Login
Leistungsumfang & Vorteile
Login
Registrieren

Auftragsverarbeitung: Auftragsverarbeiter Datenschutz Grundverordnung (DSGVO) korrekt erfassen

5/5
5.0 aus 134 Bewertungen

Registrieren Sie sich jetzt,


um den Generator 

kostenlos zu testen.

Jetzt Registrieren

Erfassung von Auftragsverarbeitern: Verarbeitung Personenbezogene Daten

Jede Firma, die beim Umgang mit persönlichen Daten Hilfe von außen holt, braucht einen schriftlichen Vertrag – dabei spielt die Zusammenarbeitsform eine große Rolle, denn diese Abmachung können stark voneinander abweichen. Bei der Verarbeitung der Daten im Auftrag, wenn also ein Anbieter für den Hauptverantwortlichen nach Artikel 28 DSGVO tätig wird, kommt es besonders darauf an, alle wichtigen Details genau festzuhalten und zu dokumentieren.


Weshalb ist die Erfassung notwendig?

In Artikel 28 heißt es: Wer verantwortlich ist, muss stets wissen, welche Infos gerade von welchen externen Partnern bearbeitet werden. Im Zusammenhang mit der Erfassung der Auftragsverarbeitung ist es wichtig, die rechtlichen Rahmenbedingungen der Datenschutzgrundverordnung zu berücksichtigen. Damit alles mit den Gesetzen passt, sollten diese Partner gründlich erfasst werden – keine halben Sachen. Die Liste hilft nicht bloß dem Betrieb bei der Übersicht, sondern dient auch als Beweis, falls mal jemand vom Amt nachfragt.

Außerdem macht genau dieses systematische Festhalten deutlich, dass man die Pflicht zur zentralen Dokumentation ernst nimmt und tatsächlich erfüllt. Alle Auftragsverarbeitungen im Unternehmen müssen dokumentiert werden.

In der Praxis stellt sich häufig die Frage, wie die Erfassung und Dokumentation der Auftragsverarbeitung korrekt und vollständig im Sinne der gesetzlichen Vorschriften umgesetzt werden kann.

Zur vollständigen Erfassung zählen:

  • Liste aller Auftragsverarbeiter – inklusive Name, Kontaktdaten und verantwortlicher Stelle.
  • Beschreibung der Verarbeitungssituationen – z. B. IT-Hosting, Lohnabrechnung, Marketing oder Cloud-Dienste.
  • Vertrag zur Auftragsverarbeitung – mit allen Angaben zu Art, Zweck und Dauer der Datenverarbeitung.
  • Dokumentation zu den unterschiedlichen Bearbeitungsarten bei der Auftragsabwicklung – dazu zählen auch gesetzliche sowie strukturelle Schritte zum Schutz der Informationen während des Umgangs damit.
  • Führen einer Liste nach Artikel 30 Absatz 2 DSGVO – dort stehen alle Arten von persönlichen Daten drin, wie sie verwendet werden. Die Aufzeichnung zeigt, wo welche Infos verarbeitet werden, ohne dabei Formulare zu lieben oder Standardphrasen aufzuwärmen. Jeder Eintrag wird klar dargestellt, damit nichts im Dunkeln bleibt.
  • Erfassung der einzelnen Verarbeitungstätigkeiten, um die Nachvollziehbarkeit und Kontrolle der Datenverarbeitung sicherzustellen.
  • Dokumentation der eingesetzten Mittel der Datenverarbeitung, um Transparenz über die verwendeten Ressourcen zu gewährleisten.
  • Technische sowie organisatorische Schritte zum Schutz von Daten – wie etwa Verschlüsselung oder Kontrolle des Zugriffs – sind laut DSGVO wichtig, um Sicherheit sicherzustellen und Regeln einzuhalten.
  • Daten zu Unterauftragsverarbeitern – welche weiteren Dienstleisterunternehmen eingesetzt werden und wie diese abgesichert sind.


