Top Ser­vice, Top Leis­tung, Top Preis © kebox — Fotolia.com

Um was geht es bei Auf­trags­ver­ar­bei­tung (frü­her Auftragsdatenverarbeitung)?

Ein sper­ri­ger Begriff für einen ein­fa­chen Sach­ver­halt. Auf­trags­ver­ar­bei­tung meint das klas­si­sche Out­sour­cing an einen exter­nen Dienst­leis­ter. Nur sind in die­sem spe­zi­el­len Fall per­so­nen­be­zo­ge­ne Daten betrof­fen. Für die­sen Fall hat die DSGVO den Arti­kel 28 BDSG “Auf­trags­ver­ar­bei­ter” vorgesehen.

Um ein mög­lichst hohes Schutz­ni­veau zu gewähr­leis­ten und das Risi­ko von Daten­pan­nen bei der Aus­la­ge­rung auf Sub­un­ter­neh­mer zu mini­mie­ren, sieht Arti­kel 28 DSGVO eini­ge Auf­la­gen vor. Um die Bedeu­tung und Ernst­haf­tig­keit des The­mas zu unter­strei­chen, ste­hen auf eine feh­len­de oder feh­ler­haf­te Umset­zung emp­find­li­che Bußgelder.

Was fällt alles unter den Begriff Auftragsverarbeitung?

Am ein­fachs­ten läßt sich das an kon­kre­ten Bei­spie­len erklä­ren. Von einer Auf­trags­ver­ar­bei­tung spricht man im Falle

  • der Nut­zung einer Mai­ling­agen­tur oder eines Let­ter­shops zum Erstel­len und Ver­sand von Anschrei­ben, die an natür­li­che Per­so­nen gerich­tet sind oder
  • der Durch­füh­rung der monat­li­chen Gehalts­ab­rech­nung durch eine exter­ne Lohn- und Gehalts­ab­rech­nungstel­le (nicht Steu­er­be­ra­ter) oder
  • des Ein­sat­zes einer extern gehos­te­ten Soft­ware zur Ver­wal­tung und zum Ver­sand von News­let­tern oder
  • der Beauf­tra­gung eines exter­nen Call­cen­ter oder Office-Ser­vices oder
  • dem teil­wei­sen oder voll­stän­di­gen Aus­la­gern des Rechen­zen­trums oder
  • Soft­ware as a Ser­vice /​ Cloud-Lösun­gen oder
  • in vie­len ähn­li­chen ver­gleich­ba­ren Fäl­len — fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten oder gleich uns.

Dar­un­ter fal­len aber auch Leis­tun­gen wie War­tung /​ Kon­fi­gu­ra­ti­on /​ Instal­la­ti­on von Hard- und Soft­ware eben­falls unter die Anwen­dung von Art. 28 DSGVO und sind ent­spre­chend zu regeln. Dabei ist es uner­heb­lich, ob Ihr Dienst­leis­ter das auch so sieht. Sie als Auf­trag­ge­ber sind ver­ant­wort­lich und zah­len am Ende auch das Bußgeld.

Was ist bei einer Auf­trags­ver­ar­bei­tung zu tun?

Schritt 1: Identifizieren

Bereits vor Beginn der Zusam­men­ar­beit muss ein Dienst­leis­ter auf sein Schutz­ni­veau hin geprüft und mit der pas­sen­den Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung schrift­lich ver­ein­bart sein. Soll­ten Sie mit dem Dienst­leis­ter bereits zusam­men­ar­bei­ten, dann ist schnel­les Han­deln angebracht.

Schritt 2: Prüfen

Sind alle exter­nen Dienst­leis­ter, die unter Art. 28 DGSVO fal­len, iden­ti­fi­ziert oder bereits bekannt, kommt Schritt 2. Es gilt nun das vor­han­de­ne Schutz­ni­veau des Dienst­leis­ters zu prü­fen. Die soge­nann­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men müs­sen aktu­ell und dem not­wen­di­gen Schutz­be­darf für die betrof­fe­nen Daten ent­spre­chen. Bei Lücken sind die­se durch den Dienst­leis­ter zu schlie­ßen oder bei Bedarf ein alter­na­ti­ver Dienst­leis­ter aus­zu­wäh­len. Die Prü­fung sowie des­sen Ergeb­nis sind zu doku­men­tie­ren, damit die­se spä­ter belegt wer­den können.

