DSGVO: Wie man mit Auftragsdatenverarbeitern umgeht

31.07.2019 - Adresspflege, Mailingversand, EMail-Marketing: In der Digitalen Wirtschaft geht kaum etwas ohne Auftragsverarbeitung. Die Regeln zur Auftragsverarbeitung finden sich in den Artikeln 28 und 29 der DSGVO. Darin verbirgt sich jedoch eine Reihe von Fallstricken.

von Joachim Graf

In nahezu allen Branchen steigt die Bedeutung des Outsourcings von Daten. Der Grund: Um Ressourcen wie Kosten, Raum und Zeit zu sparen, nutzen viele Unternehmen nicht nur externe Speicher, sondern lagern zudem immer mehr Arbeitsprozesse vollst�ndig an externe Dienstleister aus - sei es die Nutzung eines externen Rechenzentrums oder die Beauftragung eines Callcenters oder einer Marketingagentur, die in irgendeiner Form Kundendaten verarbeitet. Das Hauptmerkmal der Auftragsverarbeitung besteht darin, dass Unternehmen als Auftraggeber externe Dienstleister, in diesem Fall Auftragnehmer genannt, damit beauftragen, personenbezogene Daten weisungsgebunden zu verarbeiten.

Was zeichnet einen Auftragsverarbeiter aus?

Artikel 4 Nummer 8 der DSGVO zufolge kann "eine nat�rliche oder juristische Person, Beh�rde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet", als Auftragsverarbeiter fungieren. Auch wenn der Auftragsverarbeiter bestimmte Entscheidungen selbst treffen kann, hat er hinsichtlich des Zweckes der Verarbeitung keine Entscheidungsgewalt. So z�hlen beispielsweise EDV-, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Unternehmensdaten, externe Rechenzentren, Agenturen, Callcenter, aber auch E-Mail-Provider oder Cloud-Anbieter zum Auftragsverarbeiter. Der Auftragsverarbeiter muss garantieren, dass seine technischen und organisatorischen Ma�nahmen den Datenschutzbestimmungen entsprechen.

Wer tr�gt die Verantwortung?

Die Hauptverantwortung f�r die Einhaltung datenschutzrechtlicher Anforderungen bei der Verarbeitung von personenbezogenen Daten liegt noch immer beim Auftraggeber, denn eine Auslagerung der Datenverarbeitung befreit ihn nicht von seinen datenschutzrechtlichen Pflichten. Das bedeutet: Das Unternehmen, das den Auftrag erteilt, fungiert weiterhin als Ansprechpartner hinsichtlich der Betroffenenrechte, beispielsweise bei Auskunftsanfragen oder L�schanliegen. Der Auftragnehmer, der in diesem Fall als Auftragsverarbeiter bezeichnet wird, erh�lt je nach vertraglicher Gestaltung die Befugnisse hinsichtlich der Auswahl der Datenverarbeitungsmittel. In jedem Falle gibt der Auftraggeber die technischen und organisatorischen Ma�nahmen vor, die der Auftragsverarbeiter einhalten muss. F�r gew�hnlich hat der Auftragsverarbeiter hier aber noch Spielr�ume. So wird beispielsweise vorgegeben, dass das Netzwerk durch eine Firewall gesichert werden muss, jedoch nicht Hersteller oder Modell der Firewall. Zudem darf der Auftragsverarbeiter die Daten nicht f�r seine eigenen Zwecke nutzen. Bei der Auswahl des Auftragsverarbeiters muss der Verantwortliche sicherstellen, dass dieser die Vorgaben der Datenschutz-Grundverordnung einh�lt. Grundlage der Auftragsverarbeitung stellt ein Vertrag zwischen Verantwortlichen und Auftragsverarbeiter dar.

Existieren hinsichtlich des Vertrages Besonderheiten?

Der DSGVO zufolge muss der Vertrag schriftlich zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgefasst werden, was auch in einem elektronischen Format erfolgen kann. Er muss eine genaue T�tigkeitsbeschreibung beinhalten, zudem muss f�r jede Form der Datenverarbeitung ein konkreter zuordenbarer Auftrag des Verantwortlichen existieren. Au�erdem muss er eine detaillierte Beschreibung aller Verarbeitungsmodalit�ten enthalten. Dar�ber hinaus beinhaltet der Artikel 28 weitere Punkte, wie beispielsweise Regelungen, ob und unter welchen Bedingungen Unterauftragnehmer eingesetzt werden d�rfen.

Autor Haye H�sel ist Gesch�ftsf�hrer und Gr�nder der Hubit Datenschutz GmbH & Co. KG .

