Im Zusammenhang mit der Datenschutz-Grundverordnung (DSGVO)
ist Ihnen der Begriff Auftragsdatenverarbeitung bekannt oder haben zumindest
schon mal davon gehört. Ihnen ist jedoch nicht ganz klar, was es mit dieser
Datenschutz-Grundverordnung auf sich hat und was hier beachtet werden muss.
Die Auftragsdatenverarbeitung hat mittlerweile einen neuen
Namen und nennt sich jetzt, laut Datenschutz-Grundverordnung,
Auftragsverarbeitung. Diese regelt die Erhebung, Nutzung und Verarbeitung
personenbezogener Daten durch einen externen Verarbeiter von Daten, aufgrund
von Weisungen des Verantwortlichen der Datenverarbeitung. Die
Auftragsverarbeitung ist in einem entsprechenden Vertrag festzuhalten.
Ob es sich um die Lohnbuchhaltung, um eine Marketingagentur
oder einen anderen Dienstleister handelt, immer häufiger wird die
Datenverarbeitung an externe Dienstleister übertragen. Diese Dienstleister
müssen jedoch Zugriff die entsprechenden Daten (Kundendaten/Mitarbeiterdaten) erhalten,
damit sie ihre Aufgaben erfüllen können. Hierbei werden also im Auftrag eines
Unternehmens Daten verarbeitet. Die Auftragsdatenverarbeitung war bisher im
Bundesdatenschutzgesetz geregelt. Seit dem Mai 2018 gilt jedoch die neue
Datenschutz-Grundverordnung (DSGVO) der EU. Die bestehenden ADV-Verträge müssen
daher neu geschlossen bzw. angepasst werden.
Mit welchen Dienstleistern müssen Auftragsverarbeitungsverträge
abgeschlossen werden?
Wenn Daten an andere übermittelt werden, ist dies nur
erlaubt, wenn die betroffenen Personen vorab um Erlaubnis gefragt wurden und
dann die Einwilligung dazu erteilt haben. Alternativ kann auch das Gesetz von
vornherein eine Erlaubnis erteilen und die entsprechenden Personen werden
hierüber benachrichtigt. Ebenfalls ist es erlaubt personenbezogene Daten an
andere Stellen zu übermitteln, wenn eine Auftragsverarbeitung vorliegt. Damit
ist die Auftragsverarbeitung für Unternehmen vorteilhaft, da keine Erlaubnis
vorhanden sein muss und die Personen auch nicht benachrichtigt werden müssen.
Hierzu genügt dann ein Vertrag mit dem Auftragsverarbeiter. Doch mit welchen
Dienstleistern sollte ein Vertrag zur Auftragsverarbeitung geschlossen werden?
Nachstehende Fragen sollten Sie daher vorab klären:
- besteht seitens des Dienstleisters kein eigenes
Interesse an den personenbezogenen Daten? - werden die Mittel und der Zweck der
Datenverarbeitung selbst festgelegt? - hat die externe Stelle der Datenverarbeitung
eine technische Hilfs- oder Unterstützungsfunktion?
Wenn Sie die Fragen eindeutig mit „Ja“
beantworten können, liegt in der Regel eine Auftragsverarbeitung vor. Denn
sobald ein Dienstleister in Ihrem Auftrag weisungsbefugt personenbezogene Daten
verarbeitet, liegt ein Auftrag zur Verarbeitung von Daten vor. Im Zweifel sollten
Sie Ihren Datenschutzbeauftragten fragen. Dieser kann auch eine Vertragsprüfung
des ausgearbeiteten Vertrags vornehmen. Dies ist wichtig, um die Kundendaten
rechtssicher zur Verarbeitung an externe Dienstleister zu geben. Wenn kein
Datenschutzbeauftragter vorhanden ist, können Sie sich auch an die jeweilige
Landesdatenschutzbehörde wenden. Denn diese Behörde hat die Aufgabe,
Unternehmen entsprechend zu beraten.
Auftragsdatenverarbeitung – Darauf ist zu achten hinzugefügt von admin am
Alle Beiträge von admin →
