Auftragsverarbeitung nach DSGVO – Was muss beachtet werden?
Helpdesk: Auftragsverarbeitung nach DSGVO – Was muss beachtet werden?
Was ist eine Auftragsverarbeitung?
Gemäß Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde oder andere Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Dabei handelt der Auftragsverarbeiter weisungsgebunden und entscheidet nicht selbst über Zweck und Mittel der Verarbeitung.
Wann liegt eine Auftragsverarbeitung vor?
Ein Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO ist erforderlich, wenn:
✅ Eine Datenverarbeitung im Auftrag erfolgt.
✅ Der Auftragnehmer keine eigenen Zwecke verfolgt.
✅ Der Auftragnehmer nur nach den Weisungen des Verantwortlichen handelt.
Typische Beispiele für Auftragsverarbeitung:
✔ Lohn- und Gehaltsabrechnung durch ein externes Rechenzentrum.
✔ Cloud-Speicherung personenbezogener Daten.
✔ Callcenter für Kundenanfragen ohne eigene Entscheidungsbefugnis.
✔ Externe IT-Wartung, wenn ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
✔ Datenträgerentsorgung durch einen externen Dienstleister.
Wann ist kein Auftragsverarbeitungsvertrag erforderlich?
Nicht jede Zusammenarbeit mit einem externen Dienstleister erfordert einen AV-Vertrag. Wenn der Dienstleister eigenständig handelt, eine eigene Verantwortung trägt oder gesetzlich gebunden ist, liegt keine Auftragsverarbeitung vor.
Kein AV-Vertrag nötig bei:
❌ Steuerberatern, Rechtsanwälten oder Wirtschaftsprüfern – Sie sind Berufsgeheimnisträger und arbeiten eigenverantwortlich.
❌ Labore in der Zusammenarbeit mit Ärzten – Sie agieren als eigenständige Stellen.
❌ Inkassobüros mit Forderungsübertragung – Sie arbeiten in eigenem Namen.
❌ Postdienste oder Banken – Sie haben eigene gesetzliche Verpflichtungen.
❌ Dolmetscher oder Übersetzer – Sie führen eigenständige Fachleistungen aus.
Wann sind mehrere Stellen „gemeinsam Verantwortliche“?
Wenn mehrere Stellen gemeinsam über Zweck und Mittel der Verarbeitung entscheiden, sind sie gemäß Art. 26 DSGVO gemeinsam verantwortlich.
Typische Fälle gemeinsamer Verantwortung:
✔ Facebook-Fanpages – Betreiber und Facebook entscheiden gemeinsam über die Datenverarbeitung.
✔ Gemeinsame Kundendatenbanken in Unternehmensgruppen.
✔ Arzneimittelstudien mit mehreren Mitwirkenden (Sponsoren, Ärzte, Studienzentren).
✔ E-Government-Portale, bei denen mehrere Behörden beteiligt sind.
In diesen Fällen muss eine Vereinbarung über die gemeinsame Verantwortung erstellt werden.
Welche Form muss ein Vertrag zur Auftragsverarbeitung haben?
Gemäß Art. 28 Abs. 9 DSGVO muss der Vertrag schriftlich oder in elektronischer Form vorliegen. Eine einfache elektronische Dokumentation reicht aus, eine Unterschrift auf Papier ist nicht zwingend erforderlich.
Fazit:
📌 Ein AV-Vertrag ist erforderlich, wenn ein Dienstleister personenbezogene Daten im Auftrag und weisungsgebunden verarbeitet.
📌 Kein AV-Vertrag nötig, wenn der Dienstleister eigenständig arbeitet (z. B. Steuerberater, Banken, Labore).
📌 Gemeinsame Verantwortung, wenn mehrere Stellen gemeinsam über die Datenverarbeitung entscheiden.
📌 Tipp: Prüfen Sie genau, ob eine Auftragsverarbeitung oder eigenverantwortliche Tätigkeit vorliegt, um unnötige Verträge oder Verstöße gegen die DSGVO zu vermeiden. 🚀
Was ist eine Auftragsverarbeitung?