Die Praktische Umsetzung in deinem Unternehmen

In der Realität hilft oft eine Sammlung aller wichtigen Daten an einem Ort – wie etwa in einer einfachen Liste oder Tabelle. Wer hier Ordnung hält, kann Anbieter viel leichter im Blick behalten, außerdem läuft alles übersichtlicher ab. Wichtig ist, diese Zusammenstellung immer wieder anzupassen; spätestens nach zwölf Monaten gehört sie auf den Prüfstand. Es gibt verschiedene Möglichkeiten der praktischen Umsetzung und Nutzung von Dienstleistungen, wobei auch die Auswahl passender Dienstleister eine Rolle spielt. Dabei können nicht nur Unternehmen, sondern auch Einrichtungen wie Behörden oder andere Organisationen als Auftragsverarbeiter tätig werden.

Auch vor Ort stattfindende Kontrollen sowie die Aufzeichnung von Prüfungen sind Teil einer korrekten Erfassung. Dazu kommt: Bei der praktischen Umsetzung muss man den gezielten Einsatz von Hilfsmitteln oder externen Dienstleistern beachten – und das schriftlich festhalten. Im Rahmen der Umsetzung stellen sich häufig Fragen zur Auswahl und Nutzung von Dienstleistungen, insbesondere im Hinblick auf datenschutzkonforme Prozesse.

Viele Unternehmen machen den Fehler, nur den Hauptvertrag zu dokumentieren, nicht jedoch die tatsächlich eingesetzten Unterauftragnehmer. Auch veraltete AVV sind ein Risiko, da sie nicht den aktuellen Anforderungen entsprechen. Die Folge können mögliche Bußgelder und ein Verstoß gegen die DSGVO sein. Für die Dokumentation der Auftragsverarbeitung gibt es hilfreiche Muster und Vorlagen, die als Orientierung dienen können.

Wenn man die Verträge regelmäßig überprüft und anpasst, kann man Fehler vermeiden und die Compliance sicherstellen.


Personenbezogene Daten im Auftrag: Definition, Pflichten und der AVV nach DSGVO


Einleitung

Die DSGVO hat für Unternehmen vieles verändert. Spätestens ab 2018 steht fest: Wer mit persönlichen Daten hantiert, muss viel beachten – besonders dann, wenn nicht das eigene Team, sondern fremde Firmen diese bearbeiten. Die rechtliche und praktische Bedeutung der Auftragsverarbeitung zeigt sich dabei besonders im Datenschutzrecht der EU, da sie für Verantwortliche und Auftragnehmer entscheidend für die Einhaltung gesetzlicher Vorgaben und die Gewährleistung der Datensicherheit ist. Weil dadurch klare Regeln entstehen, spielt die Auftragsverarbeitung im Datenschutz eine wichtige Rolle.

Hier tritt die Auftragsverarbeitung auf den Plan. Ob ein IT-Firma, eine Stelle für Gehaltsabrechnung, Anbieter aus dem Internet oder ein Jurist – sobald jemand Daten im Namen eines anderen bearbeitet, braucht’s feste Absprachen. Diese Nutzungsszenarien sind unterschiedlich: vom Auslagern der Technik bis zum Kundenservice oder internen Lohnrechnung. Was dabei erlaubt ist, regelt der sogenannte AVV.

In diesem Text lernst du die wichtigsten Infos über die Liste der Dienstleisterunternehmen kennen, was Kundenseite und Anbieter tun müssen, welche Sicherheitsvorkehrungen nötig sind – also Technik- und Büro-Maßnahmen – sowie wie man das im Betrieb wirklich umsetzt.

Was bedeutet Auftragsverarbeitung? – Definition nach DSGVO

Die Erklärung zur Auftragsverarbeitung steht in Artikel 28 der DSGVO. Der Begriff der Auftragsverarbeitung ist in der DSGVO klar definiert und beschreibt eine besondere Rolle, bei der jemand personenbezogene Infos für ein anderes Unternehmen bearbeitet. Die genaue Definition des Begriffs ist entscheidend für die rechtliche Einordnung und die Vertragsgestaltung, insbesondere bei IT-Wartungs- und Prüfungsarbeiten. Laut DSGVO muss man das deutlich unterscheiden – besonders dann, wenn es um Wartungsabkommen oder Kontrollvereinbarungen geht. Das Ganze spielt eine zentrale Rolle, weil dadurch klare Regeln entstehen, wer was tun muss, damit alles datenschutzkonform läuft. Kurz erklärt: Es handelt sich um Auftragsverarbeitung, sobald ein Dienstleisterunternehmen Daten auf Anweisung eines Hauptunternehmens nutzt.

