Angebot einholen
Logo Barth Datenschutz
Angebot einholen

AV-
Übersicht

AV-
Übersicht
2022-08-30T10:01:51+02:00

Übersicht zur Auftragsverarbeitung

Wer ist Auftragsverarbeiter?

Auftragsverarbeiter = natürliche oder juristische Person die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Grundsätzlich unterscheidet man:

  • Auftragsverarbeitung nach Art. 28 DSGVO
  • Gemeinsame Verantwortung nach Art. 26 DSGVO
  • „normale“ Übermittlung von einem an einen anderen Verantwortlichen

Pflichten des Auftragsverarbeiters:

  • Abschluss eines AV-Vertrages
  • Sicherheit der Verarbeitung
  • Führen eines Verzeichnisses von Verarbeitungstätigkeiten (für Auftragsverarbeitungen)
  • Meldung von Datenschutzverletzungen an den Verantwortlichen

Auftragsverarbeiter haftet für Verletzungen der Auftragsverarbeiter-Pflichten und bei Nichtbefolgung der Anweisungen des Verantwortlichen.

Daumenregel zur Abgrenzung von Auftragsverarbeitung

Wenn fremde Fachleistungen anderer Art (also nicht im Schwerpunkt Datenverarbeitung) in Anspruch genommen werden , handelt es sich nicht um Auftragsverarbeitung.

Wer über Zwecke und Mittel der Verarbeitung entscheidet, ist (ggfls. gemeinsam mit anderen Stellen) Verantwortlicher.

Anforderungen an Auftragsverarbeitungen nach Art. 28 DSGVO

  • Prüfpflicht des Verantwortlichen im Hinblick auf technische- und organisatorische Maßnahmen
  • Schriftlicher oder elektronischer Vertrag
    • Nicht zwingend elektronische Signatur erforderlich, Abschluss per E-Mail kann genügen
  • Anforderungen an den Vertragsinhalt nach Art. 28 vgl. Muster AV im Vorlagenbereich

Weisungsgebundenheit (Art. 28 Abs. 3 Satz 2 Buchst. a DSGVO)

Der Auftragsverarbeiter verarbeitet die Daten nur auf dokumentierte Weisung des Verantwortlichen. Deshalb muss der Dienstleister auch auf die Erteilung von Weisungen des Verantwortlichen bestehen.

Vertraulichkeit (Art. 28 Abs. 3 Satz 2 Buchst. b DSGVO)

Alle zur Datenverarbeitung eingesetzten Personen des Auftragsverarbeiters müssen zur Vertraulichkeit verpflichtet sein oder einer gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragsverarbeiter muss die entsprechenden gesetzlichen oder sonstigen Verschwiegenheitsverpflichtungen des eingesetzten Personals jederzeit nachweisen können.

Technische und organisatorische Sicherungsmaßnahmen (Art. 28 Abs. 3 Satz 2 Buchst. c DSGVO)

Der Auftragsverarbeiter muss sich verpflichten, alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zu ergreifen.

Dazu zählen unter anderem:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Datenverarbeitung auf Dauer sicherzustellen
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu diesen Daten nach einem Zwischenfall rasch wiederherzustellen, sowie
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Das Ausmaß der Sicherungsmaßnahmen ist unter Berücksichtigung des Standes der Technik und der betroffenen Daten risikoangemessen zu bestimmen

Pflichten des Auftragsverarbeiters

Auch der Auftragsverarbeiter unterliegt Dokumentationspflichten. Insbesondere muss er gemäß Art. 30 Abs. 2 DSGVO ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Verarbeitungstätigkeiten führen, das folgende Angaben enthält:

  • den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten,
  • die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 U Abs. 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien sowie
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.

Das Verzeichnis von Verarbeitungstätigkeiten ist schriftlich zu führen, was auch „in einem elektronischen Format“ erfolgen kann (Art. 30 Abs. 3 DSGVO). Es muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden (Art. 30 Abs. 4 DSGVO).

Darüber hinaus muss der Auftragsverarbeiter die Weisungen des Verantwortlichen dokumentieren (Art. 28 Abs. 3 Satz 2 Buchst. a DSGVO) und dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellen (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO).

Nach Beendigung der Auftragsverarbeitung ist die Rückgabe bzw. Löschung der Daten gemäß Art. 28 Abs. 3 Satz 2 Buchst. g DSGVO zu dokumentieren.

Mit Blick auf seine Pflicht zur Unterstützung des Verantwortlichen (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO) sollte der Auftragsverarbeiter auch Prozesse für die Durchsetzung der Betroffenenrechte (Art. 28 Abs. 3 Satz 2 Buchst. e DSGVO) und hinsichtlich der Melde- und gegebenenfalls Benachrichtigungspflicht bei Datenschutzverletzungen (Art. 33, 34 DSGVO) dokumentieren.

