Bitte aktivieren Sie Javascript in ihrem Browser um alle Vorteile von iBusiness nutzen zu können.
Jetzt wächst zusammen, was zusammen gehört: Die Daten und die Tools, die Automatisierungsprozesse und die Algorithmen der Künstlichen Intelligenz. Die Virtuelle Konferenz zeigt, wie Sie sich auf diese Entwicklung vorbereiten.
zum Programm der Virtuellen Konferenz
Daten sind heute eines der zentralen Assets im Multi-Channel Marketing. Dieser Vortrag zeigt den Ansatz der »incremental business innovation«, der KI-basierte Verfahren einsetzt, um wirtschaftlich relevante Daten-Impulse und die richtigen Anwender steuert.
zum Programm der Virtuellen Konferenz

DSGVO: Wie man mit Auftragsdatenverarbeitern umgeht

31.07.2019 Adresspflege, Mailingversand, EMail-Marketing: In der Digitalen Wirtschaft geht kaum etwas ohne Auftragsverarbeitung. Die Regeln zur Auftragsverarbeitung finden sich in den Artikeln 28 und 29 der DSGVO. Darin verbirgt sich jedoch eine Reihe von Fallstricken.

 (Bild: Pixabay)
Bild: Pixabay
In nahezu allen Branchen steigt die Bedeutung des Outsourcings von Daten. Der Grund: Um Ressourcen wie Kosten, Raum und Zeit zu sparen, nutzen viele Unternehmen nicht nur externe Speicher, sondern lagern zudem immer mehr Arbeitsprozesse vollständig an externe Dienstleister aus - sei es die Nutzung eines externen Rechenzentrums oder die Beauftragung eines Callcenters oder einer Marketingagentur, die in irgendeiner Form Kundendaten verarbeitet. Das Hauptmerkmal der Auftragsverarbeitung besteht darin, dass Unternehmen als Auftraggeber externe Dienstleister, in diesem Fall Auftragnehmer genannt, damit beauftragen, personenbezogene Daten weisungsgebunden zu verarbeiten.

Was zeichnet einen Auftragsverarbeiter aus?

Artikel 4 Nummer 8 der DSGVO zufolge kann "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet", als Auftragsverarbeiter fungieren. Auch wenn der Auftragsverarbeiter bestimmte Entscheidungen selbst treffen kann, hat er hinsichtlich des Zweckes der Verarbeitung keine Entscheidungsgewalt. So zählen beispielsweise EDV-, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Unternehmensdaten, externe Rechenzentren, Agenturen, Callcenter, aber auch E-Mail-Provider oder Cloud-Anbieter zum Auftragsverarbeiter. Der Auftragsverarbeiter muss garantieren, dass seine technischen und organisatorischen Maßnahmen den Datenschutzbestimmungen entsprechen.

Wer trägt die Verantwortung?

Die Hauptverantwortung für die Einhaltung datenschutzrechtlicher Anforderungen bei der Verarbeitung von personenbezogenen Daten liegt noch immer beim Auftraggeber, denn eine Auslagerung der Datenverarbeitung befreit ihn nicht von seinen datenschutzrechtlichen Pflichten. Das bedeutet: Das Unternehmen, das den Auftrag erteilt, fungiert weiterhin als Ansprechpartner hinsichtlich der Betroffenenrechte, beispielsweise bei Auskunftsanfragen oder Löschanliegen. Der Auftragnehmer, der in diesem Fall als Auftragsverarbeiter bezeichnet wird, erhält je nach vertraglicher Gestaltung die Befugnisse hinsichtlich der Auswahl der Datenverarbeitungsmittel. In jedem Falle gibt der Auftraggeber die technischen und organisatorischen Maßnahmen vor, die der Auftragsverarbeiter einhalten muss. Für gewöhnlich hat der Auftragsverarbeiter hier aber noch Spielräume. So wird beispielsweise vorgegeben, dass das Netzwerk durch eine Firewall gesichert werden muss, jedoch nicht Hersteller oder Modell der Firewall. Zudem darf der Auftragsverarbeiter die Daten nicht für seine eigenen Zwecke nutzen. Bei der Auswahl des Auftragsverarbeiters muss der Verantwortliche sicherstellen, dass dieser die Vorgaben der Datenschutz-Grundverordnung einhält. Grundlage der Auftragsverarbeitung stellt ein Vertrag zwischen Verantwortlichen und Auftragsverarbeiter dar.

Existieren hinsichtlich des Vertrages Besonderheiten?

Der DSGVO zufolge muss der Vertrag schriftlich zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgefasst werden, was auch in einem elektronischen Format erfolgen kann. Er muss eine genaue Tätigkeitsbeschreibung beinhalten, zudem muss für jede Form der Datenverarbeitung ein konkreter zuordenbarer Auftrag des Verantwortlichen existieren. Außerdem muss er eine detaillierte Beschreibung aller Verarbeitungsmodalitäten enthalten. Darüber hinaus beinhaltet der Artikel 28 weitere Punkte, wie beispielsweise Regelungen, ob und unter welchen Bedingungen Unterauftragnehmer eingesetzt werden dürfen.


Autor Haye Hösel 'Haye Hösel' in Expertenprofilen nachschlagen ist Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG zur Homepage dieses Unternehmens Relation Browser .

(Autor: Joachim Graf )

Weitere Artikel zu diesem Themenbereich:

Anzeige

Ausgewählte Agenturen und Dienstleister zu diesem Themenbereich

In diesem Beitrag genannt:

Personen: Haye Hösel
Firmen und Sites: hubit.de
Trackbacks / Kommentare
Ihr Kommentar:
Schreiben Sie Ihre Meinung, Erfahrungen, Anregungen mit oder zu diesem Thema. Ihr Beitrag erscheint an dieser Stelle.
Artikel Weiterempfehlen
Empfehlen Sie diesen Artikel an Kollegen oder Freunde weiter.
Alle Meldungen vom 31.07.2019:

Für diesen Seite von iBusiness steht eine Mobile Ansicht zur Verfügung.
Umleiten?