AuftragsverarbeitungCharakteristisch für die Auftragsverarbeitung ist, dass sich die datenschutzrechtlich Verantwortlichen für Hilfstätigkeiten Dienstleister:innen (Auftragsverarbeiter:innen) für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten bedienen. Auftragsverarbeiter:innen sind gemäß Art. 4 Nr. 8 DSGVO Stellen, die personenbezogene Daten im Auftrag der Verantwortlichen verarbeiten. Die Auftragsverarbeiter:innen verfahren dabei entsprechend den Weisungen der Verantwortlichen mit den von diesen überlassenen Daten (Art. 28 Abs. 3 lit. a DSGVO). Die maßgeblichen Entscheidungen über den Umgang mit den personenbezogenen Daten verbleiben aber bei den Verantwortlichen. Typische Beispiele einer Auftragsverarbeitung sind das Erstellen von Lohn- und Gehaltsabrechnungen, IT-Wartung, Cloud-Computing-Anwendungen, Hosting oder Callcenter-Tätigkeiten.
Die Gesamtverarbeitung für die Datenverarbeitung und die Nachweispflicht der Verantwortlichen nach Art. 5 Abs. 2 DSGVO umfasst auch die Verarbeitung durch die Auftragsverarbeiter:innen. Hiervon können sich die Verantwortlichen nicht durch die Beauftragung von auftragsverarbeitenden Stellen befreien. Verstoßen Auftragsverarbeiter:innen gegen die Pflicht zur weisungsgebundenen Verarbeitung und verletzen dabei die Vorgaben der DSGVO, gelten diese nach Art. 28 Abs. 10 DSGVO insoweit selbst als Verantwortliche. Die Weitergabe von personenbezogenen Daten im Zuge einer Auftragsverarbeitung wird gesetzlich nicht als Übermittlung im datenschutzrechtlichen Sinne qualifiziert.
Die Verantwortlichen dürfen nur mit solchen Auftragsverarbeiter:innen zusammenarbeiten, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet. Die Verantwortlichen müssen mit den Auftragsverarbeiter:innen eine bindende Vereinbarung, beispielsweise einen Vertrag, über die weisungsgebundene Tätigkeit schließen. Die gesetzlichen Regelungen in Art. 28 Abs. 3 DSGVO beschreiben im Detail, welche Rechte, Pflichten und Maßnahmen im Einzelnen zwischen den Verantwortlichen und den auftragsverarbeitenden Stellen geregelt werden müssen.
Wenn Dienstleister:innen bei der Datenverarbeitung eine eigene Entscheidungsbefugnis über die Verwendung der Daten bzw. eigene Interessen mit den Daten verfolgen und diesen damit eine gewisse Eigenverantwortlichkeit zukommt, handelt es sich nicht um eine Auftragsverarbeitung. Der Datenaustausch zwischen den Verantwortlichen und den Dienstleister:innen darf dann nur erfolgen, soweit die gesetzlichen Voraussetzungen für eine Datenübermittlung vorliegen oder die Betroffenen zugestimmt haben. Ein typisches Beispiel dafür ist die Beauftragung einer Steuerberatungsgesellschaft.
Charakteristisch für die Auftragsverarbeitung ist, dass sich die datenschutzrechtlich Verantwortlichen für Hilfstätigkeiten Dienstleister:innen (Auftragsverarbeiter:innen) für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten bedienen. Auftragsverarbeiter:innen sind gemäß Art. 4 Nr. 8 DSGVO Stellen, die personenbezogene Daten im Auftrag der Verantwortlichen verarbeiten. Die Auftragsverarbeiter:innen verfahren dabei entsprechend den Weisungen der Verantwortlichen mit den von diesen überlassenen Daten (Art. 28 Abs. 3 lit. a DSGVO). Die maßgeblichen Entscheidungen über den Umgang mit den personenbezogenen Daten verbleiben aber bei den Verantwortlichen. Typische Beispiele einer Auftragsverarbeitung sind das Erstellen von Lohn- und Gehaltsabrechnungen, IT-Wartung, Cloud-Computing-Anwendungen, Hosting oder Callcenter-Tätigkeiten.
Die Gesamtverarbeitung für die Datenverarbeitung und die Nachweispflicht der Verantwortlichen nach Art. 5 Abs. 2 DSGVO umfasst auch die Verarbeitung durch die Auftragsverarbeiter:innen. Hiervon können sich die Verantwortlichen nicht durch die Beauftragung von auftragsverarbeitenden Stellen befreien. Verstoßen Auftragsverarbeiter:innen gegen die Pflicht zur weisungsgebundenen Verarbeitung und verletzen dabei die Vorgaben der DSGVO, gelten diese nach Art. 28 Abs. 10 DSGVO insoweit selbst als Verantwortliche. Die Weitergabe von personenbezogenen Daten im Zuge einer Auftragsverarbeitung wird gesetzlich nicht als Übermittlung im datenschutzrechtlichen Sinne qualifiziert.
Die Verantwortlichen dürfen nur mit solchen Auftragsverarbeiter:innen zusammenarbeiten, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet. Die Verantwortlichen müssen mit den Auftragsverarbeiter:innen eine bindende Vereinbarung, beispielsweise einen Vertrag, über die weisungsgebundene Tätigkeit schließen. Die gesetzlichen Regelungen in Art. 28 Abs. 3 DSGVO beschreiben im Detail, welche Rechte, Pflichten und Maßnahmen im Einzelnen zwischen den Verantwortlichen und den auftragsverarbeitenden Stellen geregelt werden müssen.
Wenn Dienstleister:innen bei der Datenverarbeitung eine eigene Entscheidungsbefugnis über die Verwendung der Daten bzw. eigene Interessen mit den Daten verfolgen und diesen damit eine gewisse Eigenverantwortlichkeit zukommt, handelt es sich nicht um eine Auftragsverarbeitung. Der Datenaustausch zwischen den Verantwortlichen und den Dienstleister:innen darf dann nur erfolgen, soweit die gesetzlichen Voraussetzungen für eine Datenübermittlung vorliegen oder die Betroffenen zugestimmt haben. Ein typisches Beispiel dafür ist die Beauftragung einer Steuerberatungsgesellschaft.