DSGVO: Verhaltensregeln für Auftragsverarbeiter

Letztes Update:
10
.
01
.
2023
Lesezeit:
0
Min
Die Datenschutz Zertifizierungsgesellschaft mbH (DSZ) hat einen Katalog von Verhaltensregeln für Auftragsverarbeiter entwickelt, der die Umsetzung des Datenschutzes vereinfachen soll. Wie dies aussehen kann und was Sie über die Pflichten von Auftragsverarbeitern wissen müssen, zeigen wir Ihnen in diesem Artikel.
DSGVO: Verhaltensregeln für Auftragsverarbeiter
Die wichtigsten Erkenntnisse
  • Auftragsverarbeitung: Datenverarbeitung durch Dritte nach Weisung des Verantwortlichen, geregelt in der DSGVO.
  • Verhaltenskatalog "Trusted Data Processor" der DSZ erleichtert DSGVO-Einhaltung für Auftragsverarbeiter.
  • Zertifizierung durch DSZ zeigt DSGVO-Konformität, schafft Vertrauen und Rechtssicherheit für Unternehmen.
  • AVV muss Angaben zu Datenarten, Verarbeitungszwecken, Vertraulichkeit und technischen Maßnahmen enthalten.
  • Auftragsverarbeiter sind weisungsgebunden, haften gemeinsam mit Verantwortlichem für Datenschutzverletzungen.

Viele Unternehmen bedienen sich externer Dienstleister, die für sie Datenverarbeitungen vornehmen, etwa um Lohnabrechnungen zu erstellen oder Aufträge abzuwickeln. Damit personenbezogene Daten auch bei diesen Dritten ausreichend geschützt sind, sieht die Datenschutzgrundverordnung (DSGVO) für sogenannte Auftragsverarbeiter spezielle Regelungen vor.

Nach wie vor hadern Auftragsverarbeiter häufig mit der Einhaltung der DSGVO. Die Datenschutz Zertifizierungsgesellschaft mbH (DSZ) hat einen Katalog von Verhaltensregeln für Auftragsverarbeiter entwickelt, der die Umsetzung des Datenschutzes vereinfachen soll. Auftragnehmern soll es nun auch möglich sein, sich zertifizieren zu lassen. Wie dies aussehen kann und was Sie über die Pflichten von Auftragsverarbeitern wissen müssen, zeigen wir Ihnen in diesem Artikel.

Sie haben Fragen zu den DSGVO-Verhaltensregeln für die Auftragsverarbeitung?

Unser Team besteht aus mehr als 90 Datenschutzexperten, die Sie gerne umfassend zum Thema beraten. Nehmen Sie jederzeit Kontakt zu uns auf.

Das Wichtigste in Kürze

  • Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dritten, der vom Verantwortlichen hierzu beauftragt wird. Die Auftragsvereinbarung ist ausdrücklich in der DSGVO vorgesehen und hat eigene Regeln, wie etwa einen Auftragsverarbeitungsvertrag (AVV).
  • Um es für Auftragsverarbeiter leichter zu machen, die Regeln der DSGVO einzuhalten und umzusetzen, gibt es nun einen nationalen Verhaltenskatalog der DSZ, den sogenannten „Trusted Data Processor“, den auch schon einige Landesdatenschutzbeauftragte genehmigt haben.
  • Die Zertifizierung durch Selbstverpflichtung macht nach außen sichtbar, dass Auftragsverarbeiter den Vorgaben folgen und durch eine Überwachungsstelle überprüft werden. So können Unternehmen sicher sein, dass personenbezogene Daten auch bei ihren Auftragsverarbeitern geschützt sind.

Auftragsverarbeitung in der DSGVO

Die DSGVO bietet Unternehmen die Möglichkeit, die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten an sogenannte Auftragsverarbeiter weiterzugeben. Dabei stellt die DSGVO bestimmte Anforderungen an die Beteiligten, wie etwa den Abschluss eines Auftragsverarbeitungsvertrags (AVV).

Dieser AVV wird zwischen den Verantwortlichen und den Auftragsverarbeitern geschlossen und muss Angaben zur Art der personenbezogenen Daten, der Datenverarbeitung und deren Zweck enthalten. Darüber hinaus verpflichtet sich der Auftragsverarbeiter, die DSGVO in gleichem Maße einzuhalten wie der Verantwortliche bei einer eigenen Verarbeitung.

Die wichtigsten Angaben in einem AVV sind

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen
  • Hinzuziehung von weiteren Auftragnehmern
  • Unterstützung des Auftraggebers bei Anfragen und Ansprüchen von betroffenen Personen
  • Unterstützung des Auftraggebers bei der Meldepflicht bei Datenschutzverletzungen
  • Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Kontrollrechte des Auftraggebers und Duldungspflichten des Auftragnehmers
  • Pflicht des Auftragnehmers, den Auftraggeber zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Wer ist Auftragsverarbeiter?

In der DSGVO gibt es eine klare Definition des Auftragsverarbeiters (Art. 4 Nr. 8 DSGVO):

„Auftragsverarbeiter [ist] eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“

Eine Auftragsverarbeitung liegt also immer dann vor, wenn ein Unternehmen externe Dienstleister mit der Erhebung, Nutzung oder sonstigen Verarbeitung personenbezogener Daten beauftragt. Auftragsverarbeiter sind dabei stets weisungsgebunden, müssen also den Weisungen des Auftraggebers Folge leisten.

