Auftragsverarbeitung
Was fällt unter diese Kategorie?
Zur Auftragsverarbeitung zählen viele Prozesse, die Unternehmen gerne auslagern, beispielsweise
Wichtig zu wissen:
Ein Steuerberater ist immer als Verantwortlicher im Sinne der DSGVO zu werten. Daher ist weder bei der Steuerberatung noch bei Erstellung von Lohn- und Gehaltsabrechnungen ein Auftragsverarbeitungsvertrag (AVV) notwendig.
Merke:
Der Auftraggeber darf nur mit solchen Auftragnehmern zusammenarbeiten, die garantieren können, dass sie die Verarbeitung der Daten unter Befolgung des Datenschutzrechts gewährleisten können.
Spezielle IT-Bereiche befassen sich mit der Speicherung, Verarbeitung und Auswertung von großen Datenbeständen ("Big Data"), etwa indem sie "Data Mining" betreiben (also Muster herausfiltern).
Aber auch die Verarbeitung kleinerer Datenbestände wird oftmals von Unternehmen ausgelagert. Wenn davon auch personenbezogene Daten betroffen sind, muss zuvor ein Auftragsverarbeitungsvertrag (AVV) zwischen der verantwortlichen Stelle und dem Dienstleister geschlossen werden. Dieser Vertrag regelt alle inhaltlichen Details und erlaubt die Übermittlung der Daten ohne gesonderte gesetzliche Erlaubnis/Anordnung und ohne Einwilligung des Betroffenen.
Beispiele für Auftragsverarbeitung sind der Einsatz von Cloud-Speichern, Shop-Hostern, Callcentern, Daten- oder Akten-Vernichtungsunternehmen, IT-Wartungsunternehmen, Google Analytics, E-Mail- oder CRM-Dienstleistern.
Verantwortlich bei Verstößen gegen den Datenschutz ist in erster Linie der Auftraggeber; doch auch der Auftragsverarbeiter muss die datenschutzrechtlichen Vorgaben einhalten und ggf. mit haften.
