Begriff und Bedeutung der Auftragsverarbeitung im Datenschutz
Die Auftragsverarbeitung ist ein zentraler Begriff im Datenschutzrecht. Sie beschreibt die Konstellation, in der eine Organisation (zum Beispiel ein Unternehmen oder eine Behörde) personenbezogene Daten nicht selbst verarbeitet, sondern hierfür einen externen Dienstleister beauftragt. Der Dienstleister handelt dabei ausschließlich nach den Weisungen des Auftraggebers und übernimmt bestimmte Aufgaben, wie etwa das Speichern, Verarbeiten oder Löschen von Daten.
Abgrenzung: Verantwortlicher und Auftragsverarbeiter
Im Rahmen der Auftragsverarbeitung sind zwei Rollen zu unterscheiden: Der sogenannte Verantwortliche entscheidet über die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Der Auftragsverarbeiter hingegen führt die Verarbeitung nur im Auftrag des Verantwortlichen aus und hat keine eigenen Entscheidungsbefugnisse hinsichtlich der Verwendung dieser Daten.
Verantwortlicher
Der Verantwortliche ist jene Stelle, die festlegt, warum und wie personenbezogene Daten verarbeitet werden. Dies kann beispielsweise ein Unternehmen sein, das Kundendaten für eigene Geschäftszwecke erhebt.
Auftragsverarbeiter
Der Auftragsverarbeiter ist ein externer Dienstleister oder eine andere Organisationseinheit innerhalb eines Konzerns, welche die vom Verantwortlichen vorgegebenen Aufgaben mit den bereitgestellten personenbezogenen Daten durchführt – zum Beispiel IT-Dienstleister für Cloud-Speicherlösungen oder Lohnabrechnungsfirmen.
Anwendungsbeispiele für Auftragsverarbeitung
Typische Beispiele für eine solche Zusammenarbeit sind das Outsourcing von IT-Dienstleistungen (wie Serverhosting), externe Lohn- und Gehaltsabrechnung sowie Callcenter-Leistungen. In all diesen Fällen bleibt die Verantwortung über den Umgang mit den personenbezogenen Daten beim ursprünglichen Auftraggeber; der beauftragte Dienstleister darf diese nur entsprechend den erhaltenen Anweisungen verarbeiten.
Rechtliche Anforderungen an die Auftragsverarbeitung
Vertragliche Regelung zwischen Auftraggeber und -nehmer
Für jede Form von Auftragsverarbeitung muss zwischen dem Verantwortlichen (Auftraggeber) und dem beauftragten Unternehmen (Auftragnehmer) eine schriftliche Vereinbarung geschlossen werden. Diese regelt unter anderem Art und Zweck der Verarbeitung sowie Rechte und Pflichten beider Parteien bezüglich des Schutzes personenbezogener Daten.
Sorgfaltspflichten bei Auswahl des Dienstleisters
Der Auftraggeber muss sicherstellen, dass sein Vertragspartner geeignete technische sowie organisatorische Maßnahmen zum Schutz der verarbeiteten Informationen trifft. Dazu zählen beispielsweise Verschlüsselungstechnologien oder Zugangsbeschränkungen zu sensiblen Bereichen.
Klar definierte Weisungsbefugnis
Der Dienstleister darf ausschließlich auf Grundlage dokumentierter Weisungen handeln; eigenständige Entscheidungen zur Nutzung oder Weitergabe von Informationen sind ihm untersagt.
Kontrollrechte des Auftraggebers
Dem verantwortlichen Unternehmen stehen Kontroll- beziehungsweise Überwachungsrechte gegenüber dem eingesetzten Serviceanbieter zu – etwa durch Audits oder regelmäßige Berichte.
Löschung bzw. Rückgabe nach Beendigung
Nach Abschluss einer Zusammenarbeit müssen sämtliche gespeicherten Informationen entweder gelöscht oder an das auftraggebende Unternehmen zurückgegeben werden.
Bedeutung für Betroffene Personen
Auch wenn Dritte als Verarbeiter eingeschaltet werden: Die Rechte betroffener Personen bleiben gewahrt – sie können weiterhin Auskunft verlangen sowie Berichtigung, Löschung ihrer Angaben fordern.
Häufig gestellte Fragen zur Auftragsverarbeitung im Datenschutz
Wann liegt überhaupt eine Auftragsverarbeitung vor?
Eine solche Konstellation besteht immer dann, wenn ein externer Anbieter weisungsgebunden Tätigkeiten mit fremden personenbezogenen Angaben übernimmt – ohne eigene Entscheidungsspielräume hinsichtlich Zweckbestimmung dieser Nutzung.
Muss jede Zusammenarbeit mit einem externen Anbieter als Auftragsverarbeitung eingestuft werden?
< p>Nicht jede Kooperation stellt automatisch eine solche Beziehung dar; entscheidend ist insbesondere das Fehlen eigener Entscheidungsgewalt beim eingesetzten Partner bezüglich Art/Zweckbearbeitung persönlicher Angaben.
Darf ein Unterauftragnehmer eingesetzt werden?
