DSGVO: Wie man mit Auftragsdatenverarbeitern umgeht

31.07.2019 - Adresspflege, Mailingversand, EMail-Marketing: In der Digitalen Wirtschaft geht kaum etwas ohne Auftragsverarbeitung. Die Regeln zur Auftragsverarbeitung finden sich in den Artikeln 28 und 29 der DSGVO. Darin verbirgt sich jedoch eine Reihe von Fallstricken.

von Joachim Graf

In nahezu allen Branchen steigt die Bedeutung des Outsourcings von Daten. Der Grund: Um Ressourcen wie Kosten, Raum und Zeit zu sparen, nutzen viele Unternehmen nicht nur externe Speicher, sondern lagern zudem immer mehr Arbeitsprozesse vollst�ndig an externe Dienstleister aus - sei es die Nutzung eines externen Rechenzentrums oder die Beauftragung eines Callcenters oder einer Marketingagentur, die in irgendeiner Form Kundendaten verarbeitet. Das Hauptmerkmal der Auftragsverarbeitung besteht darin, dass Unternehmen als Auftraggeber externe Dienstleister, in diesem Fall Auftragnehmer genannt, damit beauftragen, personenbezogene Daten weisungsgebunden zu verarbeiten.

Was zeichnet einen Auftragsverarbeiter aus?

Artikel 4 Nummer 8 der DSGVO zufolge kann "eine nat�rliche oder juristische Person, Beh�rde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet", als Auftragsverarbeiter fungieren. Auch wenn der Auftragsverarbeiter bestimmte Entscheidungen selbst treffen kann, hat er hinsichtlich des Zweckes der Verarbeitung keine Entscheidungsgewalt. So z�hlen beispielsweise EDV-, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Unternehmensdaten, externe Rechenzentren, Agenturen, Callcenter, aber auch E-Mail-Provider oder Cloud-Anbieter zum Auftragsverarbeiter. Der Auftragsverarbeiter muss garantieren, dass seine technischen und organisatorischen Ma�nahmen den Datenschutzbestimmungen entsprechen.

Wer tr�gt die Verantwortung?

Die Hauptverantwortung f�r die Einhaltung datenschutzrechtlicher Anforderungen bei der Verarbeitung von personenbezogenen Daten liegt noch immer beim Auftraggeber, denn eine Auslagerung der Datenverarbeitung befreit ihn nicht von seinen datenschutzrechtlichen Pflichten. Das bedeutet: Das Unternehmen, das den Auftrag erteilt, fungiert weiterhin als Ansprechpartner hinsichtlich der Betroffenenrechte, beispielsweise bei Auskunftsanfragen oder L�schanliegen. Der Auftragnehmer, der in diesem Fall als Auftragsverarbeiter bezeichnet wird, erh�lt je nach vertraglicher Gestaltung die Befugnisse hinsichtlich der Auswahl der Datenverarbeitungsmittel. In jedem Falle gibt der Auftraggeber die technischen und organisatorischen Ma�nahmen vor, die der Auftragsverarbeiter einhalten muss. F�r gew�hnlich hat der Auftragsverarbeiter hier aber noch Spielr�ume. So wird beispielsweise vorgegeben, dass das Netzwerk durch eine Firewall gesichert werden muss, jedoch nicht Hersteller oder Modell der Firewall. Zudem darf der Auftragsverarbeiter die Daten nicht f�r seine eigenen Zwecke nutzen. Bei der Auswahl des Auftragsverarbeiters muss der Verantwortliche sicherstellen, dass dieser die Vorgaben der Datenschutz-Grundverordnung einh�lt. Grundlage der Auftragsverarbeitung stellt ein Vertrag zwischen Verantwortlichen und Auftragsverarbeiter dar.

Existieren hinsichtlich des Vertrages Besonderheiten?

Der DSGVO zufolge muss der Vertrag schriftlich zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgefasst werden, was auch in einem elektronischen Format erfolgen kann. Er muss eine genaue T�tigkeitsbeschreibung beinhalten, zudem muss f�r jede Form der Datenverarbeitung ein konkreter zuordenbarer Auftrag des Verantwortlichen existieren. Au�erdem muss er eine detaillierte Beschreibung aller Verarbeitungsmodalit�ten enthalten. Dar�ber hinaus beinhaltet der Artikel 28 weitere Punkte, wie beispielsweise Regelungen, ob und unter welchen Bedingungen Unterauftragnehmer eingesetzt werden d�rfen.

Autor Haye H�sel ist Gesch�ftsf�hrer und Gr�nder der Hubit Datenschutz GmbH & Co. KG .

