Auftragsverabeitung (ehemals Auftragsdatenverarbeitung), im Sinne des BDSG, ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle. § 11 BDSG beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch einen Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind. (Quelle: https://www.datenschutz-wiki.de/Auftragsdatenverarbeitung)

Sobald ein Unternehmen externe Dienstleister mit der Datenverarbeitung beauftragt, handelt es sich um eine Auftragsverarbeitung. Die externe Datenverarbeitung fällt beispielweise in folgenden Fällen an:

• Ihre Website wird von einem externen Hoster verwaltet (meist der Fall)
• Sie nutzen externe Newsletteranbieter für Marketingaktionen
• Sie setzen Google Analytics ein
• Sie beauftragen Firmen mit der Wartung Ihrer Soft- und Hardware
• Sie setzen Fernwartungssoftware ein
• Ihre Lohnabrechnung von einem externen Dienstleister durchgeführt wird

Diese kurze Aufzählung zeigt: In den meisten Fällen benötigen Sie einen Auftragsverarbeitungsvertrag, nämlich immer dann, wenn externe Dienstleister auf die personenbezogenen Daten Ihrer Kunden zugreifen können. 

Das Bundesdatenschutzgesetz definiert personenbezogene Daten als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG).

Im Klartext: Alle Daten und Informationen, über die ein Personenbezug hergestellt werden kann, sind personenbezogene Daten, darunter fallen zum Beispiel:

• Name
• Anschrift
• E-Mail Adresse
• Telefonnummer
• IP Adressen
• Kontodaten
• Usw.

Aus der Praxis: Setzen Sie Google Analytics ein, dann müssen Sie mit Google einen entsprechenden Auftragsdatenverarbeitungsvertrag eingehen. Fragen Sie die E-Mail Adresse Ihrer Kunden für die Zusendung eines Newsletters (Über Ihren externen Newsletter-Anbieter) ab, dann werden personenbezogene Daten an Ihre externen Dienstleister übermittelt.

In § 11 Abs. 2 Satz 2 BDSG wird geregelt, welche Punkte in dem Auftragsdatenverarbeitungsvertrag geregelt werden müssen:

• der Gegenstand und die Dauer des Auftrags,
• der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten,
• die Art der Daten und der Kreis der Betroffenen,
• die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
• die Berichtigung, Löschung und Sperrung von Daten,
• die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
• die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
• die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
• mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
• der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
• die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Die DSGVO bringt auch Erleichterungen mit sich: Der Auftragsverarbeitungsvertrag kann auch elektronisch zur Verfügung  gestellt werden. Musste man noch vor der DSGVO die Verträge für die Google Analytics Nutzung nach Irland schicken, reicht jetzt ein Klick in der Verwaltungsoberfläche, um den Vertrag mit Google abzuschließen. Wichtig ist hierbei jedoch, dass die Anbieter die Vertragsabschlüsse dokumentieren und ihren Kunden zuordnen können. 

Sie finden den Auftragsverarbeitungsvertrag in Ihrem Kundenbereich unter: Meine Daten > Auftragsverarbeitung.

Durch Anklicken der kleinen Box, stimmen Sie dem Auftragsverarbeitungsvertrag zu. Klicken Sie anschließend auf den Button „Vertrag erstellen“. Der Vertrag wird Ihnen im Anschluss an die hinterlegte E-Mail Adresse gesendet. Zusätzlich haben Sie die Möglichkeit den Vertrag herunterzuladen, klicken Sie dazu auf den Button „Download“. Der Vertrag ist an dieser Stelle gespeichert und kann jederzeit erneut heruntergeladen werden.

Wir weisen darauf hin, dass unsere Website lediglich dem Informationszweck dient und keine Rechtsberatung darstellt. Der Inhalt dieses Angebots kann eine verbindliche Rechtsberatung nicht ersetzen. Alle Informationen verstehen sich ohne Gewähr auf Richtigkeit und Vollständigkeit.