Von der Auftragsverarbeitung, früher Auftragsdatenverarbeitung, ist fast jede Firma betroffen, zumindest jedes Unternehmen, das einen externen Dienstleister beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten.
Haben Sie beispielsweise einen externen Dienstleister für die Lohn- und Gehaltsabrechnung verpflichtet? Oder eine Werbeagentur, die für Sie Kundendaten für Statistiken verarbeitet? Oder nutzen Sie Google Analytics oder ähnliche Tools? Immer, wenn andere Unternehmen Zugriff auf Daten Ihrer Kunden haben, fällt das im Regelfall in den Bereich der Auftragsverarbeitung.
Dann müssen Sie einen entsprechenden Auftragsverarbeitungs-Vertrag (AVV) abschließen. Die Verantwortung, dass die personenbezogenen Daten ordnungsgemäß verarbeitet werden, trägt in der Regel das Auftrag gebende Unternehmen – es sei denn, der Dienstleister verstößt gegen die Weisungen des Auftraggebers.
Die Anforderungen der Auftragsverarbeitung greifen auch bei Wartungs- und Prüfungsverträgen, wenn nicht ausgeschlossen werden kann, dass auf personenbezogene Daten zugegriffen wird. Das kann der IT-Fachmann sein, der Hardware oder Software überprüft. Oder ein externer Dienstleister, der für Ihr Unternehmen Akten vernichtet. Ob tatsächlich auf die Daten zugegriffen wird oder nicht, ist dabei zweitrangig. Allein die Möglichkeit, dass diess passieren könnte, genügt.
Laut Artikel 28 der Datenschutz-Grundverordnung muss in einem AVV u.a. geregelt werden, wie die personenbezogenen Daten verarbeitet werden. Wenn Sie als Unternehmerin oder Unternehmer einen solchen Auftrag vergeben, dürfen Sie nur Dienstleister verpflichten, die den Datenschutz nach der Datenschutz-Grundverordnung gewährleisten. Dies muss geprüft, nachgewiesen und dokumentiert werden. Können Sie als Unternehmen keine entsprechenden Nachweise vorweisen, ist es möglich, dass Sie mit einem Bußgeld belegt werden.
Das Team von DataSEKure in Freiburg ist mit dem Thema Auftragsverarbeitung bis ins Detail vertraut. Als zertifizierte Datenschutz-Auditoren führen wir auch Datenschutz-Audits bei Ihren Auftragsverarbeitern durch, um so die erforderlichen Nachweise und Dokumentationen zu erbringen. Gerne stehen wir in allen Fragen rund um die Auftragsverarbeitung, entsprechenden Verträge und die Überprüfung der Auftragsverarbeitung durch ein Datenschutz-Audit zur Seite.