DSGVO: Wie man mit Auftragsdatenverarbeitern umgeht

31.07.2019 - Adresspflege, Mailingversand, EMail-Marketing: In der Digitalen Wirtschaft geht kaum etwas ohne Auftragsverarbeitung. Die Regeln zur Auftragsverarbeitung finden sich in den Artikeln 28 und 29 der DSGVO. Darin verbirgt sich jedoch eine Reihe von Fallstricken.

von Joachim Graf

In nahezu allen Branchen steigt die Bedeutung des Outsourcings von Daten. Der Grund: Um Ressourcen wie Kosten, Raum und Zeit zu sparen, nutzen viele Unternehmen nicht nur externe Speicher, sondern lagern zudem immer mehr Arbeitsprozesse vollst�ndig an externe Dienstleister aus - sei es die Nutzung eines externen Rechenzentrums oder die Beauftragung eines Callcenters oder einer Marketingagentur, die in irgendeiner Form Kundendaten verarbeitet. Das Hauptmerkmal der Auftragsverarbeitung besteht darin, dass Unternehmen als Auftraggeber externe Dienstleister, in diesem Fall Auftragnehmer genannt, damit beauftragen, personenbezogene Daten weisungsgebunden zu verarbeiten.

Was zeichnet einen Auftragsverarbeiter aus?

Artikel 4 Nummer 8 der DSGVO zufolge kann "eine nat�rliche oder juristische Person, Beh�rde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet", als Auftragsverarbeiter fungieren. Auch wenn der Auftragsverarbeiter bestimmte Entscheidungen selbst treffen kann, hat er hinsichtlich des Zweckes der Verarbeitung keine Entscheidungsgewalt. So z�hlen beispielsweise EDV-, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Unternehmensdaten, externe Rechenzentren, Agenturen, Callcenter, aber auch E-Mail-Provider oder Cloud-Anbieter zum Auftragsverarbeiter. Der Auftragsverarbeiter muss garantieren, dass seine technischen und organisatorischen Ma�nahmen den Datenschutzbestimmungen entsprechen.

Wer tr�gt die Verantwortung?

Die Hauptverantwortung f�r die Einhaltung datenschutzrechtlicher Anforderungen bei der Verarbeitung von personenbezogenen Daten liegt noch immer beim Auftraggeber, denn eine Auslagerung der Datenverarbeitung befreit ihn nicht von seinen datenschutzrechtlichen Pflichten. Das bedeutet: Das Unternehmen, das den Auftrag erteilt, fungiert weiterhin als Ansprechpartner hinsichtlich der Betroffenenrechte, beispielsweise bei Auskunftsanfragen oder L�schanliegen. Der Auftragnehmer, der in diesem Fall als Auftragsverarbeiter bezeichnet wird, erh�lt je nach vertraglicher Gestaltung die Befugnisse hinsichtlich der Auswahl der Datenverarbeitungsmittel. In jedem Falle gibt der Auftraggeber die technischen und organisatorischen Ma�nahmen vor, die der Auftragsverarbeiter einhalten muss. F�r gew�hnlich hat der Auftragsverarbeiter hier aber noch Spielr�ume. So wird beispielsweise vorgegeben, dass das Netzwerk durch eine Firewall gesichert werden muss, jedoch nicht Hersteller oder Modell der Firewall. Zudem darf der Auftragsverarbeiter die Daten nicht f�r seine eigenen Zwecke nutzen. Bei der Auswahl des Auftragsverarbeiters muss der Verantwortliche sicherstellen, dass dieser die Vorgaben der Datenschutz-Grundverordnung einh�lt. Grundlage der Auftragsverarbeitung stellt ein Vertrag zwischen Verantwortlichen und Auftragsverarbeiter dar.

Existieren hinsichtlich des Vertrages Besonderheiten?

Der DSGVO zufolge muss der Vertrag schriftlich zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgefasst werden, was auch in einem elektronischen Format erfolgen kann. Er muss eine genaue T�tigkeitsbeschreibung beinhalten, zudem muss f�r jede Form der Datenverarbeitung ein konkreter zuordenbarer Auftrag des Verantwortlichen existieren. Au�erdem muss er eine detaillierte Beschreibung aller Verarbeitungsmodalit�ten enthalten. Dar�ber hinaus beinhaltet der Artikel 28 weitere Punkte, wie beispielsweise Regelungen, ob und unter welchen Bedingungen Unterauftragnehmer eingesetzt werden d�rfen.

Autor Haye H�sel ist Gesch�ftsf�hrer und Gr�nder der Hubit Datenschutz GmbH & Co. KG .

