Auftragsverarbeiter

Ausführliche Erklärung

Ein Auftragsverarbeiter wird umgangssprachlich auch als "verlängerter Arm" des Verantwortlichen bezeichnet. Er übernimmt Teile der Datenverarbeitung, die sonst der Verantwortliche selbst durchführen würde, handelt jedoch ausschließlich weisungsgebunden. Der Verantwortliche bleibt alleinig verantwortlich für die Rechtmäßigkeit der Datenverarbeitung und gibt dem Auftragsverarbeiter konkrete Anweisungen, wie die Daten verarbeitet werden sollen. Der Auftragsverarbeiter darf die überlassenen Daten nicht für eigene Zwecke nutzen.

Für KMU ist das Thema allgegenwärtig: Cloud-Dienste, Lohnverrechnungsbüros, Newsletter-Tools, IT-Wartungsanbieter oder Datenträgerentsorger sind typische Auftragsverarbeiter. Seit Inkrafttreten der DSGVO ist für jedes dieser Verhältnisse ein schriftlicher Auftragsverarbeitungsvertrag (AVV) verpflichtend. Dieser Vertrag muss dokumentierte Weisungen, technisch-organisatorische Maßnahmen, Kontrollrechte und die Rückgabe oder Löschung der Daten nach Vertragsende regeln.

Die DSGVO verschärft die Anforderungen an Auftragsverarbeiter deutlich: Sie müssen ein eigenes Verzeichnis der Verarbeitungstätigkeiten führen, geeignete Sicherheitsmaßnahmen nach Art. 32 DSGVO ergreifen und den Verantwortlichen unverzüglich informieren, wenn Weisungen gegen Datenschutzrecht verstoßen. Bei Verstößen drohen Geldbußen bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Zudem haften Auftragsverarbeiter und Verantwortliche gegenüber betroffenen Personen gesamtschuldnerisch für Schäden.