Die Auftragsverarbeitung - Besonderheiten des Datenschutzrechts beim Outsourcing

by Sascha Kuhrau |
on März 3, 2016 |
at 09:55

Um was geht es bei Auf­trags­ver­ar­bei­tung (frü­her Auftragsdatenverarbeitung)?

Ein sper­ri­ger Begriff für einen ein­fa­chen Sach­ver­halt. Auf­trags­ver­ar­bei­tung meint das klas­si­sche Out­sour­cing an einen exter­nen Dienst­leis­ter. Nur sind in die­sem spe­zi­el­len Fall per­so­nen­be­zo­ge­ne Daten betrof­fen. Für die­sen Fall hat die DSGVO den Arti­kel 28 BDSG “Auf­trags­ver­ar­bei­ter” vorgesehen.

Um ein mög­lichst hohes Schutz­ni­veau zu gewähr­leis­ten und das Risi­ko von Daten­pan­nen bei der Aus­la­ge­rung auf Sub­un­ter­neh­mer zu mini­mie­ren, sieht Arti­kel 28 DSGVO eini­ge Auf­la­gen vor. Um die Bedeu­tung und Ernst­haf­tig­keit des The­mas zu unter­strei­chen, ste­hen auf eine feh­len­de oder feh­ler­haf­te Umset­zung emp­find­li­che Bußgelder.

Was fällt alles unter den Begriff Auftragsverarbeitung?

Am ein­fachs­ten läßt sich das an kon­kre­ten Bei­spie­len erklä­ren. Von einer Auf­trags­ver­ar­bei­tung spricht man im Falle

  • der Nut­zung einer Mai­ling­agen­tur oder eines Let­ter­shops zum Erstel­len und Ver­sand von Anschrei­ben, die an natür­li­che Per­so­nen gerich­tet sind oder
  • der Durch­füh­rung der monat­li­chen Gehalts­ab­rech­nung durch eine exter­ne Lohn- und Gehalts­ab­rech­nung­s­tel­le (nicht Steu­er­be­ra­ter) oder
  • des Ein­sat­zes einer extern gehos­te­ten Soft­ware zur Ver­wal­tung und zum Ver­sand von News­let­tern oder
  • der Beauf­tra­gung eines exter­nen Call­cen­ter oder Office-Ser­vices oder
  • dem teil­wei­sen oder voll­stän­di­gen Aus­la­gern des Rechen­zen­trums oder
  • Soft­ware as a Ser­vice /​ Cloud-Lösun­gen oder
  • in vie­len ähn­li­chen ver­gleich­ba­ren Fäl­len — fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten oder gleich uns.

Dar­un­ter fal­len aber auch Leis­tun­gen wie War­tung /​ Kon­fi­gu­ra­ti­on /​ Instal­la­ti­on von Hard- und Soft­ware eben­falls unter die Anwen­dung von Art. 28 DSGVO und sind ent­spre­chend zu regeln. Dabei ist es uner­heb­lich, ob Ihr Dienst­leis­ter das auch so sieht. Sie als Auf­trag­ge­ber sind ver­ant­wort­lich und zah­len am Ende auch das Bußgeld.

Was ist bei einer Auf­trags­ver­ar­bei­tung zu tun?

Schritt 1: Identifizieren

Bereits vor Beginn der Zusam­men­ar­beit muss ein Dienst­leis­ter auf sein Schutz­ni­veau hin geprüft und mit der pas­sen­den Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung schrift­lich ver­ein­bart sein. Soll­ten Sie mit dem Dienst­leis­ter bereits zusam­men­ar­bei­ten, dann ist schnel­les Han­deln angebracht.

Schritt 2: Prüfen

Sind alle exter­nen Dienst­leis­ter, die unter Art. 28 DGSVO fal­len, iden­ti­fi­ziert oder bereits bekannt, kommt Schritt 2. Es gilt nun das vor­han­de­ne Schutz­ni­veau des Dienst­leis­ters zu prü­fen. Die soge­nann­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men müs­sen aktu­ell und dem not­wen­di­gen Schutz­be­darf für die betrof­fe­nen Daten ent­spre­chen. Bei Lücken sind die­se durch den Dienst­leis­ter zu schlie­ßen oder bei Bedarf ein alter­na­ti­ver Dienst­leis­ter aus­zu­wäh­len. Die Prü­fung sowie des­sen Ergeb­nis sind zu doku­men­tie­ren, damit die­se spä­ter belegt wer­den können.

