Auftragsverarbeitung

Auftragsverarbeitung ist ein Konzept, das im Zusammenhang mit der Verarbeitung von Daten durch Dritte für eine Organisation von Bedeutung ist. Im Allgemeinen bezieht sich Auftragsverarbeitung auf die Übertragung von Datenverarbeitungsaufgaben und -verantwortung von einer Organisation an eine dritte Stelle, wie einen externernen Dienstleister. Besondere Bedeutung hat das Konzept der Auftragsverarbeitung im Datenschutzrecht der Europäischen Union (Datenschutz-Grundverordnung, JI-Datenschutzrichtlinie und EU-Datenschutzverordnung). Hier erfolgt eine Auftragsverarbeitung nur aufgrund einer dokumentierten Weisung der für die Verarbeitung verantwortlichen Stelle und aufgrund eines Vertrages.

Konzept

Im Rahmen einer Auftragsverarbeitung werden Datenverarbeitungsaufgaben von einem Verantwortlichen an einen Auftragnehmer übertragen. Dies kann aus verschiedenen Gründen sinnvoll sein, beispielsweise wenn der Auftraggeber über nicht ausreichende Ressourcen oder Fähigkeiten verfügt, um bestimmte Datenverarbeitungsaufgaben selbst durchzuführen, oder wenn es für ihn ökonomischer ist, sich einen spezialisierten Dienstleister zu suchen.

Im Rahmen der Auftragsdatenverarbeitung trägt der Auftragnehmer die Verantwortung für die ordnungsgemäße Verarbeitung der Daten und muss entsprechende technische und organisatorische Maßnahmen ergreifen, um die Sicherheit und Integrität der Daten zu gewährleisten. Der Auftraggeber bleibt jedoch der datenschutzrechtliche Verantwortliche und trägt die Verantwortung für die Einhaltung der geltenden datenschutzrechtlichen Vorschriften.

Geschichte

Die Idee der Auftragsverarbeitung entstand in den 1960er Jahren, als Unternehmen zunehmend auf externe Dienstleister für die Verarbeitung ihrer Daten angewiesen waren. Zu dieser Zeit entstanden die ersten IT-Dienstleister, die sich auf die Verarbeitung von Daten für andere Unternehmen spezialisierten. Beispiele für solche frühen IT-Dienstleister sind Unternehmen wie Electronic Data Systems und die Computer Sciences Corporation, die heute noch immer im Bereich der Auftragsverarbeitung tätig sind.^[1]

Die ersten Vereinbarungen zur Auftragsverarbeitung wurden in dieser Zeit getroffen, um festzulegen, wie die Verantwortung und Haftung für die verarbeiteten Daten zwischen Auftraggeber und Auftragnehmer verteilt werden sollten. Im Laufe der Jahre hat sich die Auftragsverarbeitung zu einem etablierten Konzept entwickelt, das von vielen Unternehmen in unterschiedlichen Branchen genutzt wird.

Rechtliche Aspekte

Bei der Auftragsverarbeitung müssen im Regelfall bestimmte rechtliche Aspekte beachtet werden, um die Datenschutzrechte der Personen zu schützen deren Daten verarbeitet werden.

In vielen Ländern gibt es spezifische Gesetze und Vorschriften, die die Auftragsverarbeitung regeln und festlegen, unter welchen Bedingungen sie stattfinden darf. Im Europäischen Wirtschaftsraum ist dies die Datenschutz-Grundverordnung. Diese Regelungen können unterschiedlich ausfallen und es ist wichtig, sich im Vorfeld über die jeweils geltenden Bestimmungen zu informieren.

Im Allgemeinen bleibt der Auftraggeber für die Verarbeitung der personenbezogenen Daten verantwortlich und auch haftet dafür, dass die Datenverarbeitung im Einklang mit den geltenden Datenschutzbestimmungen erfolgt. Der Auftragnehmer hingegen ist dafür verantwortlich, die Anweisungen des Auftraggebers zu befolgen und die personenbezogenen Daten im Rahmen der vereinbarten Auftragsverarbeitung zu verarbeiten.

