Wir begrüßen Dich auf der CI-Plattform.

cyber insight logo
Login
Kostenlos starten
cyber insight logo

Was ist ein Auftragsverarbeiter (Art. 28)?

Girl summarizing online article

Ein Auftragsverarbeiter (AV) ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. 

Verantwortliche; Auftragsverarbeiter

Auftragsverarbeitung – Beispiele:

  • Auftragserteilung eines Unternehmens mit der Vernichtung von Akten / Dokumenten / Datenträgern;
  • Beauftragung einer Marketingagentur mit dem Versand von Werbebriefen oder der Auswertung von Website-Analysen;
  • Bevollmächtigung einer Agentur mit der Rekrutierung von neuen Mitarbeitern für das Unternehmen;
  • Beauftragung eines Unternehmens zur externen Datenspeicherung;
  • Nutzung von Cloud-Systemen für das Kunden- und Personalmanagement.
Ausrufezeichen; Auftragsverarbeiter

Kontrolle der Auftragsverarbeiter

Der Verantwortliche muss festlegen, dass der Auftragsverarbeiter (Art. 28, Abs. 3):

  • die personenbezogenen Daten nur auf seine dokumentierte Weisung verarbeitet; 
  • sicherstellt, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • alle gemäß Artikel 32 (Sicherheit der Verarbeitung) erforderlichen Maßnahmen ergreift;
  • in der Lage ist, mit geeigneten technischen und organisatorischen Maßnahmen ihm zu unterstützen (soweit dies möglich ist), seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Personen nachzukommen;
  • nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten entweder löscht, vernichtet oder zurückgibt;
  • alle erforderlichen Informationen zum Nachweis der Einhaltung der in Artikel 28 niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Wichtig: Der Verantwortliche ist für die Einhaltung der DSGVO bei seinen Auftragsverarbeiter verantwortlich. Die Zusammenarbeit mit Auftragsverarbeiter, die die DSGVO-Anforderungen nicht erfüllen, wird daher sowohl für diese Auftragsverarbeiter als auch für den Verantwortlichen zu Bußgeldern führen.

Aufgaben / Pflichte des Auftragsverarbeiters

Der Auftragsverarbeiter muss sich um die folgenden Punkte kümmern:

  • Benennung eines Datenschutzbeauftragten;
  • Pflege eines Verarbeitungsverzeichnisses;
  • Zusammenarbeit mit der Aufsichtsbehörde im Falle eines Datenschutzvorfalls;
  • Gewährleistung der Sicherheit der Verarbeitung durch Umsetzung geeigneter TOMs;
  • Einhaltung von Beschränkungen der Datenübermittlung an Drittländer;
  • Falls sich der Auftragsverarbeiter außerhalb der EU befindet: Bestellung eines EU-Vertreters.

Der Verantwortliche muss außerdem sicherstellen, dass der Auftragsverarbeiter in der Lage ist, ihn bei diesen Punkten zu unterstützen:

  • Bei der Bearbeitung von Betroffeneneingaben (nach Art. 15);
  • Bei eigenen Sicherheitsmaßnahmen (nach Art. 32);
  • Bei der Meldung von Datenschutzvorfällen an die Aufsichtsbehörde (nach Art. 33); 
  • Bei der Benachrichtigung der Betroffenen im Falle eines Datenschutzvorfalls (nach Art. 34);
  • Bei der Durchführung von Datenschutz-Folgeabschätzungen (nach Art. 35);
  • Bei der Konsultation mit der Aufsichtsbehörde (nach Art. 36).

Mindestinhalt des Vertrags

Der Verantwortliche muss mit allen seinen Auftragsverarbeitern einen Vertrag in schriftlicher oder elektronischer Form abschließen. Dieser Vertrag muss im Falle einer Anfrage der Aufsichtsbehörde überprüfbar sein. Er muss folgenden Mindestinhalt haben:

Vertrag; Auftragsverarbeiter
  • Gegenstand, Dauer, Art und Zweck der Verarbeitung;
  • Art der personenbezogenen Daten;
  • Kategorien betroffener Personen;
  • Pflichten und Rechte des Verantwortlichen;
  • Pflichten des Auftragsverarbeiters;
  • ggf. Unterauftragsverarbeiter; 
  • Datenverarbeitung nur auf dokumentierte Weisung des Verantwortlichen;
  • Verpflichtung der Mitarbeiter des Auftragsverarbeiters zur Vertraulichkeit; 
  • Schutz der personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen (TOMs). 

Unterauftragsverarbeiter

Unterauftragsverarbeiter; Auftragsverarbeiter

Ein Unterauftragsverarbeiter oder Subunternehmer ist jeder Auftragsnehmer, der im Auftrag des Auftragsverarbeiters personenbezogene Daten des Verantwortlichen bearbeitet.

  • Der Verantwortliche hat das Recht, von seinen Auftragsverarbeiter die Information zu verlangen, ob andere Auftragsverarbeiter eingesetzt werden. 
  • Er hat auch das Recht, gegen bestimmte Unterauftragsverarbeiter Einspruch zu erheben.

Der Verantwortliche muss außerdem sicherstellen, dass der Vertrag zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter den erforderlichen Mindestinhalt enthält. 

Bei Pflichtverletzungen des Unterauftragsverarbeiters haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen.

Gemeinsam Verantwortliche (Art. 26)

Wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen, sie sind gemeinsam Verantwortliche (Art. 26).

Die betroffene Person kann ihre Rechte im Rahmen der DSGVO bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Die Vereinbarung zwischen den gemeinsam Verantwortlichen muss in transparenter Form festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt. Dies gilt insbesondere für die Wahrnehmung der Rechte der Betroffenen und die Einhaltung der Informationspflichten nach Artikel 13 und 14.

Die Vereinbarung muss außerdem die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln.

Das wesentliche der Vereinbarung muss den Betroffenen zur Verfügung gestellt werden.

Jeder der gemeinsam Verantwortliche haftet nach Art. 82, Abs. 4 im Falle rechtswidriger Datenverarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann (Art. 82, Abs. 3).

Gemeinsam Verantwortliche; Auftragsverarbeiter

Wenn Du Dein Sicherheitsniveau noch nicht mit unserer kostenlosen Anwendung analysiert hast, registriere Dich hier!

Beitrag teilen:

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email

Diese Beiträge könnten Dich auch interessieren

Man working with a computer, General Data Protection Regulation and European Union flag

Datenschutzmeldungen (Art. 33 und 34)

Datenschutzmeldung an die Aufsichtsbehörde Nach der DSGVO müssen alle Verletzungen des Schutzes personenbezogener Daten unverzüglich an die zuständige Aufsichtsbehörde gemeldet werden. Dies bezeichnet man als

Weiterlesen
August 13, 2021

Was ist Malware?

Malware (Schadsoftware): Malware ist jede bösartige Software, die das Ziel hat, einem Computer, System, Client oder einem Computernetzwerk Schaden zuzufügen. Einige Beispiele sind Viren, Würmer,

Weiterlesen
August 13, 2021
side view of focused businesswoman with tablet making calculations on calculator at workplace with

Auskunftsrecht (Art. 15)

Was ist das Auskunftsrecht? Das Auskunftsrecht ist das Recht der betroffenen Person, eine Bestätigung darüber zu verlangen, ob der für die Verarbeitung Verantwortliche sie betreffende

Weiterlesen
August 13, 2021

Hinweis:

Die Anwendung wird bald zur Verfügung gestellt.