Schritt 3: Vereinbaren

Alle von Art. 28 DSGVO betrof­fe­nen Dienst­leis­ter soll­ten nun bekannt sein. Das Schutz­ni­veau ist geprüft und aus­rei­chend vor­han­den. Nun kommt Schritt 3 der Auf­trags­ver­ar­bei­tung: die schrift­li­che Vereinbarung.Hier kann viel falsch gemacht wer­den. Über­se­hen Sie einen Rege­lungs­punkt, den die DSGVO vor­sieht, spricht man von einer feh­ler­haf­ten Auf­trags­ver­ar­bei­tung. Die­se ist mit einem Buß­geld risi­ko­be­haf­tet. Auch die Nut­zung der zahl­rei­chen im Inter­net auf­find­ba­ren Vor­la­gen zur Auf­trags­ver­ar­bei­tung kön­nen davor nicht bewah­ren. Vie­le die­ser Vor­la­gen sind lei­der immer noch ver­al­tet, unvoll­stän­dig oder mit Vor­schrif­ten ver­se­hen, die gegen ande­re Rech­te /​ Geset­ze verstoßen.

Schritt 4: Nachprüfen

Iden­ti­fi­ka­ti­on der Dienst­leis­ter voll­stän­dig. Prü­fen des Schutz­ni­veaus erfolgt und doku­men­tiert. Not­wen­di­ge Ver­ein­ba­rung schrift­lich mit dem Dienst­leis­ter geschlossen.

Falsch liegt, wer meint, der Vor­gang sei nun abge­schlos­sen. In regel­mä­ßi­gen Abstän­den müs­sen Sie sich jetzt von dem Erhalt oder der Ver­bes­se­rung des Schutz­ni­veaus Ihres Dienst­leis­ters über­zeu­gen. Die Prü­fung muss eben­falls wie­der nach­voll­zieh­bar und beleg­bar doku­men­tiert werden.

Schritt 5: Über­le­gen, ob Sie sich das wirk­lich alles selbst antun wollen

Wenn Sie sich weder mit den Risi­ken noch dem Zeit­auf­wand für das The­ma Auf­trags­ver­ar­bei­tung aus­ein­an­der­set­zen wol­len, dann las­sen Sie uns das über­neh­men. Wie das geht? Ganz ein­fach — spre­chen Sie uns an und wir infor­mie­ren Sie unver­bind­lich über unse­re Dienst­leis­tun­gen rund um die Auftragsverarbeitung.

Categories:

AuftragsdatenverarbeitungAuftragsverarbeitungBehördeDatenschutzDSGVOTippsUnternehmen

Tags:

BußgeldDSBMangelPraxisRisikoSchutzTippsUnternehmen

No responses yet

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Über a.s.k. Daten­schutz e.K.
    News­let­ter

    Unse­ren News­let­ter Daten­schutz und Infor­ma­ti­ons­si­cher­heit abon­nie­ren Sie hier.

    Nächs­te Termine
    • Keine Termine
    Unse­re Leis­tun­gen für Sie
    Häu­fi­ge Fragen
    Part­ner /​ Koope­ra­tio­nen


    Anwalts­kanz­lei Diercks, Hamburg


    Spi­rit Legal Rechts­an­wäl­te, Leipzig


    RA Ste­phan Han­sen-Oest, Flensburg


    Anstalt für Kom­mu­na­le Daten­ver­ar­bei­tung in Bay­ern (AKDB), München


    Gesell­schaft für kom­mu­na­len Daten­schutz (GKDS), München


    Whist­le Safe e.K., Ber­lin — Whist­le­b­lo­wing-Lösun­gen für Unter­neh­men und Kommunen


    Daten­schutz Schmidt (Daten­schutz Assis­tent), Lauf a.d. Pegnitz

    Hahn IT Ser­vices, Schwaig


    Mibes IT-Sys­tem­haus, Raubling

    Mit­glied­schaf­ten