SBS Firmengruppe Logos

Blog

Aktuelle Urteile, wesentliche Neuigkeiten und Tipps auf dem Gebiet des Wirtschaftsrechts recherchieren und fassen wir zusammen.

| Datenschutzrecht

Auftragsverarbeiter

Laura Novakovski


Auftragsverarbeiter wurden vor der EU Novelle der DSGVO als Auftragsdatenverarbeiter bezeichnet.

Die Figur des Auftragsverarbeiters stellt an sich keine Neuerung dar, die erst mit der Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist. Jedoch wurde mit der DSGVO der Kreis derer erweitert, die zu den Auftragsverarbeitern zählen. Somit ist die Frage, wer Verantwortlicher für die Datenverarbeitung ist und wer eben „nur“ Daten im Auftrag des Verantwortlichen verarbeitet, neu zu beantworten. Auch haben sich mit der DSGVO die Pflichten der Auftragsverarbeiter dahingehend verschärft, dass diese nun auch für die Datenschutzkonformität der Verarbeitungsprozesse Verantwortung tragen. Insbesondere haben Auftragsverarbeiter ein Verarbeitungsverzeichnis anzufertigen, mit den Aufsichtsbehörden zu kooperieren und die Beschränkungen für den Datentransfer in Drittländer zu beachten.

Zu der Gruppe der Auftragsverarbeiter zählen beispielsweise externe Wartungsdienstleister und sonstige EDV- oder IT-Dienstleistungsunternehmen mit Fernzugriff auf personenbezogene Daten, externe Rechenzentren, E-Mail-Provider, Cloud-Anbieter wie „Dropbox“, externe Buchhaltungen, Callcenter zur Kundenbetreuung oder Marketingagenturen.

Eigenständig agierende Berufsgruppen zählen hingegen nicht zu dem Kreis der Auftragsverarbeiter, vielmehr sind diese selbst als Verantwortliche im Sinne der DSGVO zu qualifizieren. Hierzu zählen insbesondere Berufsgeheimnisträger wie Steuerberater, Wirtschaftsprüfer, Rechtsanwälte und Ärzte.

Wichtigste Pflicht im Zusammenhang mit der Auftragsverarbeitung: Der Abschluss eines sog. Auftragsverarbeitungsvertrags (AV-Vertrag) zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Wird dieser Pflicht nicht nachgekommen, so droht die Verhängung eines empfindlichen Bußgeldes, wobei die Datenschutzbehörden mittlerweile vermehrt auch kleine und mittlere Unternehmen sanktionieren!

Der AV-Vertrag selbst muss nach den Vorgaben des Art. 28 DSGVO bestimmte inhaltliche Anforderungen erfüllen, beispielsweise den Gegenstand des Auftrags benennen, Vertraulichkeitsvereinbarungen und gegebenenfalls gesetzliche Verschwiegenheitspflichten bezeichnen, den Kreis der Betroffenen bezeichnen und die Dauer des Auftrags ausweisen.

Gerne prüfen wir für Sie, wie Datenverarbeitungen durch Dritte in Bezug auf Ihr Unternehmen zu bewerten sind und gestalten maßgeschneiderte AV-Verträge, um eine Haftung wegen Datenschutzverstößen zu verhindern.

Für weitere Fragen kontaktieren Sie uns gern jederzeit.

Zurück zur Blog-Übersicht

Kontaktieren Sie uns per Mail. Kontaktieren Sie uns per Telefon. Kontaktieren Sie uns per Mail.