Auftragsverarbeitung

Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO

Auftragsverarbeitung (AVV)

Art. 28 DSGVO schreibt keine besondere Form vor. In der Praxis ist es jedoch allein wegen der Dokumentation und aus Beweisgründen empfehlenswert, einen Vertrag in Textform zu schließen. So kann der Vertrag in elektronischen Formaten (z.B. PDF) oder schriftlich in Papierform geschlossen werden.

Die Auftragsverarbeitung ist hauptsächlich in Art. 28 der Datenschutz-Grundverordnung (DSGVO) geregelt. Darüber hinaus enthält die DSGVO vereinzelte Vorschriften, die jedoch für Handwerksbetriebe nicht einschlägig sind. Das Gesetz bezeichnet den Dienstleister als „Auftragsverarbeiter“. Der beauftragende Betrieb wird „Verantwortlicher“ genannt, da er die Daten nutzt und damit trotz Einschaltung eines Dienstleisters auch für die Rechtmäßigkeit der Datenverarbeitung einstehen muss und verantwortlich bleibt.

Inhalt Auftragsverarbeitung

Artikel 28 DSGVO definiert zahlreiche Mindestanforderungen an den Inhalt einer Auftragsverarbeitung AVV. Dies betrifft insbesondere:

 

  • Gegenstand des Auftrags
  • Dauer des Auftrags
  • Zweck der Datenverarbeitung
  • Kategorien der betroffenen Personen
  • Ergreifung der erforderlichen technischen und organisatorischen Schutzmaßnahmen TOM
  • Umfang der Weisungsbefugnisse
  • Rückgabe von Datenträgern nach Beendigung des Auftrags

Pflichten des Auftragsverarbeiters (Art. 30 Absatz 2)

Alle Daten Kategorien, die im Auftrag eines Verantwortlichen durchgeführt werden, müssen zukünftig nach Art. 30 Abs. 2 DSGVO ebenfalls in einem Verzeichnis dokumentiert werden. Die Inhalte sind identisch zu den Verzeichnis für Verarbeitungstätigkeiten nach Artikel 30 DSGVO.

Bayerisches Landesamt für Datenschutzaufsicht

Hier finden Sie weitere Informationen bzgl. Datenschutz in Bayern – Datenschutzprüfungen werden regelmäßig durch das BayLDA im Rahmen seiner gesetzlichen Aufgaben durchgeführt. Dort finden Sie auch eine Auswahl der durchgeführten Kontrollen.

Wann liegt eine Auftragsverarbeitung vor?

Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb zwar personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. Dies ist z.B. bei Anbietern von Cloud-Lösungen der Fall, die auf ihren Servern Daten für den Betrieb speichern. Dasselbe gilt für Lohnbuchhaltungsanbieter, die für den Betrieb die Lohnbuchhaltung erstellen und dabei z.B. Mitarbeiterdaten (Name, Bankverbindung, Krankenkasse, Steuernummer etc.) verarbeiten.