Die Auftragsverarbeitung meint die Verarbeitung personenbezogener Daten im Auftrag eines Unternehmens durch einen Dienstleister, der als Auftragsverarbeiter bezeichnet wird. Das Unternehmen entscheidet weiterhin über Zweck und Mittel der Verarbeitung. Die frühere Bezeichnung „Auftragsdatenverarbeitung“ wird heute in der DSGVO nicht mehr verwendet.

Ob man einen Vertrag über die Auftragsverarbeitung mit dem Auftragsverarbeiter schließen muss, ist insofern relevant, als das davon abhängt, welche Pflichten das Unternehmen selbst und welche Pflichten der Dienstleister erfüllen muss.

Welche DSGVO-Vorschriften gelten für Auftragsarbeiter?

Maßgeblich sind insbesondere Art. 4 Nr. 8 DSGVO zur Definition des Auftragsverarbeiters und Art. 28 DSGVO zu den Anforderungen an die Auftragsverarbeitung. Hinzu kommen die allgemeinen Grundsätze der DSGVO, etwa die Rechenschaftspflicht und die Pflicht zu geeigneten technischen und organisatorischen Maßnahmen.

Der Auftragsverarbeiter darf personenbezogene Daten grundsätzlich nur auf dokumentierte Weisung des Verantwortlichen verarbeiten. Eigene Zwecke verfolgt er dabei nicht. Sobald er Daten eigenständig für eigene Zwecke nutzt, liegt regelmäßig keine bloße Auftragsverarbeitung mehr vor.

Typische Auftragsverarbeiter im Datenschutzrecht

Zu den klassischen Auftragsverarbeitern zählen etwa

IT-Dienstleister,
externe Rechenzentren,
Cloud-Anbieter,
Hosting-Provider,
Callcenter,
externe Aktenvernichter,
Buchhaltungsdienstleister oder
Marketingagenturen,

soweit sie Daten ausschließlich im Auftrag verarbeiten.

Nicht jede externe Stelle ist jedoch automatisch Auftragsverarbeiter. Entscheidend ist immer die Tätigkeit und die tatsächliche Weisungsgebundenheit.

Abgrenzung zu Verantwortlichen

Eigenständig handelnde Berufsgruppen sind im Sinne der DSGVO häufig selbst Verantwortliche. Das betrifft insbesondere Rechtsanwälte, Steuerberater, Wirtschaftsprüfer oder Ärzte, wenn sie im Rahmen ihrer eigenen beruflichen Verantwortung tätig werden.

Die Einordnung hängt aber stets vom Einzelfall ab. Nicht die Berufsbezeichnung ist wesentlich, sondern ob die Stelle die Daten im eigenen Verantwortungsbereich verarbeitet oder ausschließlich weisungsgebunden für einen anderen handelt.

Welche Pflichten hat ein Auftragsverarbeiter?

Ein Auftragsverarbeiter hat nach der DSGVO eigene Pflichten und ist nicht nur „technischer Helfer“. Er muss insbesondere die Vertraulichkeit sicherstellen, geeignete Schutzmaßnahmen umsetzen und die Verarbeitung so organisieren, dass sie den Vorgaben der DSGVO entspricht.

Wichtig ist außerdem, dass der Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten führt, mit den Aufsichtsbehörden kooperiert und Vorgaben zu Drittlandübermittlungen beachtet. Unterauftragnehmer dürfen nur eingesetzt werden, wenn die DSGVO-Vorgaben und die vertraglichen Regelungen es erlauben.

Auftragsverarbeitungsvertrag: Inhalt und Anforderungen

Liegt tatsächlich eine Auftragsverarbeitung vor, ist ein Vertrag nach Art. 28 DSGVO zwingend erforderlich. Dieser Vertrag muss unter anderem regeln:

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten
Kategorien betroffener Personen
Pflichten und Rechte des Verantwortlichen
Weisungsbindung des Auftragsverarbeiters
Vertraulichkeit
Sicherheitsmaßnahmen
Regeln zum Einsatz von Unterauftragnehmern
Unterstützung bei Betroffenenrechten und Datenpannen

Der Vertrag ist als zentrales Instrument der datenschutzrechtlichen Absicherung anzusehen. Fehlt er oder ist er unvollständig, kann das erhebliche aufsichtsrechtliche Folgen haben.

Bußgelder und Risiken

Verstöße gegen die Vorgaben zur Auftragsverarbeitung können Bußgelder nach Art. 83 DSGVO nach sich ziehen. Die Höhe richtet sich nach der Schwere des Verstoßes, dem Verschulden, dem Umfang der betroffenen Daten und weiteren Umständen des Einzelfalls. Gerade fehlende oder unzureichende AV-Verträge, unklare Weisungen oder unzulässige Drittlandübermittlungen sind datenschutzrechtlich problematisch.

FAQs zur Auftragsverarbeitung

Wann liegt eine Auftragsverarbeitung vor?

Eine Auftragsverarbeitung liegt vor, wenn ein Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach Weisung eines Verantwortlichen verarbeitet. Entscheidend ist die tatsächliche Rolle in der Praxis, nicht nur die Bezeichnung im Vertrag.

Muss immer ein AV-Vertrag geschlossen werden?

Ja, wenn tatsächlich eine Auftragsverarbeitung vorliegt, ist ein Vertrag nach Art. 28 DSGVO erforderlich. Ohne diesen Vertrag ist die Verarbeitung in der Regel rechtswidrig.

Sind Rechtsanwälte oder Steuerberater immer Auftragsverarbeiter?

Nein, sie sind häufig selbst Verantwortliche, da sie im Rahmen eigener beruflicher Verantwortung handeln. Die genaue Einordnung hängt aber vom Einzelfall ab.

SBS LEGAL – Kanzlei für Datenschutzrecht

SBS LEGAL berät Unternehmen umfassend im Datenschutzrecht und unterstützt bei der rechtssicheren Gestaltung von Auftragsverarbeitungsverhältnissen nach der DSGVO. Unsere Anwälte begleiten Mandanten bei der Erstellung und Prüfung von AV-Verträgen sowie bei datenschutzrechtlichen Compliance-Anforderungen.

Rechtssichere Auftragsverarbeitung und DSGVO-Compliance

Die korrekte Einordnung von Dienstleistern als Auftragsverarbeiter oder Verantwortliche gehört zu den zentralen Fragestellungen des Datenschutzrechts. Fehler bei der Vertragsgestaltung oder der Auswahl von Dienstleistern können erhebliche Bußgelder und Haftungsrisiken nach sich ziehen. SBS LEGAL unterstützt Unternehmen bei der datenschutzkonformen Ausgestaltung von Auftragsverarbeitungsverträgen, der Bewertung von Drittlandübermittlungen sowie der Umsetzung geeigneter technischer und organisatorischer Maßnahmen.

Der Erstkontakt zu SBS LEGAL ist kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ansprechpartner für:

Ihr Name

Ihre Nachricht

Ich habe die Datenschutzhinweise gelesen und stimmen diesen hiermit zu.