Was muss bei der Auftragsverarbeitung beachtet werden?

Seit 25. Mai 2018 gelten durch die Datenschutz-Grundverordnung (DS-GVO) erweiterte Anforderungen im Bereich der Auftragsverarbeitung nach Art. 28 DS-GVO. Hier ergänzt die DS-GVO das Gesellschaftsrecht und schreibt eine Fixierung von Verträgen in schriftlicher oder elektronischer Form vor, sobald personenbezogene Daten im Auftrag verarbeitet werden. Das betrifft bspw. die Beauftragung von Lohnbüros, Call Centern oder IT-Dienstleistern.

Der Gesetzgeber hat in Art. 28 DS-GVO zahlreiche Vorgaben für Auftragsverarbeitungsverträge (AVV) erlassen: sie reichen von der Beschreibung der Datenverarbeitung über die Kontrollrechte des Auftraggebers bis hin zu IT-Sicherheitsmaßnahmen beim Auftragnehmer. Vergisst man einen dieser Punkte, kann das zu einem Bußgeld von bis zu 10 Mio. Euro oder - sofern höher - 2% des weltweiten Konzernvorjahresumsatzes führen.

Zu beachten ist außerdem:

• Die Datenverarbeitung verantwortet der Aufraggeber. Der Auftragnehmer ist lediglich sein Erfüllungsgehilfe.
• Der Aufraggeber haftet gemeinsam mit dem Auftragsverarbeiter für alle Datenschutzverstöße im Rahmen der Auftragsverarbeitung.
• Der Auftraggeber muss ein Kontrollrecht vor Ort beim Auftragsverarbeiter besitzen, um prüfen zu können, ob der Auftragnehmer die Daten ausschließlich gemäß dem Vertrag verarbeitet und sicher aufbewahrt.