Auftragsverarbeitung

Die Auslagerung von Rechenprozessen an unternehmensfremde (externe) Dienstleister ist ein Vorgang, der datenschutzrechtlich einer Überprüfung nach dem Erfordernis einer Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO oder eines Vertrags gemeinsamer Verantwortlicher nach Art. 26 DSGVO bedarf. Der Zuständigkeitsbereich eines externen Datenschutzbeauftragten umfasst die Überprüfung von Auftragsverhältnissen von Verantwortlichen (Auftraggebern), die sich externer Dienstleister zur Auftragsdurchführung bedienen. Der Gesetzgeber hat in Art. 28 DSGVO die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters (Auftragnehmer) bei Vorliegen einer Auftragsverarbeitung geregelt. Unter anderem ist zwischen der verantwortlichen Stelle (Verantwortlicher) und dem Auftragsverarbeiter eine Vereinbarung zur Auftragsverarbeitung zwingend vorgesehen. Die Missachtung der Rechtspflicht zum Abschluss der notwendigen Vereinbarung ist gemäß Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt. Außerdem besteht eine gesamtschuldnerische Haftung zwischen dem Verantwortlichen und dem Auftragsverarbeiter nach Art. 82 Abs. 4 DSGVO. Kennzeichnend für eine Vereinbarung zur Auftragsverarbeitung sind gesetzlich verankerte Kontrollbefugnisse des Verantwortlichen, die sicherstellen, dass dieser sich regelmäßig vom Bestand und der Einhaltung technisch-organisatorischer Maßnahmen beim Auftragsverarbeiter vergewissern kann. Der Gesetzgeber trägt hierdurch dem Umstand Rechnung, dass die für die Erhebung der personenbezogenen Daten verantwortliche Stelle, auch bei Durchführung einer Datenverarbeitung im Auftrag durch einen Dritten weiterhin verantwortlich für diese personenbezogenen Daten bleibt und Sorge dafür trägt, dass die Verarbeitung in datenschutzrechtlich zulässiger Weise stattfindet. Weitere Besonderheiten einer Auftragsverarbeitung müssen stets vorab geklärt und in der entsprechenden Vereinbarung gem. Art. 28 DSGVO berücksichtigt werden. Bei Vereinbarungen mit ausländischen Auftragsverarbeitern ist zusätzlich das Datenschutzniveau des Staates, in dem der Auftragsverarbeiter die Datenverarbeitung durchführt, für die datenschutzrechtliche Einordnung von großer Bedeutung. Unvermeidbar sind auch datenschutzkonforme Regelungen über einzelne Rechte und Pflichten beider an der Auftragsverarbeitung beteiligten Unternehmen, die Kontrollrechte, Unterauftragsverhältnisse, Weisungsbefugnisse und Umgang mit den personenbezogenen Daten nach Beendigung des Vertragsverhältnisses zum Inhalt haben. Bei konzerninterner Verarbeitung von personenbezogenen Daten kommen oft Verträge von gemeinsam Verantwortlichen zu Anwendung, da neben den Tochtergesellschaften auch die Muttergesellschaft ein eigenes Interesse an der Verarbeitung von personenbezogenen Daten der Töchter hat und diese für eigene Zwecke nutzt. Tochtergesellschaften und Muttergesellschaften entscheiden als gemeinsam Verantwortliche über Zwecke und Mittel der Datenverarbeitung.

Unsere Kanzlei berät im Bereich der Auftragsverarbeitung zu folgenden Themengebieten:

  • Beurteilung, ob der Fall einer Auftragsverarbeitung gem. Art. 28 DSGVO vorliegt
  • Überprüfung der Kreditorenliste des Unternehmens, um aktive Auftragsverarbeiter zu identifizieren
  • Abgrenzung, ob ein Vertrag gemeinsam Verantwortlicher gem. Art. 26 DSGVO erforderlich ist
  • Unterstützung bei der Erfassung des Data Workflows in verschiedenen IT-Applikationen in Konzernstrukturen
  • In Abhängigkeit vom Data Workflow Strukturierung der erforderlichen datenschutzrechtlichen Verträge (Art. 28, Art. 26 DSGVO, Rahmenverträge)
  • Gestaltung von datenschutzkonformen Vereinbarungen zur Auftragsverarbeitung
  • Gestaltung von Verträgen gemeinsamer Verarbeitung
  • Prüfung der erforderlichen Angaben zum technisch-organisatorischen Datenschutz
  • Durchführung der Zuverlässigkeitsprüfung externer Dienstleister z. B. durch ein Datenschutz-Audit
  • Vor-Ort-Besuche, Begehung der IT- und TK-Infrastruktur zur Prüfung der datenschutzrechtlichen Zuverlässigkeit des externen Dienstleisters
  • Bei externen Dienstleistern in einem Drittstaat außerhalb der EU, datenschutzrechtliche Beurteilung der vorliegenden Fallgruppen zum Abschluss der erforderlichen Vereinbarungen zur Auftragsverarbeitung/gemeinsamer Verantwortlichkeit und/oder EU-Standarddatenschutzklauseln (Auswahl der Module)