Verarbeitungen im Auftrag

Typische Auftragsverarbeitungen nach Art. 28 DSGVO (Datenschutz-Grundverordnung) sind Tätigkeiten, bei denen ein externer Dienstleister personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet. Hier sind einige klassische Beispiele:

1. IT- und Cloud-Dienstleistungen:

  • Hosting von Websites oder Datenbanken
  • Cloud-Speicher (z. B. Google Drive, AWS, Microsoft Azure)
  • E-Mail-Dienste (z. B. Microsoft 365, Mailchimp)
  • IT-Wartung oder Fernwartung durch externe Dienstleister

2. Logistik und Versand:

  • Versanddienstleister, die Kundendaten zur Adressierung nutzen (z. B. DHL, DPD)
  • Fulfillment-Dienstleister, die Lagerung und Versand übernehmen

3. Kundenkommunikation und Marketing:

  • Callcenter oder Helpdesks im Kundenservice
  • Newsletter-Dienste (z. B. Mailchimp, CleverReach)
  • Online-Umfragetools (z. B. SurveyMonkey, Typeform)

4. Datenanalyse und Tracking:

  • Webanalyse-Dienste (z. B. Google Analytics)
  • Externe Anbieter für CRM- oder ERP-Systeme

5. Buchhaltung und Personalverwaltung:

  • Lohnabrechnung durch Lohnbüros
  • Externe Buchhaltungssoftware (z. B. DATEV, Lexware)

Inhalt des Vertrags

1. Schriftlicher AV-Vertrag

Ein Vertrag zur Auftragsverarbeitung ist zwingend erforderlich – schriftlich oder in elektronischer Form. Darin müssen Art, Umfang und Zweck der Verarbeitung klar geregelt sein.

2. Klare Weisungsgebundenheit

Der Auftragnehmer darf personenbezogene Daten nur gemäß den dokumentierten Weisungen des Auftraggebers verarbeiten. Das muss im Vertrag deutlich festgelegt sein.

3. Auswahl eines geeigneten Dienstleisters

Der Auftraggeber muss sicherstellen, dass der Auftragsverarbeiter ausreichende technische und organisatorische Maßnahmen (TOMs) getroffen hat, um den Datenschutz zu gewährleisten.

4. Technische und organisatorische Maßnahmen (TOMs)

Diese Maßnahmen müssen dem aktuellen Stand der Technik entsprechen und im Vertrag dokumentiert werden – z. B. Verschlüsselung, Zugriffskontrollen, Backups.

5. Subunternehmer nur mit Genehmigung

Der Einsatz weiterer Sub-Auftragsverarbeiter (z. B. Hostinganbieter) ist nur mit vorheriger Genehmigung durch den Auftraggeber erlaubt. Auch für sie gelten dieselben Anforderungen.

6. Unterstützung bei Betroffenenrechten

Der AV-Vertrag muss regeln, wie der Dienstleister den Verantwortlichen bei der Erfüllung von Betroffenenrechten unterstützt (z. B. Auskunft, Löschung).

7. Unterstützung bei Meldepflichten

Der Auftragsverarbeiter muss den Verantwortlichen bei Datenschutzverletzungen und behördlichen Anfragen unterstützen – etwa bei Meldepflichten gegenüber der Aufsichtsbehörde.

8. Rückgabe oder Löschung nach Vertragsende

Nach Beendigung der Verarbeitung müssen die Daten entweder gelöscht oder zurückgegeben werden – je nach Weisung des Auftraggebers.

9. Kontroll- und Prüfungsrechte

Der Auftraggeber hat das Recht, sich von der Einhaltung der vertraglichen Regelungen zu überzeugen – z. B. durch Audits oder Nachweise.

10. Dokumentation und Nachweisführung

Sowohl Auftraggeber als auch Auftragsverarbeiter müssen die Einhaltung der Anforderungen dokumentieren können – für interne Zwecke und gegenüber Aufsichtsbehörden.