Im Rahmen von Geschäftsbeziehungen kommen immer wieder Fragen auf, ob in einer Unternehmen-Dienstleister-Beziehung eine Auftragsverarbeitung gemäß Artikel 28 Datenschutz-Grundverordnung (DSGVO) vorliegt. Auftragsverarbeiter (Dienstleister) verarbeiten personenbezogene Daten im Auftrag des Verantwortlichen (Unternehmen) und auf Basis seiner Weisungen.
Ein Unternehmen sollte nur mit Auftragsverarbeitern zusammenarbeiten, die die hinreichend Garantien dafür bieten, dass
geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Die Auftragsverarbeitung ist an Bedingungen geknüpft, die auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments abgesichert sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument bindet den Dienstleister an das Unternehmen und regelt im Wesentlichen den Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen
Die personenbezogenen Daten werden nur auf dokumentierte Weisung des Verantwortlichen verarbeitet. Der Auftragsverarbeiter hat keine eigenen Entscheidungsbefugnisse über die Verarbeitung der personenbezogenen Daten.
Der Auftraggeber hat die Kontrollmöglichkeit und alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten.
Es gibt keine automatisierte Übertragung der Nutzungsrechte an den personenbezogenen Daten auf die Dienste eines weiteren Auftragsverarbeiters.
Der Auftragsverarbeiter sollte keine Beziehung und die Notwendige Transparenz zum Betroffenen haben.
Als Beispiele für eine Auftragsverarbeitung sind hier genannt die Wartung und der Betrieb von IT-Systemen (Software, Hosting, Cloud-Dienste etc.), Personalabrechnung, Lettershop, externes Rechenzentrum oder Vernichtung von Datenträgern/Unterlagen.
