Wann brauche ich einen Auftragsverarbeitungsvertrag?

Der richtige Auftragsverarbeitungsvertrag mit Dienstleistern

Ein Auftragsverarbeitungsvertrag (AVV) benötigen Sie immer dann, wenn Sie personenbezogene Daten (pbD) Ihrer Firma oder Ihrer Kunden von einem Dienstleister verarbeiten lassen. Dabei ist entscheidend, dass die personenbezogenen Daten in Weisung verarbeitet werden. Das heißt, der Dienstleister erhält eine klare Weisung in welcher Weise und zu welchem Zweck die personenbezogenen Daten von Ihm verarbeitet werden.

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.
Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.

Hier einige Beispiele, für die Sie einen Auftragsverarbeitungsvertrag mit einem Dienstleister benötigen:

Hier Beispiele für Auftragsverarbeitung

  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist,
  • Werbeadressenverarbeitung in einem Lettershop, Give-Away-Versender, o.ä
  • Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort,
  • Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen),
  • Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen,
  • Datenträgerentsorgung durch Dienstleister,
  • Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf perso-nenbenzogene Daten nicht ausgeschlossen werden kann,
  • Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt),
  • Apothekenrechenzentren nach § 300 SGB V,
  • ärztliche/zahnärztliche Verrechnungsstellen ohne Forderungsverkauf,
  • Sicherheitsdienste, die an der Pforte Besucher- und Anlieferer Daten erheben,
  • externe Personen, Dienstleister, usw., die im Auftrag Messwerte in Mietwohnungen (Hei-zung, Strom, Wasser etc.) ablesen und/oder erfassen bzw. verarbeiten,
  • Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten erhal-ten.

Hier Beispiele für Verarbeitungen ohne Auftragsverarbeitung in eigener Verantwortung

  • Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
  • Inkassobüros mit Forderungsübertragung,
  • Bankinstitute für den Geldtransfer,
  • Postdienste für den Brief- oder Pakettransport,
  • Tätigkeit als WEG-Verwalter;
  • Detektive bei ihrer Observierungs-/Überwachungs-/Ausforschungstätigkeit,
  • Hersteller und Großhändler, die von Einzelhändlern für mit Endkunden vereinbarte Direktlieferungen die Endkundenadressen erhalten (beauftragte Warenzusendung),
  • Blumen- oder Weinversender, die eine Liste mit Adressdaten zur Versendung der Blumen-bzw. Weingeschenke an dritte Personen erhalten (beauftragte Warenzusendung),
  • Insolvenzverwalter,
  • Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern (siehe dazu auch Beispiel 6 im WP 169),
  • Internet-Plattformbetreiber zur Vermittlung zwischen Anbietern und Nachfragern, diesich auf der Plattform treffen können,
  • TKG-Dienstleistungen, es sei denn, darüber hinausgehende Zusatzdienste wie Auslagerung
  • einer betrieblichen Telefonanlage oder Cloudspeicherlösungen usw. (siehe dazu auch Beispiel 1 im WP 169),
  • Versicherungs-/Finanzmaklervermittler im Rahmen des Kundenvertrags,
  • Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen,
  • Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen
  • externen Trainer, Schulungsveranstalter oder an das Tagungshotel,
  • Fertigung individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten/
  • Kunden im Auftrag von Ärzten, Zahnärzten, Apotheken, Sanitätshäusern usw.,
  • Medizinische Labore, Materiallabore usw. (Materialuntersuchung im Auftrag).
  • Zahlungsdienstleister für elektronische Zahlungen (Transport von Zahlungsdaten, Geldwäsche- und Betrugsprüfung nach ZAG und den Mindestanforderungen der BaFin),
  • von Reisebüros aufgrund Kundenvertrags vermittelte Leistungsanbieter, wie Hotels,
  • Mietwagenfirmen, Fluggesellschaften, Busunternehmen, Versicherungen usw. (siehe dazu auch Beispiel 8 im WP 169).

