Auftragsdatenverarbeitung – was ist darunter zu verstehen?
Wer personenbezogene Daten über einen Cloud-Dienstleister oder Service verarbeiten möchte, kommt an einem Fachbegriff nicht vorbei – der „Auftragsdatenverarbeitung“. Beispiele für entsprechende Anwendungen sind Lohnbuchhaltung oder Gehaltsabrechnung, Archivierung, Newsletterversand oder Mailings, CRM-Systeme sowie alle möglichen Modelle, die unter dem Begriff Cloud-Computing verstanden werden.
Rechtlich verstehen Experten unter Auftragsdatenverarbeitung auch den vertraglichen Rahmen, innerhalb dessen sich Kunde und Auftragnehmer bewegen. Die wesentlichen Eckpunkte eines solchen Vertrags hat der Gesetzgeber in der Überarbeitung des Bundesdatenschutzgesetzes 2009 festgeschrieben. Darin ist festgelegt, dass ein Vertrag zur Auftragsdatenverarbeitung folgende Punkte umfassen und regeln muss:
- Auftragsgegenstand und Dauer des Auftragsverhältnisses
- Umfang, Art und Zweck der Datenverarbeitung
- Technische und organisatorische Maßnahmen des Auftragnehmers
- Löschung, Berechtigung und Sperrung von personenbezogenen Daten
- Kontrollrechte des Auftraggebers
- Eventuelle Befugnis zu Unterauftragsverhältnissen
- Pflichten des Auftragnehmers (Duldung und Mitwirkung bei Kontrollen)
- Meldepflicht bei Verstößen gegen das BDSG oder den Vertrag
- Weisungsbefugnis des Auftraggebers bei datenschutzrelevanten Sachverhalten
- Rückgabe oder evtl. Löschung der personenbezogenen Daten am Ende des Auftragsverhältnisses
Wichtig: Auftragsdatenverarbeitung heißt nicht, dass der Dienstleister die Verantwortung trägt. Die verbleibt beim Auftraggeber. Er verantwortet die ordnungsgemäße Durchführung und haftet auch dafür. Der Auftraggeber ist Ansprechpartner für etwaige Ansprüche im Sinn des Datenschutzgesetzes. Daher ist es im eigenen Interesse – per Gesetz hat der Auftraggeber so gar die Pflicht - den Auftragnehmer unter die Lupe zu nehmen. Das kann je nach Art und Umfang der zu verarbeitenden Daten eine Überprüfung vor Ort sein. Meist gibt es aussagekräftige Datenschutzzertifizierungen und IT-Sicherheitskonzepte, die direkt einsehbar sind - oder auf Anfrage schriftlich Auftragnehmers bestätigt werden. Seriöse Anbieter sind auf derartige Nachfragen eingestellt und vorbereitet.
Dies könnte Sie auch interessieren
Microsoft Intune: Die Cloud-Lösung von Microsoft 365 für eine sichere und flexible Geräteverwaltung
Microsoft 365 bietet jede Menge Funktionen, Anwendungen und Services. Ein wichtiger Bereich ist dabei die Verwaltung von Geräten und Anwendungen. Hier kommt Microsoft Intune ins Spiel.
> Artikel lesenFür Administratoren und IT-Verantwortliche: Wie Sie Microsoft Teams für Ihre Firma einrichten
Microsoft Teams bietet die perfekte Plattform für die virtuelle Zusammenarbeit in Ihrer Firma. Hier erfahren Administratoren und IT-Verantwortliche, wie sie das Tool einrichten und das Maximum für Ihre Mitarbeiterinnen und Mitarbeiter herausholen können.
> Artikel lesenMicrosoft 365: So sichern Sie Ihre Office-Daten nach der Testphase
Sie haben sich dazu entschieden, Office 365 nach der Testphase nicht weiterzuverwenden? Erfahren Sie hier, wie Sie Ihre Daten sichern.
> Artikel lesen