In vielen Fällen wird ein Vertrag geschlossen, der die Rechte und Pflichten beider Seiten im Zusammenhang mit der Auftragsverarbeitung klärt und festlegt.

Auftragsverarbeitung im europäischen Datenschutzrecht

Das europäische Datenschutzrecht regelt die Verarbeitung von personenbezogenen Daten durch Auftragsverarbeiter weitgehend. Kern der Regelung ist Artikel 28 der Datenschutz-Grundverordnung (bzw. die überwiegend wortlautgleichen Artikel 22 der Richtlinie (EU) 2016/680 für Justiz und Polizeibehörden und Artikel 29 der Verordnung (EU) 2018/1725 für die Organe und Einrichtungen der EU). Zunächst muss die verantwortliche Stelle dem Auftragsverarbeiter einen Auftrag erteilen, die unter anderem die Art und Zwecke der Verarbeitung der personenbezogenen Daten festlegen. Der Auftrag kann die Form eines Auftragsverarbeitungsvertrags haben, kann aber auch die Anlage zu einem Hauptvertrag (Datenschutz-Anhang, englisch „data protection addendum“, DPA) haben. Beide Verordnungen und die Richtlinie sehen vor, dass der Vertrag auch vollständig aus von der Europäischen Kommission vorgegebenen Standardverträgen bestehen kann (Standardvertragsklauseln), diese Klauseln dürfen im Kern nicht von den Vertragsparteien geändert werden und werden nur durch die Spezifika der Verarbeitung (z. B. die Kategorien der verarbeiteten Daten und die einzuhaltenden technischen und organisatorischen Maßnahmen) ergänzt. Die Vereinbarung muss nicht schriftlich verfasst sein, sollte jedoch die Textform haben um den Dokumentationsansprüchen der datenschutzrechtlichen Anforderungen zu genügen.

Die Stelle, die den Auftrag erhält, ist verpflichtet, die von der verantwortlichen Stelle erteilten Aufträge genau zu befolgen und darf die personenbezogenen Daten nur zu den im Auftrag festgelegten Zwecken verarbeiten. Sie ist ebenfalls verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die personenbezogenen Daten vor Verlust, Zerstörung, Verfälschung oder unbefugtem Zugriff zu schützen. Die verantwortliche Stelle bleibt für die rechtmäßige Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter verantwortlich. Sie muss sicherstellen, dass der Auftragsverarbeiter die geltenden Datenschutzvorschriften einhält und darf dem Auftragsverarbeiter keine Aufträge erteilen, die gegen diese Vorschriften verstoßen. Falls der Auftragsverarbeiter der Auffassung ist, dass eine solche Weisung gegen geltendes Datenschutzrecht verstößt hat er eine Remonstrationspflicht. Wenn der Auftragsverarbeiter Weisungen der verantwortlichen Stelle nicht beachtet, wird er die verantwortliche Stelle für eine solche weisungswidrige Verarbeitung.

Sicherheitsüberlegungen

Angemessene Sicherheitsmaßnahmen sind relevant, um den unbefugtem Zugriff auf personenbezogene Daten bei der Auftragsverarbeitung zu verhindern und sie vor Missbrauch zu schützen. Eine Möglichkeit, die Sicherheit von personenbezogenen Daten bei der Auftragsverarbeitung zu gewährleisten, ist die Verwendung von Verschlüsselungstechnologien. Durch die Verwendung von verschlüsselten Verbindungen können die Daten vor unbefugtem Zugriff geschützt werden, wenn sie über das Internet übertragen werden. Sofern Daten durch den Auftragsverarbeiter nur Gespeichert werden sollen bietet sich die Ende-zu-Ende-Verschlüsselung an, in diesem Fall erhält der Auftragsverarbeiter keinen Zugriff auf die personenbezogenen Daten. Soll der Auftragsverarbeiter auch weitere Verarbeitungen mit den Daten durchführen hat sie darüber hinaus die Verschlüsselung der Daten bis zum Zeitpunkt der eigentlichen Verarbeitung (englisch „Encryption at rest“) durchgesetzt.