Im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit

  • vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten,
  • Sachverständige zur Begutachtung eines Kfz-Schadens,
  • Personenbeförderung, Krankentransportleistungen,
  • Bewachungsdienstleistungen,
  • Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen,
  • Reinigung von Berufskleidung mit Namensschildern,
  • Druck von Prospekten, Katalogen, mit Bildern von Beschäftigten oder Fotomodellen,
  • Transport von ausreichend geschreddertem Papiermaterial,
  • Transport von Unterlagen und Waren durch Kurierdienste, Speditionen, Zeitungsausträger,
  • Übersetzung von Texten in/aus Fremdsprachen

Auftragsverarbeitungsvertrag als Auftragsverarbeiter

Wenn Sie als Dienstleiter personenbezogene Daten von Ihren Kunden erhalten, bzw. Zugriff darauf haben, müssen Sie Ihrem Kunden einen Auftragsverarbeitungsvertag zur Verfügung stellen

Beispiele für Dienstleister, die Ihren Kunden einen Auftragsverarbeitungsvertag zur Verfügung stellen müssen:

  • Hosting Anbieter für Webseiten und sonstige Webanwendungen
  • Webdesigner die CMS erstellen und Pflegen
  • Lettershop Anbieter
  • IT-Servicefirmen
  • Cloud Anbieter für Applikationen

Auftragsverarbeitung im Cloud-Service

In der Regel benötigen Sie mit Cloud Anbietern einen Auftragsverarbeitungsvertag. Die Cloud Anbieter haben nicht immer eine klare Weisung der Verarbeitung von personenbezogenen Daten, aber die Cloud Anbieter haben theoretischen Zugang zu den personenbezogenen Daten. Besonders anspruchsvoll ist der Einsatz von Dienstleistern in Drittstaaten wie zum Beispiel den USA. Lesen Sie hierzu bitten den Blog Beitrag “Das Schrems II Problem”.

Muster Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag als Auftraggeber:

Download Auftragsverarbeitungsvertrag für Auftraggeber

Auftragsverarbeitungsvertrag als Auftragnehmer:

Download Auftragsverarbeitungsvertrag für Auftragnehmer

Hilfe bei der Erstellung Auftragsverarbeitungsvertrag;

Wenn Sie Hilfe für die Erstellung eines Auftragsverarbeitungsvertrages als Auftraggeber oder Auftragnehmer benötigen, nutzen Sie bitte unseren Support oder unser Zusatzpaket Auftragsverarbeitung.

.

Wann brauche ich einen Datenschutzbeauftragten?

Regel nach dem Gesetz

Das Bundesdatenschutzgesetz schreibt fest, dass Firmen und Organisationen ab 20 Angestellten, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen müssen. Die bisherige Grenze von 10 Mitarbeitern wurde 2019 geändert.

Regel für besondere Verarbeitungen

Unter bestimmten Voraussetzungen, die Sie mit unserem kostenlosen Test prüfen können, ist es möglich, dass Sie auch mit weniger als 10 Angestellten einen Datenschutzbeauftragten benennen müssen. Deutliche Kennzeichen für eine strengere Regelung sind die Arbeit mit Schutzbefohlenen oder der Umgang mit besonders sensiblen Daten nach Artikel 8 der DS-GVO oder die Erstellungspflicht einer Datenschutzfolgeabschätzung. Hierzu könnte unter Umständen auch die Videoüberwachung gehören.

Egal, ob Sie in Ihrer Firma einen Datenschutzbeauftragten offiziell benennen müssen, müssen Sie sich als Eigentümer eine Firma um die Umsetzung des Datenschutz nach DS-GVO und BDSG in Ihrer Firma kümmern. Bei groben Fehlern und Datenpannen können auch bei kleinen Unternehmen empfindliche Bußgelder fällig werden

Die DSGVO-Hilfe als online Service hilft Ihnen schnell einen Überblick über den Datenschutz zu erhalten und die gesetzlichen Vorschriften einzuhalten.