- Anzeigen -

Sie sind hier: Home » Markt » Hinweise & Tipps

Vier Fragen zum Thema Auftragsverarbeitung


In nahezu allen Branchen steigt die Bedeutung des Outsourcings von Daten
Artikel 4 Nummer 8 der DSGVO zufolge kann "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet", als Auftragsverarbeiter fungieren

- Anzeigen -





Jeder, der sich in den vergangenen Monaten mit der Datenschutz-Grundverordnung, kurz DSGVO, beschäftigt hat, stieß dabei unwiderruflich auf den Begriff Auftragsverarbeitung. Die Regeln zur Auftragsverarbeitung finden sich in den Artikeln 28 und 29 der DSGVO. Doch nur die wenigsten wissen auch, was sich wirklich dahinter verbirgt. Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG., beantwortet die vier wichtigsten Fragen zum Thema Auftragsverarbeitung und erklärt, warum diese für fast alle Unternehmen ein "Muss" darstellt:

Was ist die Auftragsverarbeitung?
In nahezu allen Branchen steigt die Bedeutung des Outsourcing von Daten. Der Grund: Um Ressourcen wie Kosten, Raum und Zeit zu sparen, nutzen viele Unternehmen nicht nur externe Speicher, sondern lagern zudem immer mehr Arbeitsprozesse vollständig an externe Dienstleister aus – sei es die Nutzung eines externen Rechenzentrums oder die Beauftragung eines Callcenters oder einer Marketingagentur, die in irgendeiner Form Kundendaten verarbeitet. Das Hauptmerkmal der Auftragsverarbeitung besteht darin, dass Unternehmen als Auftraggeber externe Dienstleister, in diesem Fall Auftragnehmer genannt, damit beauftragen, personenbezogene Daten weisungsgebunden zu verarbeiten.

Was zeichnet einen Auftragsverarbeiter aus?
Artikel 4 Nummer 8 der DSGVO zufolge kann "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet", als Auftragsverarbeiter fungieren. Auch wenn der Auftragsverarbeiter bestimmte Entscheidungen selbst treffen kann, hat er hinsichtlich des Zweckes der Verarbeitung keine Entscheidungsgewalt. So zählen beispielsweise EDV-, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Unternehmensdaten, externe Rechenzentren, Agenturen, Callcenter, aber auch E-Mail-Provider oder Cloud-Anbieter zum Auftragsverarbeiter. Der Auftragsverarbeiter muss garantieren, dass seine technischen und organisatorischen Maßnahmen den Datenschutzbestimmungen entsprechen.

Wer trägt die Verantwortung?
Die Hauptverantwortung für die Einhaltung datenschutzrechtlicher Anforderungen bei der Verarbeitung von personenbezogenen Daten liegt noch immer beim Auftraggeber, denn eine Auslagerung der Datenverarbeitung befreit ihn nicht von seinen datenschutzrechtlichen Pflichten. Das bedeutet: Das Unternehmen, das den Auftrag erteilt, fungiert weiterhin als Ansprechpartner hinsichtlich der Betroffenenrechte, beispielsweise bei Auskunftsanfragen oder Löschanliegen. Der Auftragnehmer, der in diesem Fall als Auftragsverarbeiter bezeichnet wird, erhält je nach vertraglicher Gestaltung die Befugnisse hinsichtlich der Auswahl der Datenverarbeitungsmittel. In jedem Falle gibt der Auftraggeber die technischen und organisatorischen Maßnahmen vor, die der Auftragsverarbeiter einhalten muss. Für gewöhnlich hat der Auftragsverarbeiter hier aber noch Spielräume. So wird beispielsweise vorgegeben, dass das Netzwerk durch eine Firewall gesichert werden muss, jedoch nicht Hersteller oder Modell der Firewall. Zudem darf der Auftragsverarbeiter die Daten nicht für seine eigenen Zwecke nutzen. Bei der Auswahl des Auftragsverarbeiters muss der Verantwortliche sicherstellen, dass dieser die Vorgaben der Datenschutz-Grundverordnung einhält. Grundlage der Auftragsverarbeitung stellt ein Vertrag zwischen Verantwortlichen und Auftragsverarbeiter dar.

Existieren hinsichtlich des Vertrages Besonderheiten?
Der DSGVO zufolge muss der Vertrag schriftlich zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgefasst werden, was auch in einem elektronischen Format erfolgen kann. Er muss eine genaue Tätigkeitsbeschreibung beinhalten, zudem muss für jede Form der Datenverarbeitung ein konkreter zuordenbarer Auftrag des Verantwortlichen existieren. Außerdem muss er eine detaillierte Beschreibung aller Verarbeitungsmodalitäten enthalten. Darüber hinaus beinhaltet der Artikel 28 weitere Punkte, wie beispielsweise Regelungen, ob und unter welchen Bedingungen Unterauftragnehmer eingesetzt werden dürfen. (Hubit: ra)

eingetragen: 17.08.19
Newsletterlauf: 02.10.19

Hubit Datenschutz: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Für welche Unternehmen gilt die XRechnungspflicht?

