Kein Job wie jeder andere: Die Auftragsverarbeitung (AV)

Der Art. 28 der DSGVO, § 26 des Bundesdatenschutzgesetzes (2018) und der § 80 im Zehnten Buch des Sozialgesetzes regeln in Deutschland die ‚Datenverarbeitung im Auftrag‘ bzw. die ‚Auftragsverarbeitung (AV)‘. Sie bestimmen über das ‚Outsourcing‘ von Datenverarbeitungsaufträgen an externe Dritte.

Die Auftragsverarbeitung löst die ‚Auftragsdatenverarbeitung (ADV)‘ aus dem “alten” Bundesdatenschutzgesetz ab. Die Neuregelung lässt viele der schon bisher geltenden Anforderungen an den Verantwortlichen unverändert.

Den rechtlichen Rahmen einer AV gibt seit der DSGVO in der Regel ein Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO vor. In jenem werden unter anderem Gegenstand, Zweck, Art und Dauer der Verarbeitung festgelegt sowie die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen und die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters.

Der Verantwortliche hat sich – abhängig von der Art der erhobenen Daten – davon zu überzeugen, dass der Auftragsverarbeiter für die Aufgabe zertifiziert ist, und dass er ein Sicherheitskonzept umsetzt, welches gewährleistet, dass die Datenverarbeitung durch geeignete technische und organisatorische Maßnahmen mit den rechtlichen Bedingungen konform ist. Dies erfolgt in der Regel durch eine schriftliche Auskunft. Erst dann darf der Verantwortliche personenbezogene Daten übermitteln.

Haftungsrechtlich steht bei Verstößen meist nicht der Dienstleister in der Verantwortung, sondern unverändert der Verantwortliche. Der Auftragsverarbeiter haftet hingegen, wenn er seinen Pflichten als Auftragsverarbeiter nicht nachgekommen ist. Dies ist der Fall sofern er die Anweisungen des Verantwortlichen nichtbeachtet oder sogar gegen die Weisungen gehandelt hat.