er tatsächlich Zugriff auf personen bezogene Da ten erhält & diese im Rahmen einer weisungs gebundenen Tätigkeit bearbeitet .
< / p >

< h3 >Welche Inhalte sollte ein Vertrag zur Au f trags ver arbeitung mindestens regeln ?
< p >
Ein solcher Vertrag sollte mindestens Angaben zum Gegen stand & Dauer enthalten , Art & Zweck der Bearbeitung beschreiben sowie technische & organisatorische Sicher heits maßnahmen festlegen .
Außerdem sollten Regelungen zu Melde pflichten bei Datenschutz verletzungen getroffen werden .
Auch Kontroll rechte sind wichtig .
Nach Vertrags ende müssen klare Vereinbarungen über Löschung bzw . Rück gabe getroffen sein .

Auf dieser Seite

Tags dieses Rechtsbegriffs

Weitere Begriffserklärungen