 

Beispiel:

Eine Firma holt sich Hilfe von außen, wenn es um das Betreiben ihrer Seite im Netz geht – dabei landen auch sensible Infos wie Mailadressen oder Kundeleintragungen auf fremden Servern.

Die Anwendung der Auftragsverarbeitung zeigt sich in verschiedenen Unternehmensbereichen, etwa beim IT-Outsourcing, in Callcentern oder der Lohnbuchhaltung, wobei technische und organisatorische Maßnahmen eine zentrale Rolle spielen.

Der IT-Anbieter kann die Infos nicht selbst nutzen, stattdessen nur wie vom Betrieb vorgegeben.

Beim AVV kommt es darauf an, dass er die Grundvorgaben von Artikel 28 DSGVO erfüllt – außerdem sollte er klare Informationen nach Artikel 13 enthalten.

Damit ist klar: Wer eine Bestellung aufgibt, sorgt automatisch dafür, dass die Daten bearbeitet werden – ohne Zutun von außen.


Wer ist wer im Auftragsverarbeitungsverhältnis?

Wer hier was tun muss, zeigt sich erst, wenn man hinschaut – wer überhaupt mitmacht. Wichtig ist: eine Person, ob echt oder rechtlich, handelt entweder als Chef über Daten oder führt nur aus, macht also das, was vorgegeben wird. Es gibt verschiedene Konstellationen der Zusammenarbeit zwischen Verantwortlichen und Auftragsverarbeitern. Je nach Konstellation – etwa Auftragsverarbeitung, gemeinsame Verantwortlichkeit oder Funktionsübertragung – unterscheiden sich die Verantwortlichkeiten und die rechtlichen Rahmenbedingungen. Wer entscheidet, bestimmt auch, dass alles stimmen muss nach den Regeln zum Schutz von privaten Infos.

Derjenige, der für den Auftrag zuständig ist (also wer ihn vergibt), das ist das Unternehmen, welches personenbezogene Daten einsammelt und entscheidet, wozu diese verwendet werden – entweder alleine oder zusammen mit weiteren Stellen. Dabei kann dieser Verantwortliche stets überprüfen, ob der Dienstleisterunternehmen die Datenschutzregeln einhält, außerdem darf er Anweisungen geben.

• Auftragsverarbeiter (Auftragnehmer): Das ist derjenige, der nach Anweisung mit Daten hantiert – zum Beispiel ein Serverbetreiber oder ein Cloud-Dienstleister; ebenso Lohnbüros, außerdem Werbeagenturen, wenn sie Kampagnen schalten.

Eine Organisation – sei es ein Verein oder eine andere Stelle – kann im Zusammenhang mit Auftrags Daten verarbeiten; dabei gelten trotzdem alle Regeln zum Datenschutz für sie genauso. Auch eine Einrichtung im Sinne der DSGVO kann als Verantwortlicher oder Auftragsverarbeiter auftreten, je nach ihrer Rolle bei der Verarbeitung personenbezogener Daten.

Bürokratie im Auftrag: Laut DSGVO darf eine Behörde auch Daten für andere verwalten – dann muss sie ihre Abläufe schriftlich festhalten.

Dienstleister, die wiederum vom Auftragsverarbeiter genutzt werden: das sind Unterauftragsverarbeiter – hier braucht’s klare Absprachen im Abkommen.

Wichtig: Selbst, wenn jemand anders den Job erledigt, haftet immer noch derjenige, der den Auftrag erteilt hat.

Wie wichtig ist der Auftragsverarbeitung (AVV)?

Ein AVV bildet die Basis für jegliche datenschutzrechtlich relevante Tätigkeit im Rahmen eines Auftrags. Fehlt dieses Dokument, kann eine Kooperation mit einem externen Anbieter rechtswidrig sein.

Nach Artikel 28 der Datenschutz-Grundverordnung muss ein Abkommen zur Datenverarbeitung bestimmte Punkte enthalten – dazu zählen auch Pflichtangaben nach Artikel 13 DSGVO, damit alles klar bleibt.

