+49 2421 555 9 334

fackeldey@digital-compliance-consulting.com

Auftragsverarbeitung

Nicht jeder Dienstleister ist ein Auftragsverarbeiter im Sinne der DS-GVO,

kann es aber sein.

Dienstleister, Auftragsverarbeiter, gemeinsam Verantwortlicher

Auftragsverarbeiter erkennen und DS-GVO konform behandeln

Kriterien für ein Auftragsverarbeitungsverhältnis:

  1. Der Auftragsverarbeiter handelt getrennt von dem Verantwortlichen
  2. Der Auftragsverarbeiter verarbeitet personenbezogenen Daten im Auftrag des Verantwortlichen
  3. Der Auftragsverarbeiter verarbeitet die Daten nicht anders als nach den Anweisungen des Verantwortlichen

Beispiele für Auftragsverarbeitungsverhältnisse im Sinne der DS-GVO:

  • Ein Cloudanbieter verarbeitet im Auftrag seiner Kunden personenbezogenen Daten
  • Ein Mobile Device Anbieter übernimmt die Verwaltung der mobilen Endgeräte seiner Kunden
  • Ein externer Fuhrparkmanager übernimmt die Verwaltung des Fuhrparks und verarbeitet hierbei personenbezogen Mitarbeiterdaten
  • Analysetools werden auf der firmeneigenen Homepage eingesetzt

Rechtliche Voraussetzungen

Vertragspflicht für Auftragsverarbeitung

Artikel 28 DS-GVO beschreibt die Rahmenbedingungen für die Auftragsverarbeitung. Es gibt eigentlich kein Unternehmen, das ohne Auftragsverarbeitung und somit ohne Auftragsverarbeitungsverträge auskommt.

Nutzen Sie die Expertise der Datenschutexperten der Digital Compliance Consulting GmbH um festzustellen, mit welchen Dienstleistern Auftragsverarbeitungsverträge geschlossen werden müssen.

Im Rahmen des Datenschutzkoffers bieten wir Ihnen eine Mustervertragsvorlage mit allen gesetzlich vorgeschriebenen Inhalten. Ferner umfasst unser Angebot die Prüfung von Verträgen, die Sie von Ihren Dienstleistern erhalten.


Drittlandtranfer, Auftragsverarbeitung, Unterauftragsverarbeitung, geeignete Garantien

Auftragsverarbeitung in Drittländern

Eine besondere Herausforderung in der Bewertung von Auftragsverarbeitungsunternehmen liegt in der Bewertung von Datentransfers in sogenannte Drittländer. Eine erforderliche Zulässigkeitsprüfung einer solchen Datenübermittlung erfolgt üblicherweise mehrstufig:

Stufe 1:

Die Datenübermittlung muss an sich zulässig sein. Jedwede Verarbeitung von personenbezogenen Daten unterliegt einem Verbot mit Erlaubnisvorbehalt. Neben einer Einwilligung führt Art. 6 DS-GVO weitere Rechtmäßigkeitsgründe an, wie beispielweise die Erfüllung eines Vertrages oder den Schutz lebenswichtiger Interessen, an.

Für besondere personenbezogene Daten, die eines höheren Schutzniveaus bedürfen, gelten die Erlaubnistatbestände des Art. 9 DS-GVO.

Stufe 2:

Es muss geprüft werden, ob es sich bei dem Drittland um ein sogenanntes sicheres oder unsicheres Drittland handelt. Bei sicheren Drittländern ist die Datenübermittlung grundsätzlich gestattet.

Stufe 3:

Handelt es sich um ein sogenanntes unsicheres Drittland, muss sichergestellt werden, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden. Hierzu dienen verschiedene Instrumente, wie z.B. Standarddatenschutzklauseln oder Intercompany Contract.

Nutzen Sie unsere Handlungsemfehlungen zur Bewertung

von Datentransfers in Drittländer.