Was ist Auftragsdatenverarbeitung

Veröffentlicht von Stefan Fuhrken am

Auftragsdatenverarbeitung (ADV)?

Die Auftragsdatenverarbeitung (ADV) – heute im Rahmen der DSGVO als „Auftragsverarbeitung“ (Art. 28 DSGVO) bezeichnet – liegt vor, wenn ein Unternehmen personenbezogene Daten nicht selbst verarbeitet, sondern einen externen Dienstleister damit beauftragt. Typische Beispiele sind IT-Dienstleister, Cloud-Anbieter, Lohnabrechnungsbüros oder Callcenter.

Rechtliche Grundlage

Gemäß der Datenschutz-Grundverordnung (DSGVO) darf eine Auftragsverarbeitung nur erfolgen, wenn zwischen dem Verantwortlichen (Auftraggeber) und dem Auftragsverarbeiter (Dienstleister) ein vertragliches Verhältnis besteht. Dieser Vertrag, auch Auftragsverarbeitungsvertrag (AVV) genannt, regelt die Rechte und Pflichten beider Parteien im Umgang mit personenbezogenen Daten.

Wichtige Inhalte eines AVV

Ein Auftragsverarbeitungsvertrag muss unter anderem folgende Punkte enthalten:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Datenverarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten
  • Unterauftragsverhältnisse (sofern zulässig)

Verantwortung bleibt beim Auftraggeber

Wichtig: Auch wenn die Verarbeitung durch einen externen Dienstleister erfolgt, bleibt die datenschutzrechtliche Verantwortung beim Auftraggeber. Dieser muss sicherstellen, dass der Dienstleister alle Vorgaben der DSGVO einhält.

Beispiele für Auftragsverarbeitung

  • Webhosting durch externe Anbieter
  • Nutzung von Cloud-Diensten (z. B. Microsoft 365, Google Workspace)
  • Externe Lohn- und Gehaltsabrechnung
  • IT-Support mit Zugriff auf personenbezogene Daten

Kein Fall der Auftragsverarbeitung

Nicht jede Weitergabe von Daten ist eine Auftragsverarbeitung. Liegt eine eigenständige Verantwortung des Dienstleisters vor (z. B. bei Steuerberatern, Rechtsanwälten oder Ärzten), handelt es sich nicht um eine Auftragsverarbeitung, sondern um eine sogenannte Funktionsübertragung oder einen eigenständigen Verantwortlichen.

Fazit:
Die Auftragsverarbeitung ist ein zentrales Element des Datenschutzes in Unternehmen. Sie erlaubt die Auslagerung von Datenverarbeitungsprozessen, setzt aber klare vertragliche und organisatorische Anforderungen voraus. Unternehmen sind gut beraten, ihre Dienstleister sorgfältig auszuwählen und die Einhaltung der Datenschutzvorgaben regelmäßig zu überprüfen.

Kategorien: Was ist?
Schlagwörter:

Ähnliche Beiträge

Was ist?

Was ist eine Datenschutzerklärung?

Alles, was Sie wissen müssen In der heutigen digitalen Welt ist Datenschutz wichtiger denn je. Fast jede Website erhebt personenbezogene Daten – sei es durch Kontaktformulare, Newsletter-Anmeldungen oder Analyse-Tools wie Google Analytics. Doch viele Betreiber Weiterlesen

Was ist?

DSGVO Art. 9 – Was sind besondere Kategorien personenbezogener Daten?

Die Datenschutz-Grundverordnung (DSGVO) schützt personenbezogene Daten umfassend – doch bestimmte Daten verdienen einen noch höheren Schutz. Diese sogenannten besonderen Kategorien personenbezogener Daten werden in Artikel 9 DSGVO definiert. Sie betreffen Informationen, die besonders sensibel sind Weiterlesen

Was ist?

Was ist Datenschutzfolgenabschätzung (DSFA)

Datenschutz-Folgenabschätzung (DSFA) – Was ist das und wann ist sie erforderlich? Die Datenschutz-Folgenabschätzung (DSFA) ist ein zentrales Instrument der Datenschutz-Grundverordnung (DSGVO), das Unternehmen und Organisationen bei der Bewertung von Risiken für die Rechte und Freiheiten Weiterlesen