Schritt 3: Vereinbaren

Alle von Art. 28 DSGVO betrof­fe­nen Dienst­leis­ter soll­ten nun bekannt sein. Das Schutz­ni­veau ist geprüft und aus­rei­chend vor­han­den. Nun kommt Schritt 3 der Auf­trags­ver­ar­bei­tung: die schrift­li­che Vereinbarung.Hier kann viel falsch gemacht wer­den. Über­se­hen Sie einen Rege­lungs­punkt, den die DSGVO vor­sieht, spricht man von einer feh­ler­haf­ten Auf­trags­ver­ar­bei­tung. Die­se ist mit einem Buß­geld risi­ko­be­haf­tet. Auch die Nut­zung der zahl­rei­chen im Inter­net auf­find­ba­ren Vor­la­gen zur Auf­trags­ver­ar­bei­tung kön­nen davor nicht bewah­ren. Vie­le die­ser Vor­la­gen sind lei­der immer noch ver­al­tet, unvoll­stän­dig oder mit Vor­schrif­ten ver­se­hen, die gegen ande­re Rech­te /​ Geset­ze verstoßen.

Schritt 4: Nachprüfen

Iden­ti­fi­ka­ti­on der Dienst­leis­ter voll­stän­dig. Prü­fen des Schutz­ni­veaus erfolgt und doku­men­tiert. Not­wen­di­ge Ver­ein­ba­rung schrift­lich mit dem Dienst­leis­ter geschlossen.

Falsch liegt, wer meint, der Vor­gang sei nun abge­schlos­sen. In regel­mä­ßi­gen Abstän­den müs­sen Sie sich jetzt von dem Erhalt oder der Ver­bes­se­rung des Schutz­ni­veaus Ihres Dienst­leis­ters über­zeu­gen. Die Prü­fung muss eben­falls wie­der nach­voll­zieh­bar und beleg­bar doku­men­tiert werden.

Schritt 5: Über­le­gen, ob Sie sich das wirk­lich alles selbst antun wollen

Wenn Sie sich weder mit den Risi­ken noch dem Zeit­auf­wand für das The­ma Auf­trags­ver­ar­bei­tung aus­ein­an­der­set­zen wol­len, dann las­sen Sie uns das über­neh­men. Wie das geht? Ganz ein­fach — spre­chen Sie uns an und wir infor­mie­ren Sie unver­bind­lich über unse­re Dienst­leis­tun­gen rund um die Auftragsverarbeitung.

Vor­tei­le eines exter­nen Datenschutzbeauftragten

Unter­neh­men und Ver­ei­ne hat­ten schon vor der DSGVO die Mög­lich­keit, sich die Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten zu sichern. Bis Mai 2018 war es für öffent­li­che Stel­len (Behör­den, Kom­mu­nen) je nach Bun­des­land sehr unter­schied­lich gere­gelt. Doch mit der DSGVO hat sich das geän­dert und auch die­se Ein­rich­tun­gen kom­men nun in den Genuß der Vor­tei­le eines exter­nen Datenschutzbeauftragten.

Daten­schutz geht alle an — Unter­neh­men, Unter­neh­mer und Behörden

Wer per­so­nen­be­zo­ge­ne Daten erhebt, ver­ar­bei­tet oder nutzt, unter­liegt den Rege­lun­gen der DSGVO, zusätz­lich des Bun­des­da­ten­schutz­ge­set­zes (BDSG) und als kom­mu­na­le Ein­rich­tun­gen des jewei­li­gen Lan­des­da­ten­schutz­ge­set­zes. Die­se Geset­ze gel­ten aus­nahms­los für Unter­neh­men, Unter­neh­mer, Behör­den und kom­mu­na­le Ein­rich­tun­gen — unab­hän­gig von der Anzahl der Mit­ar­bei­ter oder vor­han­de­nen Schwei­ge­pflich­ten. Die Anfor­de­run­gen sind hoch und Ver­stö­ße — ganz unab­hän­gig von image­schä­di­gen­den Daten­pan­nen — kos­ten schnell mal Geld.