Diskussion:

Kommentar hinzuf�gen
Schreiben Sie Ihre Meinung, Erfahrung, Anregung mit oder zu diesem Thema. Ihr Beitrag erscheint dann an dieser Stelle.

Vortr�ge zum Thema:

Bild: Markus B�ckle

Markus B�ckle
(econda GmbH)

Die Herausforderungen im Datenschutz 2023 bew�ltigen

Datenschutzkonforme Personalisierungs- und Analyticsl�sungen werden f�r die Zukunft immer wichtiger. Wir zeigen Dir, welche M�glichkeiten Du 2023 einsetzen musst, willst Du nicht mit der Zukunft Deines Unternehmens spielen.

Diese Herausforderungen gibt es 2023 durch den Datenschutz:
- Wie Personalisierung und Analysesoftware Dein Fachpersonal entlasten k�nnen.
- Wie Du das Kostenargument bew�ltigst
- Wieso 2023 der Einsatz von Google Analytics rechtlich bedenklich ist und von vielen Kunden auch schlicht abgelehnt wird.
- Wie Du Deinen Datenbestand datenschutzkonform selbst aufbaust statt ihn an US-Anbieter zu veschenken
Vortrag im Rahmen der Zukunftskonferenz 2023. Trends f�r ECommerce, Marketing und digitales Business am 07.12.22, 10:05 Uhr

Campaign - part of Bertelsmann Marketing Services

Als Teil der Bertelsmann Marketing Services erarbeitet Campaign seit �ber 25 Jahren unterschiedlichste Marketing- und Kommunikationsl�sungen mit der passenden Technologie und Ergebnisanalyse. Ob digitaler oder klassischer Kommunikationskanal: Campaig…

eMBIS Akademie f�r Online Marketing

Die eMBIS Akademie wurde 2001 gegr�ndet und bietet deutschlandweit praxisnahe Online Marketing und Inhouse-Seminare an. Mehr als 40 Themen und Teilnehmern aus allen Branchen machen die eMBIS Akademie zu einem der f�hrenden Weiterbildungsinstitute in …

MKM media - Selfmailer.com

Selfmailer.com ist spezialisiert auf personalisierte, individuelle Printprodukte und z�hlt mit seiner modernen und aufw�ndigen Maschinen- und Personalisierungstechnik in Deutschland zu den f�hrenden Dienstleistern im Bereich Adressierung, Versionalis…

SDV Medien+Service GmbH

Die SDV Medien+Service GmbH ist zusammen mit den Tochterunternehmen SDV Direct World GmbH und SDV Winter GmbH ein Full-Service-Dienstleister f�r Dialogmedien und Informationslogistik. SDV besch�ftigt in Dresden, Weidenberg und Bamberg insgesamt run…

Schober Information Group Deutschland GmbH

Wir unterst�tzen Unternehmen bei der Digitalisierung von Vertrieb und Marketing. Auf Basis eines umfassenden Datenuniversums automatisiert ?udo? Datenzusammenf�hrung, -bereinigung, Anreicherung, KI-Analysen und kanal�bergreifende Kundenansprache. Die…

real media technic STAUDACHER GmbH

Grafik/ Fotografie/ Video, Software-Spezialanwendungen/ -dienstleistungen, Datenbanksysteme, Media-/Vermarktungsleistungen, Marketing, Direkt-Marketing (Kreation / Konzeption), Handelsmarketing

Business Data Solutions GmbH & Co. KG

Wir revolutionieren Daten- und Lead Management durch fortschrittliche Datenanalysen und KI-gest�tzte Technologien. Unsere Expertise in Big Data von �ber 10 Mio. Domains erm�glicht pr�zise, auf Machine Learning basierende L�sungen f�r spitze Leads, ei…

Deutsche Post Adress GmbH & Co.KG

Die Deutsche Post Adress ist der in Deutschland f�hrende Anbieter von L�sungen zur Adressaktualisierung und -recherche. Das Gemeinschaftsunternehmen der Deutschen Post und Bertelsmann bietet zahlreiche Produkte und Services, mit denen Unternehmen ihr…

gkk dialogGroup GmbH

Wir glauben daran: nichts begeistert mehr als gute Dialoge. Begeisterung ist der Antrieb von allem - und begeisternde Dialoge sind die Grundlage f�r Fortschritt. Als f�hrende Customer Experience Management - Agentur Deutschlands gestalten wir die Zuk…

panadress marketing intellignce GmbH

panadress marketing intelligence geh�rt zu den f�hrenden Marketing-Data-Providern in Deutschland. Wir unterst�tzen unsere Kunden, Marketing und Vertrieb kundenzentriert auszurichten, um ihre Marktposition zu st�rken und weiter auszubauen. Mit der Pow…