Gemäß Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde oder andere Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Dabei handelt der Auftragsverarbeiter weisungsgebunden und entscheidet nicht selbst über Zweck und Mittel der Verarbeitung.
Wann liegt eine Auftragsverarbeitung vor?
Ein Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO ist erforderlich, wenn:
✅ Eine Datenverarbeitung im Auftrag erfolgt.
✅ Der Auftragnehmer keine eigenen Zwecke verfolgt.
✅ Der Auftragnehmer nur nach den Weisungen des Verantwortlichen handelt.
Typische Beispiele für Auftragsverarbeitung:
✔ Lohn- und Gehaltsabrechnung durch ein externes Rechenzentrum.
✔ Cloud-Speicherung personenbezogener Daten.
✔ Callcenter für Kundenanfragen ohne eigene Entscheidungsbefugnis.
✔ Externe IT-Wartung, wenn ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
✔ Datenträgerentsorgung durch einen externen Dienstleister.
Wann ist kein Auftragsverarbeitungsvertrag erforderlich?
Nicht jede Zusammenarbeit mit einem externen Dienstleister erfordert einen AV-Vertrag. Wenn der Dienstleister eigenständig handelt, eine eigene Verantwortung trägt oder gesetzlich gebunden ist, liegt keine Auftragsverarbeitung vor.
Kein AV-Vertrag nötig bei:
❌ Steuerberatern, Rechtsanwälten oder Wirtschaftsprüfern – Sie sind Berufsgeheimnisträger und arbeiten eigenverantwortlich.
❌ Labore in der Zusammenarbeit mit Ärzten – Sie agieren als eigenständige Stellen.
❌ Inkassobüros mit Forderungsübertragung – Sie arbeiten in eigenem Namen.
❌ Postdienste oder Banken – Sie haben eigene gesetzliche Verpflichtungen.
❌ Dolmetscher oder Übersetzer – Sie führen eigenständige Fachleistungen aus.
Wann sind mehrere Stellen „gemeinsam Verantwortliche“?
Wenn mehrere Stellen gemeinsam über Zweck und Mittel der Verarbeitung entscheiden, sind sie gemäß Art. 26 DSGVO gemeinsam verantwortlich.
Typische Fälle gemeinsamer Verantwortung:
✔ Facebook-Fanpages – Betreiber und Facebook entscheiden gemeinsam über die Datenverarbeitung.
✔ Gemeinsame Kundendatenbanken in Unternehmensgruppen.
✔ Arzneimittelstudien mit mehreren Mitwirkenden (Sponsoren, Ärzte, Studienzentren).
✔ E-Government-Portale, bei denen mehrere Behörden beteiligt sind.
In diesen Fällen muss eine Vereinbarung über die gemeinsame Verantwortung erstellt werden.
Welche Form muss ein Vertrag zur Auftragsverarbeitung haben?
Gemäß Art. 28 Abs. 9 DSGVO muss der Vertrag schriftlich oder in elektronischer Form vorliegen. Eine einfache elektronische Dokumentation reicht aus, eine Unterschrift auf Papier ist nicht zwingend erforderlich.
Fazit:
📌 Ein AV-Vertrag ist erforderlich, wenn ein Dienstleister personenbezogene Daten im Auftrag und weisungsgebunden verarbeitet.
📌 Kein AV-Vertrag nötig, wenn der Dienstleister eigenständig arbeitet (z. B. Steuerberater, Banken, Labore).
📌 Gemeinsame Verantwortung, wenn mehrere Stellen gemeinsam über die Datenverarbeitung entscheiden.
📌 Tipp: Prüfen Sie genau, ob eine Auftragsverarbeitung oder eigenverantwortliche Tätigkeit vorliegt, um unnötige Verträge oder Verstöße gegen die DSGVO zu vermeiden. 🚀
Aktualisiert am: 23/02/2025
Danke!