Auftragsverarbeitungsvertrag

Auftragsverarbeitung DSGVO

Was ändert sich bei der Auftragsverarbeitung durch die DSGVO?

Seit dem 25. Mai 2018 müssen alle Unternehmen, die ihre Daten im Auftrag verarbeiten lassen, die Regelungen der DSGVO beachten.
Durch die Datenschutzgrundverordnung, die seit Mai 2018 vollumfänglich und einheitlich in der Europäischen Union gilt, werden Webseitenbetreiber und besonders Shopbetreiber sowie Dienstleister verstärkt in die Pflicht genommen. Die DSGVO räumt dem Datenschutz der Verbraucher einen größeren Stellenwert ein, als dieser bislang durch die nationalen Regelungen erfahren hat und vereinheitlicht die Anforderungen, die bei der Verarbeitung von sogenannten personenbezogenen Daten einzuhalten sind.

Die bisherige Rechtslage in der EU zur Auftragsdatenverarbeitung hat mit der DSGVO einige wichtige Änderungen erfahren.

Wann braucht man einen Auftragsverarbeitungsvertrag?

Sobald Dienstleister in Ihrem Auftrag personenbezogene Daten weisungsgebunden verarbeiten, liegt eine Auftragsverarbeitung vor.

Die EU-Datenschutz-Grundverordnung (DSGVO) macht für die Verarbeitung von Daten von Dritten in Ihrem Auftrag strenge Vorgaben. Das Verhältnis zwischen Auftraggeber und Auftragnehmer wurde grundlegend erneuert.

Besonders die mit der DSGVO eingeführte Rechenschaftspflicht nimmt verantwortliche Stellen, also den Auftraggeber, stärker in die Pflicht. Es muss jederzeit belegt werden können, dass die Umsetzung datenschutzrechtlicher Anforderungen nicht nur konzipiert wurde; es muss künftig auch bewiesen werden, dass diese Umsetzung funktioniert!

Hierfür müssen Auftraggeber auch im Rahmen der Auftragsverarbeitung Sorge tragen.
Neu ist auch die gesetzlich vorgesehene gemeinsame Haftung bei Datenschutzverstößen.

Mit wem braucht man einen Auftragsverarbeitungsvertrag?

Ein Vertrag über Auftragsverarbeitung ist immer dann zu schließen, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden.

Dienstleister im Sinne der DSGVO Regelung sind z.B.
‣ externe Lohn- und Gehaltsabrechnungsstellen
‣ Werbe- und Marketing Agentur
‣ Cloud-Computing-Anbieter
‣ Web- bzw. E-Mailhoster
‣ Aktenvernichtung, Datenträger-Entsorgung
‣ Newsletter-Dienste, Call Center
‣ Outsourcing eines Rechenzentrums
‣ externe Datenhaltung
‣ externe Druckdienstleister
‣ Apothekenrechenzentren
‣ ärztliche/zahnärztliche Verrechnungsstellen
‣ Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben
‣ externe Personen, Dienstleister, usw., die im Auftrag Messwerte in Mietwohnungen (Heizung, Strom, Wasser etc.) ablesen und/oder erfassen bzw. verarbeiten
‣ Visabeschaffungsdienstleister

Müssen sich die externen Dienstleister nicht um den Datenschutz kümmern?

Nein. Das beauftragende Unternehmen darf sich nicht darauf verlassen, dass der Dienstleister das Datenschutzrecht einhält. Der Auftraggeber muss sich selbst um die Datensicherheit kümmern, er ist der Hauptverantwortliche für den Datenschutz.

Um dieser Verantwortung nachzukommen, müssen die Parteien vor Beginn der Auftragsdatenverarbeitung einen Vertrag abschließen, dessen Inhalt das Datenschutzrecht in Art. 28 DSGVO (vorher § 11 Abs. 2 Satz 2 BDSG) genau vorgibt.

Zudem muss der Auftraggeber in regelmäßigen Abständen kontrollieren, ob der Auftragnehmer die Vorgaben des Datenschutzgesetztes einhält.

Auftragsverarbeitungsvertrag
Datenschutz Auftragsverarbeitung durch Unternehmen

Was passiert, wenn ich keinen Vertrag zur Auftragsdatenverarbeitung abschließe?

Hat das Unternehmen mit dem externen Dienstleister keinen den Anforderungen des § 11 Abs. 2 Satz 2 BDSG/ Art. 28 DSGVO entsprechenden Vertrag geschlossen, kann es schnell richtig teuer werden. Nach § 43 Abs. 1 Nr. 2b, Abs. 3 BDSG konnten die zuständige Aufsichtsbehörden Bußgelder von bis zu 50.000 Euro verhängen, wenn der Auftrag zur Datenverarbeitung „nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt“ wird. Nach der DSGVO sind es nun Bußgelder bis zu 20 Millionen Euro.

Das bedeutet: Haben die Parteien keinen Vertrag zur Auftragsdatenverarbeitung geschlossen oder entspricht dieser nicht den Anforderungen des Art. 28 DSGVO (vorher § 11 Abs. 2 Satz 2 BDSG), kann die zuständige Aufsichtsbehörde das Unternehmen zur Kasse bitten. Der Abschluss eines Vertrags zur Auftragsdatenverarbeitung sollte also weit oben auf der Agenda stehen.

Daneben können auch die Personen, deren Daten betroffen sind, vom Auftraggeber und Auftragnehmer Schadensersatz verlangen. Beide Parteien haben dabei die Möglichkeit, ihre Unschuld nachzuweisen und so eine Ersatzpflicht zu verhindern. Dafür müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Wettbewerbsvorteil durch einen Auftragsverarbeitungsvertrag?

Unternehmen können mit einem gutem Datenschutz-Management Wettbewerbsvorteile aufbauen, Kundenbeziehungen festigen und neue Kunden gewinnen.

Informieren Sie sich noch heute, ob Ihr Datenschutz-Management komplett ist und welche Lücken noch geschlossen werden müssen.

Das Expertenteam und unsere Fachanwälte steht Ihnen jederzeit gerne für Ihre Fragen zur Verfügung.

Rufen Sie uns an unter +49 861 213 94 95 88 (Beratung bundesweit) oder nutzen Sie unseren kostenlosen Rückruf-Service.

Auch per Email sind wir jederzeit für Sie da info@datenschutz-bestspeakers.de