Außerdem braucht’s klare Absprachen zwischen den Beteiligten – das sorgt dafür, dass Regeln zum Datenschutz eingehalten werden und alles ordentlich festgehalten ist.


Wichtige Punkte im AVV

Ein Abkommen über die Datenverarbeitung regelt, wie Auftraggeber und Dienstleistungsunternehmen zusammenarbeiten – damit alle Regeln zum Datenschutz eingehalten werden, vor allem jene aus der DSGVO.

Ein Auftragsverarbeitungsvertrag sollte mindestens folgende Inhalte enthalten:

  1. Art und Zweck der Verarbeitung – welche Daten werden wie verarbeitet?
  2. Die Länge sowie die Bedingungen des Jobs – wann was bearbeitet wird und wie viel davon.
  3. Technische sowie organisatorische Schritte – schützen die Daten vor Verlust, Missbrauch oder unerlaubtem Zugang.
  4. Eine Regelung gilt, wenn Unterlieferanten mit ins Spiel kommen – was die müssen, damit alles passt.
  5. Was der eine darf, muss der andere manchmal tun. Wer etwas verlangt, trägt auch Sorge dafür.
  6. Möglichkeiten zu prüfen oder zu kontrollieren – auch mit Besuchen vor Ort, manchmal durch Audits.
  7. Datentransfer in Länder außerhalb der EU – wie damit umgehen.
  8. Verschiedene Formen der Datenweitergabe – etwa durch IT-Hilfen, Rechenzentren außer Haus oder Gehaltsabrechnung von Dritten; dazu gelten bestimmte Gesetze, damit alles erlaubt bleibt.


TOMs: Sicherung der personenbezogenen Daten auf IT-Systemen

Ein wichtiger Bestandteil eines jeden AVVs sind die TOM. Darin steht, wie der Datenverarbeiter den Schutz von Daten sicherstellt. Ausschlaggebend hierfür sind die genutzten Hilfsmittel – gemeint sind verfügbare Ressourcen, Tools oder Vorgehensweisen – denn diese beeinflussen direkt, wie gut Datenschutz bei der Bearbeitung funktioniert.

Beispiele für TOMs:

  • Verschlüsselung von Daten und E-Mail-Kommunikation
  • Strenge Zugriffskontrollen (Passwörter, Zwei-Faktor-Authentifizierung)
  • Protokollierung aller Verarbeitungsschritte
  • Regelmäßige Backups und Notfallpläne
  • Kurse für Angestellte


Kontrolle, Prüfung und Vor-Ort-Kontrollen

Die Datenschutz-Grundverordnung verlangt: Wer einen Helfer beauftragt, muss auch prüfen, was der tut. Nicht nur am Anfang – sondern immer wieder mal genauer reinschauen. Dabei ist sicherzustellen, dass die Einhaltung der Weisungen und datenschutzrechtlichen Vorschriften regelmäßig kontrolliert wird.

Bevor der Vertrag unterschrieben wird, schaut man nach, was gewählt wurde – gleichzeitig werden die jetzigen Schritte gecheckt.

Beim Lauf der Vereinbarung: Stichprobenartige Überprüfungen, gegebenenfalls mit direkten Besuchen vor Ort. Auch die Datenübermittlung an Empfänger und Dritte ist im Rahmen der Kontrolle zu berücksichtigen.

• Aufzeichnung: Jede Erhebung muss festgehalten werden – so wird klar, wer wofür verantwortlich ist. Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO sowie die Übertragung von Aufgaben an Dritte oder Empfänger müssen dokumentiert werden. Außerdem soll eine Liste mit allen Datenverarbeitungs-Aktionen erstellt sein, falls die Behörde danach fragt. Ohne schriftliche Nachweise, eine ordnungsgemäße Verfügung und formale Dokumentation geht’s nicht, wenn es darum geht, Artikel 28 der DSGVO richtig umzusetzen. Die Verfügung über die Datenverarbeitung und deren Dokumentation bilden die Grundlage für eine wirksame Kontrolle und Prüfung.


