Auftragsverarbeitung

Mit der Auftragsverarbeitung gehen diverse Verpflichtungen sowohl für den Auftragsverarbeiter als auch für die verantwortliche Stelle einher. Insbesondere muss eine kontinuierliche und datenschutzkonforme Dokumentation und Auftragskontrolle sichergestellt werden. Auftragsverarbeitung ist daher äußerst praxisrelevant! MORGENSTERN hilft dabei.

Um was geht es?
Unser Angebot
Kunden-FAQ
Downloads

Um was geht es?

Bei der Auftragsverarbeitung lässt ein Unternehmen als Auftraggeber personenbezogene Daten von einem externen Dienstleister als Auftragnehmer verarbeiten. Dabei bleibt der Auftraggeber Hauptverantwortlicher für den Datenschutz und muss gewährleisten, dass die Daten ordnungsgemäß verarbeitet werden. Deshalb muss der Verantwortliche vor Auftragsvergabe mit dem Auftragsverarbeiter einen Vertrag gemäß Art. 28 DS-GVO über die weisungsgebundene Tätigkeit schließen. Unter anderem muss der Vertrag vorsehen, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen für ausreichende und angemessene Datensicherheit in Bezug auf die Datenverarbeitung ergreift.

Unser Angebot“

Unser Angebot

Doku-Kit
  • Einhaltung der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO
  • Erstellung und Übersendung des Doku-Kits zur Auftragsverarbeitung, einschließlich einer Orientierungshilfe und aller relevanten Anlagen zum Umgang mit dem Doku-Kit:
    • Muster „Checkliste: Technische und organisatorische Maßnahmen“
    • Muster „Vertrag zur Auftragsverarbeitung gem. Art. 28 DS-GVO (Auftraggeber)“
    • Muster „Vertrag zur Auftragsverarbeitung gem. Art. 28 DS-GVO (Auftragnehmer)“
    • Muster „Verzeichnis von im Auftrag geführten Tätigkeiten“
    • Muster „Übersicht zu den eingesetzten Auftragsverarbeitern“
    • Muster „Anschreiben Auftragnehmer an Auftraggeber“
    • Muster „Anschreiben Auftragnehmer an Auftraggeber bei Fernwartung“
  • Sicherstellung einer kontinuierlichen und datenschutzkonformen Dokumentation und Auftragskontrolle
Kurzschulung zur Auftragsverarbeitung (90 Minuten)
  • Vermittlung besonderer Kenntnisse in Bezug auf die Sach- und Fachkunde im Bereich Auftragsverarbeitung
  • Darstellung der wesentlichen Pflichten der verantwortlichen Stelle
  • Beleuchtung individueller Auftragssituation
Prüfung bestehender Auftragsverarbeitungsverhältnisse
  • Prüfung vorhandener Auftragsverarbeitungsverträge unter Berücksichtigung der datenschutzrechtlichen Vorgaben nach Art. 28 DS-GVO
  • Prüfung vorhandener Muster-Auftragsverarbeitungsverträge unter Berücksichtigung der datenschutzrechtlichen Vorgaben nach Art. 28 DS-GVO
  • Dokumentation der Auftragsverarbeitungsverhältnisse
Erstellung eines Mustervertrags als Verantwortlicher gemäß Art. 28 DS-GVO
  • Erstellung eines Muster-Auftragsverarbeitungsvertrags unter Einhaltung datenschutzrechtlicher Vorgaben nach Art. 28 DS-GVO
  • Berücksichtigung der individuellen Auftragssituation
Erstellung eines Mustervertrags als Auftragsverarbeiter gemäß Art. 28 DS-GVO
  • Erstellung eines Muster-Auftragsverarbeitungsvertrags unter Einhaltung datenschutzrechtlicher Vorgaben nach Art. 28 DS-GVO
  • Berücksichtigung der individuellen Auftragssituation
Erstellung eines Verzeichnisses von im Auftrag durchgeführten Tätigkeiten gemäß Art. 30 Abs. 2 DS-GVO
  • Erstellung Verzeichnis von Verarbeitungstätigkeiten als Auftragsverarbeiter nach Art. 30 Abs. 2 DS-GVO
  • Berücksichtigung der vorhandenen Auftragsverarbeitungsverhältnisse (sofern Dokumentation zur Auftragsverarbeitung vorhanden)
  • Einbindung der technischen und organisatorischen Maßnahmen (sofern vorhanden)
Erstellung einer Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DS-GVO
  • Erstellung und Bereitstellung einer Checkliste zur Abbildung der technischen und organisatorischen Maßnahmen
  • Beachtung der datenschutzrechtlichen Vorgaben aus Art. 32 DS-GVO
  • Bei Bedarf und auf Wunsch Erstellung der gesetzlich vorgeschriebenen TOM-Beschreibung („Sonderleistung“)