    Zulieferer öffentlicher Behörden auf Bundesebene sowie in Bremen müssen ihre Rechnungen ab 27. November 2020 elektronisch ausstellen: PDF-Dokumente ohne strukturierte Zusatzinformationen gelten dann nicht mehr als elektronische Rechnung. Unternehmen, welche diese Verpflichtung unmittelbar betrifft, haben bereits vorgesorgt oder rüsten jetzt ihr Unternehmen rechtssicher - mit der XRechnung. Um die Kriterien zu erfüllen müssen E-Rechnungen zwingend als strukturierter Datensatz ausgetauscht und ausgelesen werden können. Dazu wird hierzulande das Format XRechnung als Standard etabliert - die XRechnung ist ein XML-basiertes semantisches Datenmodell, mit dem Deutschland die Vorgaben des Europäischen Komitees für Normung (CEN) für die in einer elektronischen Rechnung enthaltenen Daten realisiert. Von Seiten des Bundes wurden bereits mit Stichtag 18. April die Weichen für die Umstellung auf die digitale Rechnung gestellt.

  • Die E-Rechnung in Wirtschaft und Verwaltung

    Die öffentliche Verwaltung treibt den Abschied vom Papier voran: Ab dem 27. November 2020 wird die elektronische Rechnungsstellung und -übermittlung für alle Unternehmer, die im Auftrag des Bundes tätig werden, Pflicht. Länder und Kommunen müssen bereits seit April elektronische Rechnungen annehmen. Für viele Unternehmen ist diese Umstellung eine Herausforderung, immerhin erstellt derzeit noch ein Drittel Rechnungen überwiegend oder sogar ausschließlich in Papierform (33 Prozent). Der Digitalverband Bitkom hat jetzt eine neue Version des Faktenpapiers "10 Merksätze für elektronische Rechnungen" veröffentlicht, das kleinen, mittleren und großen Betrieben bei der Umstellung auf die E-Rechnung hilft. Denn diese muss in einem bestimmten strukturierten Format erstellt werden und eine automatische Verarbeitung ermöglichen - es handelt sich also nicht um eine elektronisch versendete Rechnung, die etwa als PDF an eine Mail angehängt wird.

  • Einrichtung eines Überwachungssystems

    Die Frage, wie das Überwachungssystem eines Unternehmens und das Zusammenspiel der einzelnen Unternehmensfunktionen ausgestaltet werden, lässt der Gesetzgeber weitestgehend unbeantwortet. Interne Revision und Risikomanagement sind wichtige Funktionen der Unternehmensführung und insbesondere des Überwachungssystems. Die Frage des Zusammenwirkens dieser beiden wichtigen Unternehmensfunktionen ist nun Thema einer neuen Stellungnahme von DIIR - Deutsches Institut für Interne Revision e.V. und RMA Risk Management & Rating Association e.V.

  • Auswirkungen der Corona-Krise

    Die Stundung von Sozialversicherungs- und Berufsgenossenschaftsbeiträgen gehört zum Maßnahmenkatalog der Bundesregierung, um die wirtschaftlichen Folgen der Corona-Krise abzumildern. Diese Option wird insbesondere von Zeitarbeitsfirmen vermehrt genutzt, so das IZS Institut für Zahlungssicherheit, Risiko-Informationsdienstleister für die deutsche Zeitarbeitsbranche. Für Zeitarbeitskräfte leihende Unternehmen erhöht sich damit das Risiko der Subsidiärhaftung deutlich, warnt das IZS. Diese greift, wenn Personaldienstleister fällige Beiträge zur Sozialversicherung (SV) und zur Berufsgenossenschaft (BG) nicht bezahlen können. Verschärft wird die Situation der Branche durch die reale Rezessionsgefahr, so dass perspektivische Umsätze ebenfalls bedroht sind.

  • Compliance braucht mehr als ein gutes Leitbild

    Kein wirtschaftlicher Akteur kommt mehr am Thema Compliance vorbei. Denn die "Einhaltung geltender Regeln", mit der der Begriff Compliance oft übersetzt wird, wird von Jahr zu Jahr komplexer: Durchschnittlich 11.000 Regeln und Dokumentationspflichten müssen Unternehmen hierzulande im Blick haben. "Das Compliance-Management muss fünf Funktionen erfüllen können, um den Betrieb vor Regelverstößen zu schützen - und diese möglichst schon vorbeugend auszuschließen", weiß Björn Grabe, Chief Service Delivery Officer (CSDO) von Optimal Systems, Spezialist für Enterprise Content Management (ECM)-Lösungen.