Auf­trags­ver­ar­bei­tung, das Aus­la­gern von Daten­ver­ar­bei­tungs­pro­zes­sen durch den Auf­trag­ge­ber auf exter­ne Dienst­leis­ter, ist ein häu­fi­ges Mit­tel zur Kos­ten­sen­kung und der Nut­zung von exter­nem Know How — Stich­wort “Out­sour­cing”. Sind hier­von per­so­nen­be­zo­ge­ne Daten betrof­fen, fin­det Art. 28 DSGVO Auf­trags­ver­ar­bei­ter Anwendung.

Schnell kommt es bei der Ein­schät­zung, ob eine Auf­trags­ver­ar­bei­tung vor­liegt, zu Miß­ver­ständ­nis­sen und der Auf­trag­ge­ber läuft Gefahr, gemäß DSGVO mit Geld­bu­ßen durch die Daten­schutz­be­hör­den belegt zu wer­den. Von Image­schä­den in der Öffent­lich­keits­wahr­neh­mung nicht zu reden. Eine sorg­fäl­ti­ge Prü­fung durch einen Bera­ter für Daten­schutz oder einen Daten­schutz­be­auf­trag­ten hilft, die­se Risi­ken zu mini­mie­ren und die not­wen­di­gen Rege­lun­gen umzusetzen.

Fol­gen­de Kri­te­ri­en (Aus­wahl) unter­stüt­zen die Bewer­tung über das Vor­lie­gen einer Auftragsverarbeitung:

  • Dem Auf­trag­neh­mer fehlt die Ent­schei­dungs­be­fug­nis über die über­mit­tel­ten Daten.
  • Dem Auf­trag­neh­mer ist die Nut­zung der über­las­se­nen Daten über den eigent­li­chen Über­las­sungs­zweck hin­aus verboten.
  • Der Auf­trag­neh­mer nutzt nur die ihm über­las­se­nen Daten.
  • Die Daten­ver­ar­bei­tung wird nach außen durch den Auf­trag­ge­ber vertreten.
  • Der Auf­trag­neh­mer steht in kei­ner ver­trag­li­chen Bezie­hung zu den Betrof­fe­nen der per­so­nen­be­zo­ge­nen Daten.

Eini­ge prak­ti­sche Bei­spie­le von Auftragsverarbeitung:

  • Out­sour­cing des Rechen­zen­trums (ganz oder teilweise).
  • Soft­ware as a Ser­vice /​ Cloud-Ser­vices (nicht nur rei­ne Dateiablage).
  • Mar­ke­ting­ak­tio­nen, Kun­den­um­fra­gen, News­let­ter­ver­sand durch eine exter­ne Agentur.
  • Beauf­tra­gung eines Call­cen­ters für Kun­den­sup­port oder Kundengewinnung.
  • Papier- und Akten­ver­nich­tung sowie die Ver­nich­tung von Datenträgern.
  • Exter­ne Lohn- und Gehaltsabrechnung.
  • Exter­ne Rech­nungs­be­ar­bei­tung /​ Buch­hal­tung.
  • Zugriff auf per­so­nen­be­zo­ge­ne Daten vor Ort bei Auftraggeber

Aber auch wei­te­re Leis­tun­gen sind eben­falls von den Rege­lun­gen zu Art. 28 DSGVO betrof­fen (Bei­spie­le):

  • War­tung von Ser­vern und Com­pu­tern durch einen exter­nen Dienst­leis­ter (wich­tig: auch Fern­war­tung!)
  • Para­me­tri­sie­rung oder Pfle­ge von Soft­ware (Updates etc.), über die Zugriff auf per­so­nen­be­zo­ge­ne Daten mög­lich ist.
  • Sys­tem­mi­gra­tio­nen.

Was heisst das jetzt für Sie als Auftraggeber?

  • Liegt eine Auf­trags­ver­ar­bei­tung vor, muss die­se schrift­lich gere­gelt werden.
  • Sie als Auf­trag­ge­ber müs­sen die im Ver­trag fest­ge­schrie­be­nen Mass­nah­men zum Daten­schutz und zur Daten­si­cher­heit beim Auf­trag­ge­ber in geeig­ne­ter Form kon­trol­lie­ren — im Zwei­fel per­sön­lich vor Ort beim Auftragnehmer.
  • Für die Ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten sind Sie als Auf­trag­ge­ber ver­ant­wort­lich, nicht der Auf­trag­neh­mer (dies wird oft irr­tüm­lich falsch eingeschätzt).
  • Eine ein­fa­che Erklä­rung des Auf­trag­neh­mers über die Ein­hal­tung der Daten­schutz­vor­schrif­ten ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

  • Als Auf­trag­neh­mer haben Sie sich eben­falls den Rege­lun­gen des Art. 28 DSGVO zu unter­wer­fen und ste­hen in der Pflicht, Ihren Auf­trag­ge­ber bei der Umset­zung zu unterstützen.
  • Zukunfts­ori­en­tier­te Unter­neh­men haben ein stich­hal­ti­ges Daten­schutz­kon­zept samt einer vor­for­mu­lier­ten Ver­ein­ba­rung gem. Art. 28 DSGVO bereits in der Schub­la­de und gehen damit aktiv auf ihre Bestands­kun­den zu. Ein klei­nes, aber sehr wir­kungs­vol­les Detail, um sich posi­tiv vom Wett­be­werb abzu­he­ben und ihren Auf­trag­ge­ber  von ihrer Leis­tungs­fä­hig­keit zu überzeugen.
  • Wenig hilf­reich: den Auf­trag­ge­ber vor die Wahl stel­len — ent­we­der ohne die­se Ver­ein­ba­rung samt Kon­troll­rech­te zusam­men­zu­ar­bei­ten oder es eben sein zu las­sen. Außer Sie sind sich sicher, Ihrem Auf­trag­ge­ber ist Ihre Dienst­leis­tung oder Ihr Pro­dukt ohne Rege­lun­gen zur Auf­trags­ver­ar­bei­tung ein Buß­geld wert.

Mit Bedacht soll­ten Mus­ter­ver­trä­ge aus dem Inter­net ein­ge­setzt wer­den. Teil­wei­se ent­spre­chen die­se nicht den aktu­el­len Rege­lun­gen aus den letz­ten Novel­lie­run­gen des Daten­schutz­rechts. Die­se kön­nen zwar sinn­vol­le Ansatz­punk­te lie­fern, erset­zen jedoch weder die indi­vi­du­ell not­wen­di­ge Anpas­sung auf die vor­lie­gen­de Auf­trags­ver­ar­bei­tung noch die recht­lich siche­re Ein­schät­zung, wel­che Maß­nah­men hier­zu not­wen­dig sind.

Daher kann zur Ver­mei­dung von Buß­gel­dern und Image­schä­den nur jedem Unter­neh­men und Unter­neh­mer gera­ten wer­den, einen Bera­ter /​ Anwalt für Daten­schutz oder Daten­schutz­be­auf­trag­ten hin­zu­zu­zie­hen. Die­ser stellt die kor­rek­te Umset­zung sicher und haf­tet im Zwei­fel für mög­li­che Ver­säum­nis­se aus sei­ner Tätigkeit.

Hilf­rei­che Links und Tipps zur Auf­trags­ver­ar­bei­tung im Internet:

Comments are closed

Über a.s.k. Daten­schutz e.K.
Mit­glied­schaf­ten