Diskussion:

Kommentar hinzuf�gen
Schreiben Sie Ihre Meinung, Erfahrung, Anregung mit oder zu diesem Thema. Ihr Beitrag erscheint dann an dieser Stelle.

Vortr�ge zum Thema:

Bild: Thilo Kerner

Thilo Kerner (Sybit GmbH)

Wie Sie ein wirklich sinnvolles Management-Dashboard f�r Marketing und Vertrieb aufsetzen

Wie definieren Sie die wirklich wichtigen KPIs f�r Marketing und Vertrieb? Und wie steuern Sie dann mit diesen Ihre Marktbearbeitung erfolgreich? Thilo Kerner, Chief Revenue Officer der Sybit GmbH zeigt an Beispielen aus der konkreten Vertriebs- und Marketingpraxis, wie ein wirklich n�tzliches Marketing-Dashboard aussehen muss und wie Sie kennzahlengesteuertes Management im Unternehmen aufsetzen. Au�erdem liefert er Tipps und Strategien, um KPIs effektiv im Gesch�ftsalltag Ihres Unternehmens zu integrieren.

Vortrag im Rahmen der Daten & KI 2024. K�nstliche Intelligenz, Datengest�tztes Marketing und Vertrieb am 14.05.24, 10:00 Uhr

eBakery

Die eCommerce Agentur f�r Ihren digitalen Erfolg: Von der Planung bis zum Live-Betrieb Ihrer Idee sind wir als 360 Grad eCommerce Agentur stets an Ihrer Seite. Sie haben schon einen Shop? Dann optimieren wir ihn um Sie ganz nach vorne zu bringen. …

Campaign - part of Bertelsmann Marketing Services

Als Teil der Bertelsmann Marketing Services erarbeitet Campaign seit �ber 25 Jahren unterschiedlichste Marketing- und Kommunikationsl�sungen mit der passenden Technologie und Ergebnisanalyse. Ob digitaler oder klassischer Kommunikationskanal: Campaig…

MKM media - Selfmailer.com

Selfmailer.com ist spezialisiert auf personalisierte, individuelle Printprodukte und z�hlt mit seiner modernen und aufw�ndigen Maschinen- und Personalisierungstechnik in Deutschland zu den f�hrenden Dienstleistern im Bereich Adressierung, Versionalis…

SDV Medien+Service GmbH

Die SDV Medien+Service GmbH ist zusammen mit den Tochterunternehmen SDV Direct World GmbH und SDV Winter GmbH ein Full-Service-Dienstleister f�r Dialogmedien und Informationslogistik. SDV besch�ftigt in Dresden, Weidenberg und Bamberg insgesamt run…

Schober Information Group Deutschland GmbH

Die Schober Information Group Deutschland GmbH ber�t und unterst�tzt Kunden strategisch mit On- und Offline-L�sungen sowie bei der systematischen Umsetzung von crossmedialen Kommunikations-, Werbe- und Verkaufsstrategien.

real media technic STAUDACHER GmbH

Grafik/ Fotografie/ Video, Software-Spezialanwendungen/ -dienstleistungen, Datenbanksysteme, Media-/Vermarktungsleistungen, Marketing, Direkt-Marketing (Kreation / Konzeption), Handelsmarketing

Business Data Solutions GmbH & Co. KG

Wir revolutionieren Daten- und Lead Management durch fortschrittliche Datenanalysen und KI-gest�tzte Technologien. Unsere Expertise in Big Data von �ber 10 Mio. Domains erm�glicht pr�zise, auf Machine Learning basierende L�sungen f�r spitze Leads, ei…

Deutsche Post Adress GmbH & Co.KG

Die Deutsche Post Adress ist der in Deutschland f�hrende Anbieter von L�sungen zur Adressaktualisierung und -recherche. Das Gemeinschaftsunternehmen der Deutschen Post und Bertelsmann bietet zahlreiche Produkte und Services, mit denen Unternehmen ihr…

gkk dialogGroup GmbH

Wir glauben daran: nichts begeistert mehr als gute Dialoge. Begeisterung ist der Antrieb von allem - und begeisternde Dialoge sind die Grundlage f�r Fortschritt. Als f�hrende Customer Experience Management - Agentur Deutschlands gestalten wir die Zuk…

panadress marketing intellignce GmbH

panadress marketing intelligence geh�rt zu den f�hrenden Marketing-Data-Providern in Deutschland. Wir unterst�tzen unsere Kunden, Marketing und Vertrieb kundenzentriert auszurichten, um ihre Marktposition zu st�rken und weiter auszubauen. Mit der Pow…