DSGVO: Wie man mit Auftragsdatenverarbeitern umgeht

von Joachim Graf

19.09.2019 Adresspflege, Mailingversand, EMail-Marketing: Im Versandhandel geht kaum etwas ohne Auftragsverarbeitung. Die Regeln zur Auftragsverarbeitung finden sich in den Artikeln 28 und 29 der DSGVO. Darin verbirgt sich jedoch eine Reihe von Fallstricken.

Bild: Pixabay

In nahezu allen Branchen steigt die Bedeutung des Outsourcings von Daten. Der Grund: Um Ressourcen wie Kosten, Raum und Zeit zu sparen, nutzen viele Unternehmen nicht nur externe Speicher, sondern lagern zudem immer mehr Arbeitsprozesse vollständig an externe Dienstleister aus - sei es die Nutzung eines externen Rechenzentrums oder die Beauftragung eines Callcenters oder einer Marketingagentur, die in irgendeiner Form Kundendaten verarbeitet. Das Hauptmerkmal der Auftragsverarbeitung besteht darin, dass Unternehmen als Auftraggeber externe Dienstleister, in diesem Fall Auftragnehmer genannt, damit beauftragen, personenbezogene Daten weisungsgebunden zu verarbeiten.

Was zeichnet einen Auftragsverarbeiter aus?

Artikel 4 Nummer 8 der DSGVO zufolge kann "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet", als Auftragsverarbeiter fungieren. Auch wenn der Auftragsverarbeiter bestimmte Entscheidungen selbst treffen kann, hat er hinsichtlich des Zweckes der Verarbeitung keine Entscheidungsgewalt. So zählen beispielsweise EDV-, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Unternehmensdaten, externe Rechenzentren, Agenturen, Callcenter, aber auch E-Mail-Provider oder Cloud-Anbieter zum Auftragsverarbeiter. Der Auftragsverarbeiter muss garantieren, dass seine technischen und organisatorischen Maßnahmen den Datenschutzbestimmungen entsprechen.

Wer trägt die Verantwortung?

Die Hauptverantwortung für die Einhaltung datenschutzrechtlicher Anforderungen bei der Verarbeitung von personenbezogenen Daten liegt noch immer beim Auftraggeber, denn eine Auslagerung der Datenverarbeitung befreit ihn nicht von seinen datenschutzrechtlichen Pflichten. Das bedeutet: Das Unternehmen, das den Auftrag erteilt, fungiert weiterhin als Ansprechpartner hinsichtlich der Betroffenenrechte, beispielsweise bei Auskunftsanfragen oder Löschanliegen. Der Auftragnehmer, der in diesem Fall als Auftragsverarbeiter bezeichnet wird, erhält je nach vertraglicher Gestaltung die Befugnisse hinsichtlich der Auswahl der Datenverarbeitungsmittel. In jedem Falle gibt der Auftraggeber die technischen und organisatorischen Maßnahmen vor, die der Auftragsverarbeiter einhalten muss. Für gewöhnlich hat der Auftragsverarbeiter hier aber noch Spielräume. So wird beispielsweise vorgegeben, dass das Netzwerk durch eine Firewall gesichert werden muss, jedoch nicht Hersteller oder Modell der Firewall. Zudem darf der Auftragsverarbeiter die Daten nicht für seine eigenen Zwecke nutzen. Bei der Auswahl des Auftragsverarbeiters muss der Verantwortliche sicherstellen, dass dieser die Vorgaben der Datenschutz-Grundverordnung einhält. Grundlage der Auftragsverarbeitung stellt ein Vertrag zwischen Verantwortlichen und Auftragsverarbeiter dar.

Existieren hinsichtlich des Vertrages Besonderheiten?

Der DSGVO zufolge muss der Vertrag schriftlich zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgefasst werden, was auch in einem elektronischen Format erfolgen kann. Er muss eine genaue Tätigkeitsbeschreibung beinhalten, zudem muss für jede Form der Datenverarbeitung ein konkreter zuordenbarer Auftrag des Verantwortlichen existieren. Außerdem muss er eine detaillierte Beschreibung aller Verarbeitungsmodalitäten enthalten. Darüber hinaus beinhaltet der Artikel 28 weitere Punkte, wie beispielsweise Regelungen, ob und unter welchen Bedingungen Unterauftragnehmer eingesetzt werden dürfen.

Autor Haye Hösel ist Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG .

alle Optionen Mitglied werden auf neuhandeln

Ihr regelmäßiger Update.