Die Pflicht zur Benen­nung eines Daten­schutz­be­auf­trag­ten wur­de im Zuge der DSGVO für öffent­li­che Stel­len ver­ein­heit­licht. Wie Unter­neh­men kön­nen die­se sich nun die Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten sichern, die Pflicht zur Benen­nung eines Daten­schutz­be­auf­trag­ten besteht gene­rell für alle Behör­den und Kommunen.

Per­so­nen­be­zo­ge­ne Daten

Die­se fal­len im Tages­ge­schäft über­all an — Mit­ar­bei­ter, Bewer­ber, Kun­den, Bür­ger, Lie­fe­ran­ten, Inter­es­sen­ten — und sind ent­we­der in IT-Sys­te­men oder auf Papier (z.B. Per­so­nal­ak­te) gespei­chert. Die­se Daten gilt es, vor Ver­lust, Zer­stö­rung und Miß­brauch (auch im eige­nen Haus) zu schüt­zen. Wer­den die Vor­schrif­ten nicht umge­setzt oder kommt es zu einer Daten­pan­ne, wer­den oft­mals gera­de für Unter­neh­men und Ver­ei­ne emp­find­li­che Buß­gel­der fällig.

Qual der Wahl, wenn ein Daten­schutz­be­auf­trag­ter benannt wer­den muss

Ab einer gewis­sen Mit­ar­bei­ter­an­zahl (manch­mal reicht jedoch bereits ein bestimm­ter Geschäfts­zweck) ist die Bestel­lung eines Daten­schutz­be­auf­trag­ten gesetz­lich vor­ge­schrie­ben. Öffent­li­che Stel­len müs­sen unab­hän­gig von der Mit­ar­bei­ter­zahl einen Daten­schutz­be­auf­trag­ten benen­nen. Die Benen­nung kann intern oder extern erfol­gen. Eine feh­len­de, eine ver­spä­te­te oder eine sog. “pro for­ma” Bestel­lung ist kein Kava­liers­de­likt und wird eben­falls mit Buß­gel­dern geahndet

Der Gesetz­ge­ber läßt Ihnen die freie Wahl – sichern Sie sich daher die Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten für Ihre Orga­ni­sa­ti­on. Die Auf­ga­ben eines Daten­schutz­be­auf­trag­ten sind sehr viel­fäl­tig. Exter­ne Daten­schutz­be­auf­trag­te haben hier schnell die Vor­tei­le auf ihrer Seite.

Externer Datenschutzbeauftragter als Team die bessere Lösung

Kla­re Vor­tei­le für die Wahl eines exter­nen Datenschutzbeauftragten

Inter­ner Daten­schutz­be­auf­trag­terExter­ner Datenschutzbeauftragter
Nicht wei­sungs­ge­bun­denArbei­tet im Rah­men des Projektauftrags
Frei in sei­ner ZeiteinteilungFest defi­nier­te Zeitrahmen
Erwei­ter­ter KündigungsschutzKann wie jeder Ver­trag gekün­digt werden
Kann nicht abbe­ru­fen werdenExter­ne Bestel­lung widerrufbar
Kos­ten für Fort­bil­dung trägt das UnternehmenTrägt Kos­ten für Fort- und Wei­ter­bil­dun­gen selbst, muss die­se nachweisen
Kein Ver­si­che­rungs­schutzVer­si­che­rungs­schutz im Rah­men der Beraterhaftung
Intrans­pa­ren­te KostenKos­ten sind kal­ku­lier­bar und jeder­zeit nachvollziehbar
Inter­es­sens­kon­flik­te vorprogrammiertKei­ne Kon­flik­te, da nur ein Ziel: Datenschutz
Inter­dis­zi­pli­när und branchenübergreifend