Unterauftragsverarbeiter – besondere Aufmerksamkeit

Viele Auftragsverarbeiter setzen weitere Unterauftragnehmer ein, z. B. Cloud-Provider oder externe Callcenter. Der gezielte Einsatz solcher Unterauftragsverarbeiter erfolgt häufig, um spezielle Aufgaben effizient auszulagern und datenschutzrechtliche Vorgaben einzuhalten.

Das ist erlaubt, aber wenn:

•   der Verantwortliche zustimmt,

•   die Vereinbarung schriftlich im AVV geregelt ist,

•   der Unterauftragsverarbeiter denselben Pflichten unterliegt.

Drittfirmen dürfen mitmachen, wenn sie lediglich für uns Daten bearbeiten – also keine eigenständige Entscheidungsgewalt haben – und genauso strenge Datenschutzregeln beachten wie wir.

Gerade bei der Weitergabe von Informationen an Länder außerhalb der EU wird es heikel. In solchen Fällen braucht man oft spezielle rechtliche Basisregeln – manchmal sogar feste Vertragsbedingungen.


Beispiele für die Auftragsverarbeitung nach der DSGVO

Damit es greifbarer wird, hier einige Beispiele für Auftragsverarbeitungssituationen und den Einsatz von Unterauftragsverarbeitern:

•   Ein IT-Dienstleister hostet Kundendaten in der Cloud.

•   Eine Lohnabrechnungsstelle verarbeitet Personaldaten für ein Unternehmen.

•   Eine Marketing-Agentur verschickt Newsletter an Kunden.

•   Ein Rechtsanwalt prüft Dokumente mit personenbezogenen Daten.

Die personenbezogene Daten im Auftrag des Verantwortlichen werden von allen genannten Dienstleistungsunternehmen bereit gestellt und verarbeiten sie entsprechend. Die Betroffenen müssen darüber informiert werden.

In allen Fällen gilt: Ohne AVV ist die Verarbeitung nicht DSGVO-konform.


Rechte und Pflichten im Auftragsverarbeitungsvertrag

Pflichten des Auftragsverarbeiters

•   Daten nur auf Weisung des Auftraggebers und im Rahmen der festgelegten Mittel verarbeiten. Die Einhaltung und Dokumentation der Weisungen ist sicherzustellen.

•   Die Einhaltung der technischen und organisatorischen Maßnahmen gewährleisten und deren Umsetzung regelmäßig kontrollieren.

•   Alle Verarbeitungstätigkeiten dokumentieren und ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO führen.

•   Betroffene Personen unterstützen (z. B. bei Auskunftsanfragen).

•   Probleme oder Datenschutzvorfälle sofort melden.

Pflichten des Verantwortlichen

•   Dienstleistungsunternehmen sorgfältig auswählen (Auswahlpflicht).

•   Regelmäßige Prüfungen durchführen und ggf. Vor-Ort-Kontrollen.

•   Verantwortung für die Einhaltung der DSGVO behalten.


Übermittlung der Daten, Drittland & eigene Zwecke

Ein besonders sensibler Bereich ist die Übermittlung von personenbezogenen Daten in andere Länder. Häufig werden Datenverarbeitungsaufgaben an Außenstehende weitergegeben – hier spielen Abkommen ebenso eine Rolle wie die klare Anweisungsbefugnis. Laut DSGVO muss außerdem geklärt sein, wer überhaupt als Datenempfänger zählt, denn jeder Mensch oder jedes Unternehmen, das Zugriff bekommt bzw. im Namen anderer bearbeitet, fällt darunter; gleichzeitig soll klar bleiben für jene, deren Daten betroffen sind.

Innerhalb der EU ist dies in der Regel unproblematisch.

  • Bei einer Übermittlung in ein Drittland gelten strenge Vorgaben und zusätzliche Schutzmaßnahmen.

Ebenso gilt: Wenn ein Auftragsverarbeiter Daten für eigene Zwecke nutzen möchte, handelt es sich nicht mehr um eine Auftragsverarbeitung. In diesem Fall braucht er eine eigene Rechtsgrundlage für die Datenverarbeitung.


Rolle des Datenschutzbeauftragten

Der Datenschutzbeauftragte unterstützt Unternehmen bei:

  • der Erfassung und Dokumentation von Auftragsverarbeitern,
  • der Prüfung und Bewertung von AVV,
  • der Kontrolle der TOMs,
  • der Beratung bei Datenschutzvorfällen oder Anfragen betroffener Personen.