Kunden-FAQ

Kunden-FAQ

Was ist Auftragsverarbeitung und was nicht?

Ein Auftragsverarbeiter ist eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen schwerpunktmäßig verarbeitet. Die Beauftragung von (externen) Dienstleistungen, bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. Bei einer Auftragsverarbeitung entscheidet der Verantwortliche über Zwecke und Mittel der Verarbeitung, während der Auftragsverarbeiter weisungsgebunden als „verlängerter Arm“ des Verantwortlichen handelt.

Typische Situationen einer Auftragsverarbeitung stellen in der Regel beispielsweise das Hosting von Webseiten, Call-Center-Dienstleistungen, Datenträgerentsorgungen oder das IT-Outsourcing dar. Auch die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen kann eine Form der Auftragsverarbeitung darstellen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Keine Auftragsverarbeitung hingegen sind regelmäßig die Tätigkeiten von Berufsgeheimnisträgern (z.B. Steuerberater, Rechtsanwälte), Inkassobüros, Bankinstituten oder Postdiensten für den Brief- und Pakettransport.

Muss zwingend eine eigene Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter geschlossen werden?

Ja. Für die Auftragsverarbeitung ist ein konkreter Rahmen festzulegen. Dafür sollten der Verantwortliche und der Auftragsverarbeiter einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO abschließen. Diesbezüglich enthält Art. 28 DS-GVO für die Ausgestaltung des Verhältnisses zwischen Verantwortlichem und Auftragsverarbeiter einzelne Vorgaben. Der Verantwortliche muss insbesondere einen Auftragsverarbeiter auswählen, der hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen getroffen wurden, sodass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.

Was sind Folgen bei Verstößen?

Bei Verstößen oder Nichtbeachtung der Vorgaben aus der Auftragsverarbeitung können Geldbußen von bis zu 10.000.000 € oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Diese Sanktionen können bei Verstößen nicht nur den Verantwortlichen selbst, sondern auch den Auftragsverarbeiter treffen.

Ich habe keinen Überblick über die eingesetzten Dienstleister in meiner Organisation und weiß auch nicht, welche davon nun als Auftragsverarbeiter zu klassifizieren sind. Wie gehe ich nun vor?

Wende dich an uns! Wir schauen uns deine eingesetzten Dienstleister an und beurteilen, ob es sich dabei um eine Form der Auftragsverarbeitung handelt. Wir prüfen außerdem die vorhandenen Auftragsverarbeitungsverträge unter Berücksichtigung der datenschutzrechtlichen Vorgaben und dokumentieren alle Auftragsverarbeitungsverhältnisse für dich.

Jetzt Angebot anfragen

Downloads

Downloads

Melde dich jetzt für unseren Newsletter rund um IT-Security und Datenschutz an und downloade direkt das Whitepaper zum Thema "Auftragsverarbeitung".

Ich möchte den E-Mail-Newsletter von MORGENSTERN mit aktuellen Informationen und Veranstaltungseinladungen erhalten. Diese Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen gemäß Art. 13 DS-GVO findest du in unserer Datenschutzerklärung.