Um was geht es bei Auftragsverarbeitung (früher Auftragsdatenverarbeitung)?
Ein sperriger Begriff für einen einfachen Sachverhalt. Auftragsverarbeitung meint das klassische Outsourcing an einen externen Dienstleister. Nur sind in diesem speziellen Fall personenbezogene Daten betroffen. Für diesen Fall hat die DSGVO den Artikel 28 BDSG “Auftragsverarbeiter” vorgesehen.
Um ein möglichst hohes Schutzniveau zu gewährleisten und das Risiko von Datenpannen bei der Auslagerung auf Subunternehmer zu minimieren, sieht Artikel 28 DSGVO einige Auflagen vor. Um die Bedeutung und Ernsthaftigkeit des Themas zu unterstreichen, stehen auf eine fehlende oder fehlerhafte Umsetzung empfindliche Bußgelder.
Was fällt alles unter den Begriff Auftragsverarbeitung?
Am einfachsten läßt sich das an konkreten Beispielen erklären. Von einer Auftragsverarbeitung spricht man im Falle
- der Nutzung einer Mailingagentur oder eines Lettershops zum Erstellen und Versand von Anschreiben, die an natürliche Personen gerichtet sind oder
- der Durchführung der monatlichen Gehaltsabrechnung durch eine externe Lohn- und Gehaltsabrechnungstelle (nicht Steuerberater) oder
- des Einsatzes einer extern gehosteten Software zur Verwaltung und zum Versand von Newslettern oder
- der Beauftragung eines externen Callcenter oder Office-Services oder
- dem teilweisen oder vollständigen Auslagern des Rechenzentrums oder
- Software as a Service / Cloud-Lösungen oder
- in vielen ähnlichen vergleichbaren Fällen — fragen Sie Ihren Datenschutzbeauftragten oder gleich uns.
Darunter fallen aber auch Leistungen wie Wartung / Konfiguration / Installation von Hard- und Software ebenfalls unter die Anwendung von Art. 28 DSGVO und sind entsprechend zu regeln. Dabei ist es unerheblich, ob Ihr Dienstleister das auch so sieht. Sie als Auftraggeber sind verantwortlich und zahlen am Ende auch das Bußgeld.
Was ist bei einer Auftragsverarbeitung zu tun?
Schritt 1: Identifizieren
Bereits vor Beginn der Zusammenarbeit muss ein Dienstleister auf sein Schutzniveau hin geprüft und mit der passenden Vereinbarung zur Auftragsdatenverarbeitung schriftlich vereinbart sein. Sollten Sie mit dem Dienstleister bereits zusammenarbeiten, dann ist schnelles Handeln angebracht.
Schritt 2: Prüfen
Sind alle externen Dienstleister, die unter Art. 28 DGSVO fallen, identifiziert oder bereits bekannt, kommt Schritt 2. Es gilt nun das vorhandene Schutzniveau des Dienstleisters zu prüfen. Die sogenannten technischen und organisatorischen Maßnahmen müssen aktuell und dem notwendigen Schutzbedarf für die betroffenen Daten entsprechen. Bei Lücken sind diese durch den Dienstleister zu schließen oder bei Bedarf ein alternativer Dienstleister auszuwählen. Die Prüfung sowie dessen Ergebnis sind zu dokumentieren, damit diese später belegt werden können.
Schritt 3: Vereinbaren
Alle von Art. 28 DSGVO betroffenen Dienstleister sollten nun bekannt sein. Das Schutzniveau ist geprüft und ausreichend vorhanden. Nun kommt Schritt 3 der Auftragsverarbeitung: die schriftliche Vereinbarung.Hier kann viel falsch gemacht werden. Übersehen Sie einen Regelungspunkt, den die DSGVO vorsieht, spricht man von einer fehlerhaften Auftragsverarbeitung. Diese ist mit einem Bußgeld risikobehaftet. Auch die Nutzung der zahlreichen im Internet auffindbaren Vorlagen zur Auftragsverarbeitung können davor nicht bewahren. Viele dieser Vorlagen sind leider immer noch veraltet, unvollständig oder mit Vorschriften versehen, die gegen andere Rechte / Gesetze verstoßen.
Schritt 4: Nachprüfen
Identifikation der Dienstleister vollständig. Prüfen des Schutzniveaus erfolgt und dokumentiert. Notwendige Vereinbarung schriftlich mit dem Dienstleister geschlossen.
Falsch liegt, wer meint, der Vorgang sei nun abgeschlossen. In regelmäßigen Abständen müssen Sie sich jetzt von dem Erhalt oder der Verbesserung des Schutzniveaus Ihres Dienstleisters überzeugen. Die Prüfung muss ebenfalls wieder nachvollziehbar und belegbar dokumentiert werden.
Schritt 5: Überlegen, ob Sie sich das wirklich alles selbst antun wollen
Wenn Sie sich weder mit den Risiken noch dem Zeitaufwand für das Thema Auftragsverarbeitung auseinandersetzen wollen, dann lassen Sie uns das übernehmen. Wie das geht? Ganz einfach — sprechen Sie uns an und wir informieren Sie unverbindlich über unsere Dienstleistungen rund um die Auftragsverarbeitung.