Was ist eine Auftragsverarbeitung?
Wenn Sie einen externen Dienstleister beauftragen, der dabei personenbezogene Daten in Ihrem Auftrag verarbeitet, liegt eine Auftragsverarbeitung vor. Typische Beispiele: Cloud-Dienste, E-Mail-Provider, Lohnbuchhaltungssoftware, CRM-Systeme, IT-Dienstleister.
In solchen Fällen schreibt Art. 28 DSGVO den Abschluss eines Auftragsverarbeitungsvertrags (AVV) vor. Fehlt dieser, haften Sie als Auftraggeber — auch wenn der Fehler beim Dienstleister liegt.
Was muss ein AVV enthalten?
Ein rechtskonformer AVV nach Art. 28 Abs. 3 DSGVO muss mindestens regeln:
- Gegenstand, Dauer und Art der Verarbeitung
- Zweck der Verarbeitung und Art der Daten
- Kategorien betroffener Personen
- Pflichten und Rechte des Verantwortlichen
- Weisungsgebundenheit des Auftragsverarbeiters
- Regelungen zu Unterauftragsverarbeitern
- Unterstützungspflichten (Betroffenenrechte, Meldepflichten)
- Löschung oder Rückgabe der Daten nach Auftragsende
Drittlandtransfers: Besondere Vorsicht bei US-Diensten
Viele verbreitete Dienste (Google, Microsoft, Salesforce, HubSpot etc.) übertragen Daten in die USA oder andere Drittländer. Seit dem Schrems-II-Urteil müssen Sie sicherstellen, dass ein angemessenes Datenschutzniveau besteht.
Wir prüfen:
- Ob ein gültiger Übermittlungsmechanismus vorliegt (EU-US Data Privacy Framework, Standardvertragsklauseln)
- Ob zusätzliche technische Maßnahmen erforderlich sind
- Ob die Nutzung des Dienstes ggf. zu riskant ist
Unser Vorgehen
- Bestandsaufnahme aller Ihrer Dienstleister
- Klassifizierung nach AVV-Pflicht (ja/nein/unklar)
- Prüfung bestehender AVV auf Vollständigkeit
- Erstellung oder Nachbesserung fehlender oder mangelhafter AVV
- Dokumentation im Verzeichnis von Verarbeitungstätigkeiten