Auftragsverarbeitung2022-07-04T15:07:03+02:00
  • Lohnbuchhaltung, Finanzbuchhaltung (wenn nicht Steuerberater – Rechtslage noch unklar)
  • (meist) Cloud-Computing
  • Werbeadressenverarbeitung in Lettershop
  • Callcenter ohne wesentliche Entscheidungsspielräume
  • Auslagerung der E-Mail-Verwaltung
  • Auslagerung der Betreuung von Kontaktformularen / Nutzeranfragen
  • Datenerfassung, -konvertieren, Einscannen
  • Backup-Speicherung, Archivierungen
  • Datenträgerentsorgung
  • (Fern-)Wartung, Prüfung, wenn Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann
  • Ärztliche Verrechnungsstelle ohne Forderungsankauf
  • Sicherheitsdienste, die Besucherdaten erheben
  • Visa-Beschaffungsdienstleister, die hierfür vom Arbeitgeber Beschäftigtendaten erhalten.
Keine Auftragsverarbeitung
(d.h. Dienstleister ist selbst Verantwortlicher)
2022-07-04T15:10:19+02:00

Inanspruchnahme fremder Fachleistungen bei einem eigenständigen Verantwortlichen

  • Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer, externe Betriebsärzte)
  • Inkasso mit Forderungsübertragung
  • Bankinstitute beim Geldtransfer
  • WEG-Verwalter
  • Detektive
  • Hersteller und Großhändler, die von Einzelhändlern für mit Endkunden vereinbarte Direktlieferung die Endkundenadressen erhalten
  • Blumen-/Weinversender, die Liste mit Adressdaten zur Versendung erhalten
  • Insolvenzverwalter
  • Personalvermittlung nach Auftrag von Stellsuchenden und Arbeitgebern
  • Internetplattformbetreiber zur Vermittlung zwischen Anbietern und Nachfragern
  • Telekommunikations-Dienstleistungen, es sei denn, darüber hinausgehende Zusatzdienste (wie z.B. ausgelagerte Telefondienste oder Cloud-Speicher)
  • Versicherungs-, Finanzmakler, -vermittler
  • Handelsvertreter im Rahmen Ihrer Beratungstätigkeiten, Vertragsvermittlung
  • Übersendung von Schulungsteilnehmer-Daten an externe Trainer oder das Trainingshotel
  • Fertigung individueller medizinischer Produkte, Hilfsmittel, Prothesen im Auftrag von Ärzten, Zahnärzten, Apotheken, Sanitätshäusern
  • Medizinische Labore, Materiallabore etc. (Materialuntersuchung im Auftrag)
  • Zahlungsdienstleister für elektronische Zahlungen
  • Von Reisebüros aufgrund Kundenvertrags vermittelte Leistungsanbieter (Hotel, Mietwagenfirma, Fluggesellschaft, Busunternehmen etc.)

Auftrag zielt auf eine andere Tätigkeit als Datenverarbeitung

  • Vom Vermieter beauftragte Handwerker, die Mieterdaten erhalten.
  • Sachverständige, Begutachtung, KFZ-Schäden
  • Personenbeförderung, Krankentransport
  • Bewachungsdienstleistungen
  • Reinigungsdienstleistungen
  • Handwerkereinsatz im Unternehmen
  • Reinigung von Berufskleidung mit Namensschildern
  • Druck von Prospekten, Katalogen mit Bildern von Beschäftigten oder Fotomodellen
  • Transport von schon geschreddertem Material
  • Transport von Unterlagen/Waren durch Kurierdienste, Speditionen, Zeitungsausträgern
  • Übersetzung von Texten

Klarheit und Schutz ohne sinnlose Hürden

Sprechen Sie uns an oder vereinbaren einen 15 Minuten Expertengespräch mit Achim Barth.

Tel: +49 0711 40070720
info@barth-datenschutz.de

Seminare & Vorträge

Vorträge oder Ein-Tages-Seminare sind für kleine Unternehmen sinnvoll.

Achim Barth bietet Ihnen Online-Seminare oder kommt in Ihr Unternehmen und gibt Ihnen und Ihren Angestellten eine Mitarbeiterschulung.

Anhand der Programme Microsoft Teams und SharePoint Online erkläre ich Ihnen in meinem Praxishandbuch minutiös Prozesse und Systeme, mit denen Sie die geforderten Standards erfüllen.

Crypta-Seminarraum

Der Seminar- und Besprechungsraum „Crypta“ befindet sich in Winterbach, in der Brunnengasse 3. Ausgestattet mit moderner Tagungstechnik:

  • Interaktives Whiteboard, Clickshare, professionelles Audio & Video
  • Professionelle Raumakustik und -beleuchtung
  • Raumbelüftung mit ProActive Air: Vergleichbar mit Bergluft dank virenbefreiter, sauberer Luft
Jetzt Seminar buchen