Bitte aktivieren Sie Javascript in ihrem Browser um alle Vorteile von iBusiness nutzen zu können.
80% loyalere Kunden und 53% mehr Umsatz dank Messenger Kundenservice: Erfahren Sie in dem Vortrag, welche Relevanz und welches Potenzial Messenger im heutigen Kundenservice haben.
zum Programm der Virtuellen Konferenz
Das für Onlineshop-Betreiber zu bewältigende Datenvolumen kennt nur eine Richtung: nach oben. Erfahren Sie, was Sie wissen müssen, um auch in Zukunft den Überblick zu behalten und wie Sie ihr Produktdatenmanagement langfristig erfolgreich gestalten.
Zum Programm des Webinars

DSGVO: Wie man mit Auftragsdatenverarbeitern umgeht

31.07.2019 Adresspflege, Mailingversand, EMail-Marketing: In der Digitalen Wirtschaft geht kaum etwas ohne Auftragsverarbeitung. Die Regeln zur Auftragsverarbeitung finden sich in den Artikeln 28 und 29 der DSGVO. Darin verbirgt sich jedoch eine Reihe von Fallstricken.

 (Bild: Pixabay)
Bild: Pixabay
In nahezu allen Branchen steigt die Bedeutung des Outsourcings von Daten. Der Grund: Um Ressourcen wie Kosten, Raum und Zeit zu sparen, nutzen viele Unternehmen nicht nur externe Speicher, sondern lagern zudem immer mehr Arbeitsprozesse vollständig an externe Dienstleister aus - sei es die Nutzung eines externen Rechenzentrums oder die Beauftragung eines Callcenters oder einer Marketingagentur, die in irgendeiner Form Kundendaten verarbeitet. Das Hauptmerkmal der Auftragsverarbeitung besteht darin, dass Unternehmen als Auftraggeber externe Dienstleister, in diesem Fall Auftragnehmer genannt, damit beauftragen, personenbezogene Daten weisungsgebunden zu verarbeiten.

Was zeichnet einen Auftragsverarbeiter aus?

Artikel 4 Nummer 8 der DSGVO zufolge kann "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet", als Auftragsverarbeiter fungieren. Auch wenn der Auftragsverarbeiter bestimmte Entscheidungen selbst treffen kann, hat er hinsichtlich des Zweckes der Verarbeitung keine Entscheidungsgewalt. So zählen beispielsweise EDV-, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Unternehmensdaten, externe Rechenzentren, Agenturen, Callcenter, aber auch E-Mail-Provider oder Cloud-Anbieter zum Auftragsverarbeiter. Der Auftragsverarbeiter muss garantieren, dass seine technischen und organisatorischen Maßnahmen den Datenschutzbestimmungen entsprechen.

Wer trägt die Verantwortung?

Die Hauptverantwortung für die Einhaltung datenschutzrechtlicher Anforderungen bei der Verarbeitung von personenbezogenen Daten liegt noch immer beim Auftraggeber, denn eine Auslagerung der Datenverarbeitung befreit ihn nicht von seinen datenschutzrechtlichen Pflichten. Das bedeutet: Das Unternehmen, das den Auftrag erteilt, fungiert weiterhin als Ansprechpartner hinsichtlich der Betroffenenrechte, beispielsweise bei Auskunftsanfragen oder Löschanliegen. Der Auftragnehmer, der in diesem Fall als Auftragsverarbeiter bezeichnet wird, erhält je nach vertraglicher Gestaltung die Befugnisse hinsichtlich der Auswahl der Datenverarbeitungsmittel. In jedem Falle gibt der Auftraggeber die technischen und organisatorischen Maßnahmen vor, die der Auftragsverarbeiter einhalten muss. Für gewöhnlich hat der Auftragsverarbeiter hier aber noch Spielräume. So wird beispielsweise vorgegeben, dass das Netzwerk durch eine Firewall gesichert werden muss, jedoch nicht Hersteller oder Modell der Firewall. Zudem darf der Auftragsverarbeiter die Daten nicht für seine eigenen Zwecke nutzen. Bei der Auswahl des Auftragsverarbeiters muss der Verantwortliche sicherstellen, dass dieser die Vorgaben der Datenschutz-Grundverordnung einhält. Grundlage der Auftragsverarbeitung stellt ein Vertrag zwischen Verantwortlichen und Auftragsverarbeiter dar.

Existieren hinsichtlich des Vertrages Besonderheiten?

Der DSGVO zufolge muss der Vertrag schriftlich zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgefasst werden, was auch in einem elektronischen Format erfolgen kann. Er muss eine genaue Tätigkeitsbeschreibung beinhalten, zudem muss für jede Form der Datenverarbeitung ein konkreter zuordenbarer Auftrag des Verantwortlichen existieren. Außerdem muss er eine detaillierte Beschreibung aller Verarbeitungsmodalitäten enthalten. Darüber hinaus beinhaltet der Artikel 28 weitere Punkte, wie beispielsweise Regelungen, ob und unter welchen Bedingungen Unterauftragnehmer eingesetzt werden dürfen.


Autor Haye Hösel 'Haye Hösel' in Expertenprofilen nachschlagen ist Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG zur Homepage dieses Unternehmens Relation Browser .

(Autor: Joachim Graf )

Weitere Artikel zu diesem Themenbereich:

Anzeige

Ausgewählte Agenturen und Dienstleister zu diesem Themenbereich

In diesem Beitrag genannt:

Personen: Haye Hösel
Firmen und Sites: hubit.de
Trackbacks / Kommentare
Artikel Weiterempfehlen
Empfehlen Sie diesen Artikel an Kollegen oder Freunde weiter.
Alle Meldungen vom 31.07.2019:

Für diesen Seite von iBusiness steht eine Mobile Ansicht zur Verfügung.
Umleiten?