Diskussion:

Kommentar hinzuf�gen
Schreiben Sie Ihre Meinung, Erfahrung, Anregung mit oder zu diesem Thema. Ihr Beitrag erscheint dann an dieser Stelle.

Vortr�ge zum Thema:

Bild: Christian Bennefeld

Christian Bennefeld
(Initiative datenschutz-zwecklos.de)

Klarheit in der KI-Kakophonie: Orientierung f�r die Zukunft

In seiner Key Note gibt Christian einen �berblick �ber den aktuellen Stand der KI-Entwicklung und bietet Orientierung in der Kakophonie aus Algorithmen und Innovationen. Wo stehen wir heute tats�chlich? Was k�nnen wir in der Zukunft erwarten?
Christian ordnet die zentralen Entwicklungen ein und zeigt, welche Trends 2025 wichtig werden. Sind es autonome Agenten, Open-source Modelle oder General Purpose AI-Systeme, die bald unsere Arbeit bestimmen? Was passiert mit der KI-Regulierung und dem Datenschutz? Und worauf m�ssen wir achten, um auch zuk�nftig auf der Gewinnerseite zu stehen?

Der kurzweilige Vortrag gibt �berraschende Antworten und l�dt zum Nachdenken wie Mitdiskutieren ein.

Vortrag im Rahmen der Zukunftskonferenz 25. Trends in ECommerce, Marketing und digitalem Business am 03.12.24, 09:30 Uhr

uptain

Die uptain GmbH entwickelt das f�hrende Software-Tool gegen Warenkorbabbr�che im E-Commerce. Mit der uptain-Software k�nnen Onlineshops Kaufabbr�che verhindern, Warenkorbabbrecher zur�ckgewinnen und die Abbruchrate nachhaltig reduzieren. Das Plugin i…

Campaign - part of Bertelsmann Marketing Services

Als Teil der Bertelsmann Marketing Services erarbeitet Campaign seit �ber 25 Jahren unterschiedlichste Marketing- und Kommunikationsl�sungen mit der passenden Technologie und Ergebnisanalyse. Ob digitaler oder klassischer Kommunikationskanal: Campaig…

eMBIS Akademie f�r Online Marketing

Die eMBIS Akademie wurde 2001 gegr�ndet und bietet deutschlandweit praxisnahe Online Marketing und Inhouse-Seminare an. Mehr als 40 Themen und Teilnehmern aus allen Branchen machen die eMBIS Akademie zu einem der f�hrenden Weiterbildungsinstitute in …

MKM media - Selfmailer.com

Selfmailer.com ist spezialisiert auf personalisierte, individuelle Printprodukte und z�hlt mit seiner modernen und aufw�ndigen Maschinen- und Personalisierungstechnik in Deutschland zu den f�hrenden Dienstleistern im Bereich Adressierung, Versionalis…

SDV Medien+Service GmbH

Die SDV Medien+Service GmbH ist zusammen mit den Tochterunternehmen SDV Direct World GmbH und SDV Winter GmbH ein Full-Service-Dienstleister f�r Dialogmedien und Informationslogistik. SDV besch�ftigt in Dresden, Weidenberg und Bamberg insgesamt run…

Schober Information Group Deutschland GmbH

Die Schober Information Group Deutschland GmbH ber�t und unterst�tzt Kunden strategisch mit On- und Offline-L�sungen sowie bei der systematischen Umsetzung von crossmedialen Kommunikations-, Werbe- und Verkaufsstrategien.

Business Data Solutions GmbH & Co. KG

Wir revolutionieren Daten- und Lead Management durch fortschrittliche Datenanalysen und KI-gest�tzte Technologien. Unsere Expertise in Big Data von �ber 10 Mio. Domains erm�glicht pr�zise, auf Machine Learning basierende L�sungen f�r spitze Leads, ei…

Deutsche Post Adress GmbH & Co.KG

Die Deutsche Post Adress ist der in Deutschland f�hrende Anbieter von L�sungen zur Adressaktualisierung und -recherche. Das Gemeinschaftsunternehmen der Deutschen Post und Bertelsmann bietet zahlreiche Produkte und Services, mit denen Unternehmen ihr…

gkk dialogGroup GmbH

Wir glauben daran: nichts begeistert mehr als gute Dialoge. Begeisterung ist der Antrieb von allem - und begeisternde Dialoge sind die Grundlage f�r Fortschritt. Als f�hrende Customer Experience Management - Agentur Deutschlands gestalten wir die Zuk…

panadress marketing intellignce GmbH

panadress marketing intelligence geh�rt zu den f�hrenden Marketing-Data-Providern in Deutschland. Wir unterst�tzen unsere Kunden, Marketing und Vertrieb kundenzentriert auszurichten, um ihre Marktposition zu st�rken und weiter auszubauen. Mit der Pow…