Datenschutzbeauftragter und Sachverständiger für Datenschutz

Mit der Datenschutzgrundverordnung ist seit dem Mai 2018 auch die Auftragsverarbeitung immer wieder ein Thema. Unter Auftragsverarbeitung werden alle Verarbeitungsvorgänge zusammengefasst, die personenbezogene Daten zum Inhalt haben. Da die DSGVO gerade auf den Schutz dieser persönlichen Informationen abzielt, ist auch die Auftragsverarbeitung – oder kurz AV – ein zentraler Punkt der europäischen Datenschutzregelungen.

Worum geht es bei der Auftragsverarbeitung?

Bei der Auftragsverarbeitung handelt es sich vereinfacht formuliert um Verarbeitungsvorgänge jeder Art. Diese können in einem Unternehmen zum Beispiel dann gegeben sein, wenn sich die Geschäftsführung für ein Outsourcing von bestimmten Aufgaben entscheidet. Häufig ist das im Bereich der Gehaltsbuchhaltung der Fall, aber auch bei der Beauftragung von externen Spezialisten im IT-Bereich. Die Motivation für das Outsourcing kann ganz unterschiedlicher Natur sein – in der Regel spielen aber Kostengründe eine prominente Rolle.

Wenn Aufgaben auf externe Dienstleister übertragen werden, dann ist das juristisch gesehen eine Auftragsverarbeitung: Der externe Dienstleister wird ja im Auftrag tätig und handelt auf Anweisung des Auftraggebers hin. Durch die Digitalisierung lässt es sich nicht vermeiden, dass bei der Auslagerung von Aufgaben oder Aufgabenbereichen auch Datenmengen weitergegeben werden. Dies ist in der Regel notwendig, um die übertragenen Aufgaben überhaupt erledigen zu können. Der Gesetzgeber hat hier richtig erkannt, dass es im Rahmen des Datenschutzes dadurch zu Problemen kommen kann – nämlich immer dann, wenn auch personenbezogene Daten, die gem. Art. 4 DSGVO geschützt sind, ebenfalls an außenstehende Dritte weitergegeben werden.

Um Konflikte zu vermeiden, wird die Auftragsverarbeitung seit Mai 2018 durch die Datenschutzgrundverordnung verbindlich geregelt.

Welche Regeln gelten bei der Auftragsverarbeitung?

Eine datenschutzkonforme Auftragsverarbeitung ist an unterschiedliche Voraussetzungen geknüpft:

  • Anlage eines Verarbeitungsverzeichnisses: Art. 30 II der DSGVO sieht vor, dass Sie ein Verarbeitungsverzeichnis erstellen müssen. Dieses muss die folgenden Elemente beinhalten:
    1. Namen und Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter
    2. Kategorien von Verarbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden
    3. allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Wichtig zu wissen: Das von Ihnen angelegte Verarbeitungsverzeichnis muss der zuständigen Behörde auf Anfrage zur Verfügung gestellt werden. Dies ergibt sich aus Art. 30 IV DSGVO.

  • Vertrag zur Auftragsverarbeitung: Um die Einhaltung der datenschutzrechtlichen Anforderungen zu gewährleisten, brauchen Sie einen Vertrag, der die Auftragsverarbeitung regelt. Art. 28 DSGVO regelt, welche Elemente in diesem Vertrag enthalten sein müssen.

Wichtig zu wissen
Die Auswahl der externen Dienstleister fällt in den Verantwortungsbereich des Auftraggebers. Dieser ist nach Maßgabe der DSGVO verpflichtet, nur diejenigen Dienstleister auszuwählen, die die Einhaltung des Datenschutzes garantieren können. Das betrifft die Auswahl, die Vertragsgestaltung und auch die Kontrolle der beauftragten Dienstleister. Ist der Datenschutz nicht garantiert, müssen Sie von einer Beauftragung Abstand nehmen – sonst drohen Bußgelder!

  • Unterscheidung Auftragsverarbeitung / eigenständiger Verantwortungsbereich: Nicht alle Aufgaben, die Sie an externe Dienstleister outsourcen, fallen unter den Begriff der Auftragsverarbeitung. Handelt der Dienstleister nämlich eigenverantwortlich, ist regelmäßig keine Auftragsverarbeitung anzunehmen: Das ist zum Beispiel der Fall bei Beratungen zu Finanz-, Steuer- oder Unternehmensfragen.

Wichtig zu wissen: Unterscheidungsmerkmal ist die Frage, ob der Auftraggeber über Weisungs- und Kontrollrechte gegenüber dem Dienstleister verfügt. Sind diese weder rechtlich noch faktisch gegeben, kann eine Auftragsverarbeitung verständlicherweise nicht angenommen werden.

© 2019 Frank Hartung - Datenschutzbeauftragter und Sachverständiger für Datenschutz in Dessau-Roßlau