< p>Eingesetzte Subunternehmer dürfen grundsätzlich nur dann tätig werden, wenn dies ausdrücklich vereinbart wurde; zudem müssen auch diese alle datenschutzrechtlich relevanten Vorgaben erfüllen.
Müssen Betroffene informiert werden?
< p >Betroffene Personen haben Anspruch darauf zu erfahren , ob ihre persönlichen Informationen durch einen externen Verarbeitenden bearbeitet werden . Die Information erfolgt in aller Regel bereits bei Erhebung ihrer Angaben .< / p >
< h3 >Welche Folgen hat fehlende vertragliche Regelung ?< / h3 >
< p >Fehlt es an einer ordnungsgemäßen Vereinbarung , kann dies rechtlich relevante Konsequenzen nach sich ziehen ; darunter fallen mögliche Sanktionen wegen unzulässiger Weitergabe persönlicher Details .< / p >
< h3 >Wer haftet bei Datenschutzverletzungen während einer solchen Zusammenarbeit ?< / h ³ >
< p >Grundsätzlich bleibt das ursprünglich verantwortliche Unternehmen verpflichtet , Verstöße gegen datenschutzrechtliche Vorschriften zu verhindern ; jedoch können auch externe Bearbeiter unter bestimmten Umständen haftbar gemacht werden .< / p >
< h³ >Wie lange dürfen persönliche Angaben gespeichert bleiben ?< / h³ >
< p >Die Dauer richtet sich stets nach Vorgaben des auftraggebenden Unternehmens ; spätestens jedoch endet sie mit Abschluss beziehungsweise Beendigung entsprechender Geschäftsbeziehung .< / p >
<
script type = "application/ld+json" >
{
„@context“: „https://schema.org“,
„@type“: „FAQPage“,
„mainEntity“: [
{
„@type“: „Question“,
„name“: „Wann liegt überhaupt eine Auftragsverarbeitung vor?“,
„acceptedAnswer“: {
„@type“: „Answer“,
„text“: „Eine solche Konstellation besteht immer dann, wenn ein externer Anbieter weisungsgebunden Tätigkeiten mit fremden personenbezogenen Angaben übernimmt – ohne eigene Entscheidungsspielräume hinsichtlich Zweckbestimmung dieser Nutzung.“
}
},
{
„@type“: „Question“,
„name“:“Muss jede Zusammenarbeit mit einem externen Anbieter als Auftragsverarbeitung eingestuft werden?“,
„acceptedAnswer“:{
„@type“:“Answer“,
„text“:“Nicht jede Kooperation stellt automatisch eine solche Beziehung dar; entscheidend ist insbesondere das Fehlen eigener Entscheidungsgewalt beim eingesetzten Partner bezüglich Art/Zweckbearbeitung persönlicher Angaben.“
}
},
{
„@type“:“Question“,
„name“:“Darf ein Unterauftragnehmer eingesetzt werden?“,
„acceptedAnswer“:{
„@type“:“Answer“,
„text“:“Eingesetzte Subunternehmer dürfen grundsätzlich nur dann tätig werden, wenn dies ausdrücklich vereinbart wurde; zudem müssen auch diese alle datenschutzrechtlich relevanten Vorgaben erfüllen.“
}
},
{
„@type“:“Question“,
„name“:“Müssen Betroffene informiert werden?“,
„acceptedAnswer“:{
„@type“:“Answer“,
„text“:“Betroffene Personen haben Anspruch darauf zu erfahren , ob ihre persönlichen Informationen durch einen externen Verarbeitenden bearbeitet werden . Die Information erfolgt in aller Regel bereits bei Erhebung ihrer Angaben .“
}
},
{
„@type“:“Question“,
„name“:“Welche Folgen hat fehlende vertragliche Regelung ?“,
„acceptedAnswer“:{
„@type „:“ Answer „,
„text „:“ Fehlt es an einer ordnungsgemäßen Vereinbarung , kann dies rechtlich relevante Konsequenzen nach sich ziehen ; darunter fallen mögliche Sanktionen wegen unzulässiger Weitergabe persönlicher Details .“
}
},
{
„@ type „:“ Question „,
„name „:“ Wer haftet bei Datenschutzverletzungen während einer solchen Zusammenarbeit ?“,
“ accepted Answer „: {
„@ type „: “ Answer „,
“ text „: “
Grundsätzlich bleibt das ursprünglich verantwortliche Unternehmen verpflichtet , Verstöße gegen datenschutzrechtliche Vorschriften zu verhindern ; jedoch können auch externe Bearbeiter unter bestimmten Umständen haftbar gemacht werde n.“
}
},
{
„@ type „:“
Question „,“ name „:“ Wie lange dürfen persönliche Angaben gespeichert bleiben ?“ ,
“
accepted Answer „:{“ @ type „:“ Answer „,
“
text“:
“
Die Dauer richtet sich stets nach Vorgaben des auftraggebenden Unternehmens ; spätestens jedoch endet sie mit Abschluss beziehungsweise Beendigung entsprechender Geschäftsbeziehung .
“
}
}
]
}
<
/script