Basis

Die kostenfreie Mitgliedschaft auf neuhandeln.de

Vier Ausgaben des Versandhausberater kostenfrei zum Kennenlernen

Kostenfrei
Wöchentlicher Newsletter
Zugriff auf Beiträge exklusiv nur für Mitglieder
Teilnahme an Webinaren und virtuellen Kongressen
Kostenloser Eintrag im Dienstleister-Verzeichnis
Vier Wochen lang zum Test die Print-Ausgabe des Versandhausberaters frei Haus

Basis-Mitglied werden
Vergleichen

-25%

Für ECommerce-Profis.

Premium

Versandhausberater, der Premium-Dienst von neuhandeln.de:

Freitags den Versandhausberater frei Haus

Sofort Zugriff auf alle Premium-Inhalte online
Wöchentlich neue Exklusiv-Studien und Analysen
Zugriff auf das gesamte EMagazin-Archiv
Freitags die aktuelle Versandhausberater-Ausgabe als E-Magazin und gedruckt per Post
194,61 Euro pro Quartal (zzgl. MwSt)
97,31 Euro (zzgl. MwSt)*

Premium-Mitglied werden
Vergleichen

-50%
Top-Deal!

Für Dienstleister des Handels.

PremiumPlus

Das Marketingpaket macht Ihr Unternehmen für über 15.000 E-Retailer sichtbar.

Alle Leistungen der Premium-Mitgliedschaft
Umfassender Eintrag als Dienstleister im Dienstleister-Verzeichnis
Bevorzugte Platzierung in Suchergebnissen
Alle Platzierungen hervorgehoben mit Firmenlogo
Unternehmens-Einblendung unterhalb thematisch relevanter Beiträge
Whitepaper veröffentlichen
Pressemitteilungen veröffentlichen
Gastbeiträge veröffentlichen
Referenzkunden pflegen
995 Euro pro Jahr (zzgl. MwSt)
497,50 Euro (zzgl. MwSt)*

PremiumPlus-Mitglied werden
Vergleichen

*Der rabattierte Preis gilt für die erste Bezugsperiode. Danach setzt sich die Mitgliedschaft zum regulären Preis fort, wenn sie nicht vor Ablauf gekündigt wird. Premium: 3 Monate/194,61 Euro, PremiumPlus: Jahr/995,00 Euro, Enterprise: Jahr/1998 Euro, jeweils zzgl. Mwst.

Verwandte Beiträge zu diesem Beitrag

EuGH-Entscheidung: Webseitenbetreiber mitverantwortlich für Like-Buttons

30.07.2019

Ein Drittel der EU-Unternehmen nicht DSGVO-konform

26.07.2019

DSGVO: Nutzer reagieren sensibler auf Zustimmungsabfragen

25.07.2019

DSGVO bremst Digitale Wirtschaft aus

23.05.2019

Bisher 75 Bußgelder wegen DSGVO

13.05.2019

Wie es Onlineshops wirklich mit der DSGVO halten

18.04.2019

alle Veranstaltungen Webcasts zu diesem Thema:

Bild: Christian Bennefeld

Christian Bennefeld (Initiative datenschutz-zwecklos.de)

Klarheit in der KI-Kakophonie: Orientierung für die Zukunft

In seiner Key Note gibt Christian einen Überblick über den aktuellen Stand der KI-Entwicklung und bietet Orientierung in der Kakophonie aus Algorithmen und Innovationen. Wo stehen wir heute tatsächlich? Was können wir in der Zukunft erwarten?
Christian ordnet die zentralen Entwicklungen ein und zeigt, welche Trends 2025 wichtig werden. Sind es autonome Agenten, Open-source Modelle oder General Purpose AI-Systeme, die bald unsere Arbeit bestimmen? Was passiert mit der KI-Regulierung und dem Datenschutz? Und worauf müssen wir achten, um auch zukünftig auf der Gewinnerseite zu stehen?

Der kurzweilige Vortrag gibt überraschende Antworten und lädt zum Nachdenken wie Mitdiskutieren ein.

Vortrag im Rahmen der Zukunftskonferenz 25. am 03.12.24, 09:30 Uhr

Dienstleister-Verzeichnis Agenturen/Dienstleister zu diesem Thema:

Contentserv GmbH

CONTENTSERV GmbH ist Hersteller Webbasierte Enterprise-Marketing-Management-Softwarelösungen zur Optimierung, Steuerung und Umsetzung der Abläufe der Medien- und Produktdatenpflege und -kommunikation – für effizientes crossmediales Publishing.

Unternehmensprofil ansehen