Auftragsverarbeitung

Auftragsverarbeitung
Pragmatische Lösungskonzepte für Datenschutz & Digitalisierung.
check_circle
Branchenbezogene Kompetenz
check_circle
Juristen & IT-Spezialisten
check_circle
Seit 2014 am Markt

Viele Verarbeitungen werden nicht mehr selbst durchgeführt, sondern sind an externe Dienstleistende ausgelagert. Deswegen müssen Ihre Dienstleistenden ebenfalls einschlägige Datenschutzgesetze achten. Umso wichtiger ist es, mit Ihren Dienstleistenden datenschutzkonforme Regelungen zu definieren.

Ihre Vorteile:

Überzeugen Sie sich von den Vorteilen einer Zusammenarbeit.

Direkte Ansprechperson
Wir sind bei der Erstellung und dem Abschluss von AV-Verträgen direkte Ansprechperson. Für Sie, Ihre Kundschaft und Ihre Partnerorganisationen.

Individualität
Wir organisieren Ihre Auftragsverarbeitung Anhand Ihrer individuellen Anforderungen. 

Weltlicher und kirchlicher Datenschutz
Ob DSGVO, DSG-EKD oder KDG. Mit uns gestalten Sie Ihre Auftragsverarbeitung gesetzeskonform.

Was ist eine Auftragsverarbeitung?

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Vielerorts wird auch vom „Empfänger“ gesprochen, wobei dieser Begriff wohl oftmals gleichzusetzen ist mit dem Begriff des Auftragsverarbeiters. 

Heute werden viele interne Prozesse an externe Dienstleistende vergeben. Dies ist oftmals effizienter und kostengünstiger, als sich innerhalb der Organisation das eigene Wissen aufzubauen sowie die eigene technische Ausstattung zu beschaffen. Der Auftragsverarbeiter hat an den übermittelten Daten kein eigenes Interesse, sondern „verwaltet“ diese ledglich.

Bevor sich eine Organisation entscheidet externe Dienstleistende einzubinden, müssen vertragliche Regelungen geschlossen werden – sogenannte Verträge zur Auftragsverarbeitung oder kurz: AV-Verträge.

Klassische Auftragsverarbeitungen sind:

check_circle
IT-Dienstleistungen (z.B. Inanspruchnahme externer Rechenzentren, Cloud-Dienstleistungen oder Nutzung und Wartung von Branchensoftware)
check_circle
Vernichtung von Akten und Datenträgern durch ein beauftragtes Unternehmen
check_circle
Durchführung der Lohn- und Gehaltsabrechnung durch ein externes Unternehmen oder eine eigene Service-Gesellschaft
check_circle
Inanspruchnahme eines Lettershops zum Versand von Mailings

Wir beraten Sie bundesweit und in allen Branchen, so wie es bereits unsere Kunden schätzen.

Was regelt ein Vertrag zur Auftragsverarbeitung?

Ein AV-Vertrag regelt die Rechte und Pflichten beider Parteien. In ihm wird beschrieben, welche personenbezogenen Daten und zu welchem Zweck an den Auftragsverarbeiter übermittelt und dort verarbeitet werden. Ein AV-Vertrag ist dementsprechend eine Anlage zum eigentlichen Dienstleistungs- oder Servicevertrag, darf aber nicht vergessen werden. Ob es sich bei dem Dienstleistenden um einen Auftragsverarbeiter handelt oder der Dienstleistende ein eigenes Interesse an den Daten besitzt, gilt es vorab zu klären.

Der AV-Vertrag regelt aber noch mehr. So muss der Auftragsverarbeiter seine technischen und organisatorischen Maßnahmen beschreiben. Denn auch wenn die personenbezogenen Daten an einer anderen Stelle verarbeitet werden, bleibt die Organisation weiterhin für die Verarbeitung verantwortlich. Datenpannen und daraus resultierende Ansprüche von Behörden oder betroffenen Personen können nicht ohne weiteres dem Auftragsverarbeiter zugeschoben werden. Vielmehr gilt es in solch einem Fall nachweisen zu können, dass die verantwortliche Organisation all ihren Pflichten zur konformen Gestaltung der Auftragsverarbeitung nachgekommen ist. Das bedeutet:

check_circle
Es muss ein gültiger AV-Vertrag existieren
check_circle
Die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters sind dem Schutzbedarf entsprechend angemessen gewählt
check_circle
Der AV-Vertrag muss alle geforderten Inhalte enthalten
check_circle
Die technischen und organisatorischen Maßnahmen wurden regelmäßig von der verantwortlichen Organisation geprüft (z.B. durch Vor-Ort-Kontrollen oder durch Nachweise/Zertifikate)

Was ist der Unterschied zwischen Auftragsverarbeitung und Joint Controllership?

Sollte der externe Dienstleistende ein eigenes Interesse an den personenbezogenen Daten besitzen, handelt es sich in vielen Fällen nicht um einen Auftragsverarbeiter. In diesem Fall liegt eine gemeinsame Verantwortung vor, ein sogenanntes Joint Controllership.

Abweichend zur klassischen Auftragsverarbeitung sind hier andere vertragliche Regelungen zu definieren, z.B. welche Partei welchen datenschutzrechtlichen Verpflichtungen nachkommt. Dies gilt insbesondere für

check_circle
die Wahrnehmung der Betroffenenrechte
check_circle
die Erfüllung der Informationspflichten

Wir beraten Sie gerne zur konformen Gestaltung der Auftragsverarbeitung.
Insbesondere beraten wir Sie zur

check_circle
Auswahl geeigneter Dienstleistender
check_circle
Gestaltung konformer AV-Verträge
check_circle
Gestaltung von Vereinbarungen zur gemeinsamen Verantwortlichkeit

Darüber hinaus prüfen wir in Ihrem Auftrag die technischen und organisatorischen Maßnahmen der Auftragsverarbeiter im Hinblick auf den Schutzbedarf Ihrer personenbezogenen Daten – gerne auch beim Dienstleistende vor Ort.

Sie haben Fragen zur Auftragsverarbeitung?

Kontaktieren Sie uns gerne, wenn Sie Fragen haben oder Unterstützung zum Thema Auftragsverarbeitung benötigen. Unser Team steht Ihnen jederzeit zur Verfügung. Informationen zum Umgang mit Ihren Daten können Sie unseren Datenschutzhinweisen entnehmen.

zurücksetzen