Eben große Firmen ziehen Nutzen aus dem Wissen eines unabhängigen Datenschutzspezialisten.

Der Datenschutzbeauftragte ist außerdem da, falls du etwas zu Artikel 28 DSGVO brauchst – er unterstützt dich beim Umgang mit Auftragsverarbeitung und räumt Zweifel aus.


Wichtige Ratschläge für dein Unternehmen

  1. Bestandsaufnahme durchführen – Welche Dienstleistungsunternehmen verarbeiten personenbezogene Daten im Auftrag? Erfassen Sie alle relevanten Tätigkeiten, Zwecke und zwecks der Verarbeitung und führen Sie ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.

  2. Regelmäßige Kontrollen einplanen – mindestens einmal pro Jahr. Überprüfen Sie dabei die Dokumentation der technischen und organisatorischen Maßnahmen, der Tätigkeiten, der Zwecke sowie das Verzeichnis der Verarbeitungstätigkeiten.

  3. Unterauftragsverarbeiter abfragen – werden weitere Dritte eingesetzt? Prüfen Sie, ob entsprechende Vereinbarungen und Vertragsregelungen vorliegen.

  4. DSB einbinden – für Prüfung, Beratung und Dokumentation der Inhalte, Vereinbarungen und des Verzeichnisses der Verarbeitungstätigkeiten.

  5. Mitarbeitende schulen – Sensibilisierung für Datenschutzrecht, Verantwortlichkeiten und die Einhaltung der technischen und organisatorischen Maßnahmen.

Gängige Schwierigkeiten bei der praktischen Umsetzung

Bei der Auftragsverarbeitung ist eine Vielzahl an Pflichten und Herausforderungen zu beachten, insbesondere im Hinblick auf die Einhaltung der DSGVO und die Koordination mit verschiedenen Dienstleistern. Bei der Auftragsverarbeitung geht’s vor allem um Datenbearbeitung – die gehört fest zum Vertrag dazu. Mal sind es technische Leistungen, mal spezialisierte Angebote wie Analysen; Hosting fällt genauso darunter. Wenn nötig, dürfen Daten auch weiterverarbeitet werden, bloß dann, wenn das im Vertrag so vereinbart wurde.

•   Fehlende oder veraltete AV-Verträge – ein klarer Verstoß gegen die DSGVO.

•   Unklare Verantwortlichkeit – wer darf was, wer ist zuständig?

•   Unzureichende TOMs – z. B. fehlende Verschlüsselung oder unsichere Passwörter.

•   Unbekannte Unterauftragsverarbeiter – fehlende Transparenz.

Die Lösung: Klare Regelungen im Vertrag, regelmäßige Prüfung und ein transparenter Kommunikationsfluss zwischen Betrieben und Dienstleistungsunternehmen.


Fazit: Auftragsverarbeitung als Teil des Datenschutzmanagements

Die Auftragsverarbeitung ist ein fester Bestandteil des modernen Geschäftslebens. Kaum ein Unternehmen arbeitet heute ohne externe Dienstleister.

Auftragsverarbeiter liefern die Daten auf Anweisung des Verantwortlichen, bearbeiten sie weiter – und halten dabei vorgeschriebene Regeln ein.

Es kommt drauf an, wie genau man Auftragsverarbeiter erfasst – mal muss ein Vertrag dabei sein, mal läuft’s anders, dazu kommen Prüfungen der Maßnahmen, die immer wieder neu angegangen werden.

Nur dann schaffen Firmen es, die Regeln der DSGVO einzuhalten, das Vertrauen von Kundinnen zu fördern oder Konflikte nicht erst entstehen lassen.

Tipp: Wenn du Unterstützung bei der Auftragsverarbeitung, der Erstellung von AV-Verträgen oder der Prüfung deiner Dienstleister brauchst, stehen wir dir bei DatenBuddy.de gerne zur Seite.

Datenschutzdokumentation

 

Produkte

Beiträge

Hilfe & Support

  • Angebote gelten nicht für Verbraucher nach § 13 BGB.