Hier liegt auch der Kernunterschied zwischen Verantwortlichem und Auftragsverarbeitern: Während der Verantwortliche allein über Mittel und Zweck der Datenverarbeitung entscheidet, muss ein Auftragsverarbeiter sich an die Weisung des Auftraggebers halten.

Keine Auftragsverarbeitung liegt hingegen vor, wenn die externen Dienstleister mit der Datenverarbeitung eigene Interessen verfolgen und nicht weisungsgebunden tätig werden. Das ist zum Beispiel bei Insolvenzverwaltern oder Inkassobüros mit Forderungsübertragung der Fall.

Welche Pflichten haben Auftragsverarbeiter?

Auftragsverarbeiter müssen aufgrund der Weisungsgebundenheit in großen Teilen dieselben Pflichten erfüllen wie ihre Auftraggeber:

  • Auftragsverarbeiter müssen ebenfalls ein Verzeichnis über die Verarbeitungstätigkeiten führen, welches Namen und Kontaktdaten des Verantwortlichen (des Auftraggebers) und die Kategorien der Verarbeitungen umfasst.
  • Werden Daten in Drittländer übermittelt, muss dies ebenfalls dokumentiert werden.
  • Auch eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der personenbezogenen Daten sollte vorhanden sein.

Zwar muss der Auftragsverarbeiter die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten vornehmen, es obliegt jedoch dem Auftraggeber sicherzustellen, dass der Beauftragte über ausreichende Maßnahmen verfügt. Ob die ergriffenen Maßnahmen ausreichend sind, hängt immer von der Art der Daten und deren Verarbeitung ab.

Der Auftraggeber bleibt weiterhin Ansprechpartner für die betroffenen Personen, allerdings haften der Verantwortliche und der Auftragsverarbeiter gemeinsam für Verstöße. Die Haftung beschränkt sich dabei jedoch auf Verstöße gegen die für die jeweiligen Parteien geltenden Pflichten. Beide Parteien können sich von der Haftung exkulpieren, wenn sie nachweisen, dass sie für die Entstehung des Schadens nicht verantwortlich sind.

Zertifizierung: Verhaltensregeln für Auftragsverarbeiter 

Die neuen Verhaltensregeln sind im Grunde eine Konkretisierung der datenschutzrechtlichen Bestimmungen. Das macht es für Auftragsverarbeiter leichter, sich in den Vorgaben der DSGVO zurechtzufinden und die Vorgaben zu erfüllen.

Dadurch, dass die zuständigen Aufsichtsbehörden der Länder (die Landesdatenschutzbeauftragten) diese Verhaltensregeln genehmigt haben, besteht für Auftragsverarbeiter bei Einhaltung der Verhaltensregeln eine gewisse Rechtssicherheit.

Mit der Genehmigung der Verhaltensregeln durch die Aufsichtsbehörden ist die DSZ nun auch eine offizielle Überwachungsstelle. Auftragsverarbeiter haben daher nun auch die Möglichkeit, einen Antrag auf Selbstverpflichtung zu stellen und sich somit zertifizieren zu lassen.

Durch diese Selbstverpflichtung zur Einhaltung der „Trusted Data Processor“-Verhaltensregeln können die verantwortlichen Auftraggeber sichergehen, dass die Auftragsverarbeiter die Vorgaben der DSGVO einhalten und notwendige technische und organisatorische Maßnahmen zur Sicherheit der personenbezogenen Daten vorhalten. Das macht es auch für die Verantwortlichen leichter, ihrer Pflicht aus der DSGVO nachzukommen.

Fazit: Mehr Datenschutz in der Auftragsverarbeitung

Die DSGVO enthält viele Regeln und Verpflichtungen für den Umgang mit personenbezogenen Daten – auch für Auftragsverarbeiter. Nicht wenigen Unternehmen fällt es schwer, diese immer ausreichend zu erfüllen, denn die Regeln sind komplex und zeitaufwendig. Das können auch genehmigte Verhaltensregeln für Auftragsverarbeiter nicht ändern, denn auch hier bedarf es der Umsetzung.

Allerdings macht der Regelkatalog einige Bestimmungen verständlicher und kann durch die Zertifizierung dazu beitragen, dass sowohl Auftragsverarbeiter als auch Verantwortliche bei der Verarbeitung personenbezogener Daten auf der sicheren Seite sind.

Sie haben Fragen zum Thema Auftragsverarbeitung?

Wir bieten professionelle Unterstützung beim Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen. Gerne beraten unsere Datenschutzexperten Sie zu Ihrem individuellen Fall in der Auftragsverarbeitung. Wir haben praktische Lösungen im Datenschutz entwickelt, mit dessen Hilfe wir schon vielen Unternehmen in Europa helfen konnten, die Vorgaben der DSGVO umzusetzen. Kommen Sie für eine unverbindliche Erstberatung jederzeit auf uns zu.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

datenschutz-Muster

Kostenlose Materialien zum Thema

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!