Eine Auftragsverarbeitung nach Art. 28 DSGVO ist eine Verarbeitung, die Sie nicht selbst erledigen wollen. Wir können in diesem Zusammenhang auch von einer "ausgegliederten Abteilung" sprechen. Wichtig ist, dass diese Auftragsverarbeiter (Art. 4 Nr. 7 DSGVO) genau nur das machen, was Sie in Auftrag geben. Der Dienstleister ist also weisungsgebunden. Daher wird die jeweilige Verarbeitung grundsätzlich dem Auftraggeber zugerechnet. Da Auftragsverarbeiter Empfänger von personenbezogenen Daten sind, müssen diese Verarbeitungstätigkeiten auch im Verzeichnis der Verarbeitungstätigkeiten erfasst werden. Schauen Sie dazu auch in meinen Kurzartikel vom 20.07.2020. Jeder
Typische Auftragsarbeiten sind zum Beispiel:
- Hosting einer Website
- Annahme von Telefonaten durch ein externes Sekretariat
- Beschwerdestelle in einem externen Büro
- E-Mail Newsletter durch Dienstleister
- Entsorgung von Datenträgern / Vernichtung von Akten
Mit diesen Auftragsverarbeitern müssen Sie als Verantwortlicher einen Vertrag abschließen. Gemeint ist damit nicht der übliche kaufmännische Vertrag, den Sie ohnehin abschließen müssen, um die Dienste in Anspruch nehmen zu können, sondern ein spezieller Vertrag, mit dem sichergestellt wird, dass die Verarbeitung personenbezogener Daten datenschutzkonform abgewickelt wird. Internet- und E-Mail-Provider haben entsprechende Verträge meisten online verfügbar.
Steuerberater, Rechtsanwälte, Wirtschaftsprüfer oder Ärzte sind keine Auftragsverarbeiter. Steuerberater auch dann nicht, wenn sie nur die Lohnbuchhaltung durchführen.