Begriffserklärung: Auftragsverarbeitung im Datenschutz
Die Auftragsverarbeitung ist ein zentraler Begriff im Datenschutzrecht. Sie beschreibt die Konstellation, in der eine Organisation (zum Beispiel ein Unternehmen oder eine Behörde) personenbezogene Daten nicht selbst verarbeitet, sondern hierfür einen externen Dienstleister beauftragt. Der Dienstleister handelt dabei ausschließlich nach den Weisungen der beauftragenden Organisation und übernimmt bestimmte Aufgaben, wie etwa das Speichern, Verarbeiten oder Löschen von Daten.
Rechtliche Grundlagen und Bedeutung
Die Regelungen zur Auftragsverarbeitung dienen dem Schutz personenbezogener Daten. Sie stellen sicher, dass auch dann hohe Datenschutzstandards eingehalten werden, wenn externe Unternehmen mit der Verarbeitung dieser Daten betraut werden. Die Verantwortung für den Schutz der Daten bleibt bei der Organisation, die den Auftrag erteilt hat.
Beteiligte Parteien bei einer Auftragsverarbeitung
Bei einer Auftragsverarbeitung sind zwei Parteien beteiligt:
- Verantwortlicher: Die Stelle (z.B. ein Unternehmen), die über Zweck und Mittel der Verarbeitung entscheidet.
- Auftragsverarbeiter: Das externe Unternehmen oder die Person, welche die Verarbeitung im Auftrag durchführt.
Der Verantwortliche bleibt für den Schutz und die rechtmäßige Verarbeitung der personenbezogenen Daten zuständig.
Anwendungsbeispiele für Auftragsverarbeitung
Typische Beispiele sind das Outsourcing von IT-Dienstleistungen wie Cloud-Speicherlösungen oder Lohnabrechnungsdienste. Auch Wartungstätigkeiten an IT-Systemen durch externe Firmen können unter bestimmten Voraussetzungen als Auftragsverarbeitung gelten.
Anforderungen an eine rechtmäßige Auftragsverarbeitung
Vertragliche Regelungen zwischen Verantwortlichem und Auftragsverarbeiter
Für jede Form von Auftragsverarbeitung ist es erforderlich, dass zwischen dem Verantwortlichen und dem Dienstleister klare vertragliche Vereinbarungen getroffen werden. Diese Vereinbarungen regeln unter anderem:
- Zweck und Dauer der Verarbeitung;
- Kategorien betroffener Personen sowie Arten verarbeiteter Daten;
- Sicherheitsmaßnahmen zum Schutz der Daten;
- Plichten des Dienstleisters hinsichtlich Vertraulichkeit sowie Unterstützung des Verantwortlichen.
Sorgfaltspflichten des Verantwortlichen bei Auswahl des Dienstleisters
Der Verantwortliche muss sicherstellen,
dass nur solche Dienstleister ausgewählt werden,
die ausreichende Garantien bieten,
um geeignete technische
und organisatorische Maßnahmen zum Datenschutz umzusetzen.
Dies umfasst beispielsweise Maßnahmen zur Datensicherheit,
Zugriffskontrolle
und Verschlüsselung.
Klarstellung: Abgrenzung zu anderen Formen der Zusammenarbeit
Nicht jede Weitergabe von personenbezogenen Daten an Dritte stellt automatisch eine
Auftragsverarbeitung dar.
So liegt beispielsweise keine solche Konstellation vor,
wenn eigenständige Entscheidungen über Zwecke
und Mittel getroffen werden – etwa bei Steuerberatern oder Ärzten.
Bedeutung für Betroffene Personen
Auch wenn ein externer Dienstleister eingeschaltet wird,
bleiben Rechte betroffener Personen gewahrt –
wie Auskunftsrechte über gespeicherte Informationen sowie Ansprüche auf Berichtigung oder Löschung ihrer persönlichen Angaben.
Der verantwortlichen Stelle obliegt es weiterhin,
diese Rechte zu gewährleisten.
< h2 >Häufig gestellte Fragen zur Auftrags ver arbeitung im Datenschutz< / h2 >
< h3 >Wann liegt eine echte „Auf trags ver arbeitung“ vor?< / h3 >
< p >
Eine echte „Auf trags ver arbeitung“ liegt immer dann vor , wenn ein externer Diens t leister ausschließlich nach Weis ung eines anderen Unternehmens personen bezogene Da ten verarbeitet . Der Diens t leister trifft dabei keine eigenen Ent scheid ungen über Zweck o de r Mittel d er Da ten ve r arbeitung .
< / p >
< h3 >Welche Pflich ten bestehen zwischen Auftraggeber u nd Diens t leister ?< / h3 >
< p >
Zwischen beiden Par teien müssen verbind liche Ve rein barun gen get roffen wer den , um einen angemessenen Da tenschutz si cherzu stellen . Dazu gehören Rege l ungen zu Si cher heits maß nahmen , Um fang u nd Zwe ck d er Ve rarbei tung sow ie Un terstützungspf lich ten .
< / p >
< h3 >Wer trägt letztlich di e Verantwortung fü r d en Da tenschutz ? < / h 3 >
Unabhängig davon , ob ei n exter ner Di ens tle ister eingeschaltet wird , verbleibt di e Haupt verantwort ung fü r de n Schu tz pe rs onen bezogener D aten beim auf traggebenden Un ternehmen .
< h 3 >Was passiert b ei Verst ößen gegen da s Recht au f Au ftr agsve rar beitun g? < p >
Bei Verst ößen kön nen Bußgelder verhängt werd en . Zudem kann es z u Schad ensersatzansprü chen kommen ,
falls Betroffene dur ch unsachgemäße V erw endu ng ihrer D aten benachteiligt wurden .
< h 3 >Müssen alle Verträge schriftlich abgeschlossen sein? < p >
Verträge ü ber A uftr agsve rar beitun g müss en in Textform abg eschlossen werd en . Dies kann elektronisch od er schrift lich erfolgen ,
solange alle wesentl ichen Inhalte klar geregelt sind .
< h 3 >Darf ein A uftr agsve rar beiter weitere Unteraufträge vergeben? <p> Eine Weitergabe a n weitere U nternehmen is t grund sätzlich möglich , sofern dies v ereinbart wurde u nd entsprechende Sicherheiten gewährleistet sin d . Der ursprünglic he Auftraggeber muss informiert w erden un d ggf . zustimmen . </p> <h3>Welche Rolle spielen technische Sicherheitsmaßnahmen?</h3> <p> Technische Sicherheitsmaßnahmen dienen dazu,personenbezogene Daten während aller Phasen ihrer Verarbeitung bestmöglich zu schützen.Sie umfassen beispielsweise Verschlüsselung,Zugriffsmanagement sowie regelmäßige Überprüfung bestehender Systeme.Diese Maßnahmen müssen sowohl vom Auftraggeber als auch vom eingesetzten Dienstleister umgesetzt werden. </p>
