Welche Pflichten bestehen hinsichtlich technischer Sicherheitsmaßnahmen?

Sowohl das beauftragende Unternehmen als auch das ausführende müssen gewährleisten,dass angemessene technische wie organisatorische Vorkehrungen getroffen wurden.Diese dienen dazu,das Schutzniveau für alle bearbeiteten Personendaten sicherzustellen.

Legal Wiki

Auftragsverarbeitung

Q: Können mehrere Firmen gemeinsam verantwortlich sein?

Ja; dies kommt insbesondere dann vor,wenn beide Parteien gemeinsam darüber entscheiden,wann,durch wen bzw.wie bestimmte Tätigkeiten ausgeführt werden sollen.Dies bezeichnet man als gemeinsame Verantwortung.

Letzte Aktualisierung: 25. Juli 2025

Begriff und Bedeutung der Auftragsverarbeitung

Die Auftragsverarbeitung ist ein zentraler Begriff im Datenschutzrecht. Sie beschreibt die Konstellation, in der eine Organisation (der sogenannte Verantwortliche) einen externen Dienstleister damit beauftragt, personenbezogene Daten im Auftrag zu verarbeiten. Dabei bleibt die Verantwortung für den Schutz und die rechtmäßige Verarbeitung dieser Daten stets beim Auftraggeber. Der Dienstleister handelt ausschließlich nach dessen Weisungen.

Abgrenzung zu anderen Formen der Datenverarbeitung

Nicht jede Weitergabe von personenbezogenen Daten an Dritte stellt eine Auftragsverarbeitung dar. Entscheidend ist, dass der Dienstleister keine eigenen Zwecke mit den überlassenen Daten verfolgt, sondern diese ausschließlich im Rahmen des erteilten Auftrags verarbeitet. Im Gegensatz dazu steht beispielsweise die Übermittlung von Daten an eigenständig verantwortliche Stellen oder gemeinsame Verantwortlichkeiten mehrerer Parteien.

Typische Beispiele für Auftragsverarbeitung

Buchhaltungsdienstleistungen durch externe Anbieter
Nutzung von Cloud-Diensten zur Datenspeicherung oder -bearbeitung
Versanddienstleistungen für Newsletter durch spezialisierte Unternehmen
Lohn- und Gehaltsabrechnung durch externe Abrechnungsstellen

Rechtliche Anforderungen an die Auftragsverarbeitung

Vertragliche Regelungen zwischen Auftraggeber und Dienstleister

Für jede Form der Auftragsverarbeitung ist es erforderlich, dass zwischen dem Verantwortlichen und dem beauftragten Unternehmen eine schriftliche Vereinbarung geschlossen wird. Diese Vereinbarung regelt unter anderem den Gegenstand und die Dauer des Einsatzes sowie Art und Zweck der Verarbeitung personenbezogener Daten.
Sie legt zudem fest, welche Arten von personenbezogenen Daten betroffen sind, welche Kategorien betroffener Personen es gibt sowie Rechte und Pflichten beider Parteien.
Wesentliche Bestandteile sind auch Vorgaben zur Sicherheit bei der Verarbeitung sowie Kontrollrechte des Auftraggebers gegenüber dem Dienstleister.

Sicherstellung angemessener technischer und organisatorischer Maßnahmen (TOM)

Der beauftragte Dienstleister muss geeignete technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten sicherzustellen. Dazu zählen etwa Zugriffs- oder Zutrittskontrollen sowie Verschlüsselungstechnologien zum Schutz vor unbefugtem Zugriff auf sensible Informationen.
Der Auftraggeber hat das Recht – aber auch die Pflicht -, sich regelmäßig davon zu überzeugen, dass diese Maßnahmen eingehalten werden.

Kriterien für eine zulässige Beauftragung externer Unternehmen mit einer Verarbeitungstätigkeit

Eine Beauftragung externer Unternehmen mit einer Verarbeitungstätigkeit ist nur dann zulässig,
wenn sichergestellt wird,
dass das eingesetzte Unternehmen ausreichende Garantien hinsichtlich Fachkunde,
Zuverlässigkeit
und Einhaltung datenschutzrechtlicher Vorgaben bietet.
Die Auswahl eines geeigneten Partners erfolgt daher unter Berücksichtigung dieser Kriterien.

Beteiligte Rollen bei einer Auftragsverarbeitung

Verantwortlicher (Auftraggeber)

Der Verantwortliche entscheidet über Zwecke
und Mittel
der Verarbeitung personenbezogener Daten
und trägt letztlich auch das Risiko bei Verstößen gegen datenschutzrechtliche Vorschriften.

Auftragsverarbeiter (Dienstleister)

Der als Verarbeiter tätige externe Partner führt Tätigkeiten ausschließlich nach Weisung des Verantwortlichen aus;
eigene Entscheidungen über Zweck oder Mittel trifft er nicht.

Mitarbeitende beim Verarbeiter

Auch Mitarbeitende des externen Unternehmens dürfen nur entsprechend den erhaltenen Anweisungen handeln;
sie sind ebenfalls zur Wahrung des Datenschutzes verpflichtet.

Mögliche Folgen bei Verstößen gegen Vorschriften zur Auftragsverarbeitung

Werden gesetzlich vorgeschriebene Anforderungen nicht eingehalten,
können sowohl auf Seiten des Verantwortlichen als auch auf Seiten des beauftragten Unternehmens Sanktionen drohen – darunter Bußgelder oder Schadensersatzforderungen betroffener Personen.
Darüber hinaus kann ein Imageschaden entstehen,
wenn bekannt wird,
dass unsachgemäß mit sensiblen Informationen umgegangen wurde.

Häufig gestellte Fragen zum Thema Auftragsverarbeitung (FAQ)

Wann liegt eine echte Auftragsverarbeitung vor?

Echte Auftragsverarbeitungen liegen immer dann vor, wenn ein externer Dienstleister weisungsgebunden im Namen eines anderen Unternehmens personenbezogene Daten verarbeitet – ohne eigene Entscheidungsbefugnis bezüglich Zweck oder Mittel dieser Tätigkeit.

Muss immer ein Vertrag abgeschlossen werden?

Sobald eine Organisation einen Dritten damit betraut, in ihrem Namen personenbezogene Informationen zu bearbeiten beziehungsweise darauf Zugriff erhält, ist grundsätzlich eine schriftlich fixierte Vereinbarung erforderlich.

Darf ein Verarbeiter Unteraufträge vergeben?

Einem externen Partner kann erlaubt werden, weitere Subunternehmen einzusetzen; dies bedarf jedoch klarer Regelungen innerhalb der Hauptvereinbarung sowie gegebenenfalls zusätzlicher Genehmigungen durch den ursprünglichen Auftraggeber.