Eine organisatorische Maßnahm ist die Implementierung von Zugriffskontrollen. Durch die Vergabe von Benutzernamen und Passwörtern, sowie die Erstellung eines entsprechenden Rechte- und Rollenkonzeptes, kann sichergestellt werden, dass nur autorisierte Personen auf die personenbezogenen Daten zugreifen können.

Neben der technischen und organisatorischen Absicherung der Daten ist es auch wichtig, dass der Auftragsverarbeiter zuverlässig und vertrauenswürdig ist und sich an die relevanten Datenschutzbestimmungen hält. Dies kann durch die Wahl eines Auftragsverarbeiters mit einem guten Ruf und durch die Überprüfung der Rechtsordnung, der er unterliegt, sichergestellt werden. Insbesondere die Rechtsordnungen der Vereinigten Staaten für das Europäische Datenschutzrecht dar (Schrems I und II).

Regelmäßige Sicherheitsüberprüfungen bieten eine Grundlage, um sicherzustellen, dass die implementierten Sicherheitsmaßnahmen auch tatsächlich wirksam sind.

Anwendungsbereiche

Ein bekanntes Beispiel für die Anwendung der Auftragsverarbeitung ist das klassische IT-Outsourcing. Unternehmen übertragen in diesem Fall die Verwaltung und Pflege ihrer IT-Infrastruktur, wie beispielsweise Server oder Software, an externe Dienstleister.

Ein weiterer Anwendungsbereich der Auftragsverarbeitung ist der Bereich Callcenter. Viele Unternehmen vergeben die Betreuung ihrer Kunden und die Bearbeitung von Anfragen an externe Call-Center-Dienstleister.

Ein weiteres Beispiel für die Anwendung der Auftragsverarbeitung ist die Lohnbuchhaltung. Die Verwaltung von Lohn- und Gehaltsabrechnungen ist ein komplexer und zeitaufwändiger Prozess, der häufig an externe Dienstleister ausgelagert wird. Auch das Löschen von Daten und das Zerstören von Datenträgern (analogen, wie Papier und digitalen, wie Festplatten) zählt als Verarbeitung personenbezogener Daten.

Außerdem wird in der Lohnbuchhaltung regelmäßig Auftragsverarbeitung betrieben. Die Verwaltung von Lohn- und Gehaltsabrechnungen ist ein komplexer und zeitaufwändiger Prozess, der an externe Dienstleister ausgelagert wird.

Einzelnachweise

↑ Jeffrey Yost: Making IT Work: A History of the Computer Services Industry (= History of Computing). MIT Press, 2017, ISBN 978-0-262-03672-6, Managing Facilities: Electronic Data Systems, 1962–1984, S. 135 ff. (englisch).
↑ Kurzpapier Nr. 13: Auftragsverarbeitung, Art. 28 DS-GVO. (PDF; 360 KB) In: datenschutzkonferenz-online.de. 17. Dezember 2018, abgerufen am 15. Dezember 2022.

[1] Jeffrey Yost: Making IT Work: A History of the Computer Services Industry (= History of Computing). MIT Press, 2017, ISBN 978-0-262-03672-6, Managing Facilities: Electronic Data Systems, 1962–1984, S. 135 ff. (englisch).

[2] Kurzpapier Nr. 13: Auftragsverarbeitung, Art. 28 DS-GVO. (PDF; 360 KB) In: datenschutzkonferenz-online.de. 17. Dezember 2018, abgerufen am 15. Dezember 2022.

[1]

[2]

Navigation

Navigation

Themenportale

Werbung