Was müssen wir bei der Auftragsverarbeitung mit Dienstleistern beachten?

Viele Unternehmen setzen externe Dienstleister ein – zum Beispiel für IT-Hosting, Cloud-Speicher, Lohnbuchhaltung oder Marketingtools. Sobald diese Dienstleister personenbezogene Daten im Auftrag verarbeiten, spricht man rechtlich von einer Auftragsverarbeitung (AV) nach Art. 28 DSGVO.

 

Wann liegt Auftragsverarbeitung vor?

Auftragsverarbeitung liegt immer dann vor, wenn ein externer Anbieter im Auftrag und nach Weisung personenbezogene Daten verarbeitet. Typische Beispiele:

  • IT-Dienstleister mit Zugriff auf Kundendatenbanken,
  • Cloud-Anbieter für E-Mail- oder Dateispeicher,
  • externe Lohnbüros oder HR-Softwareanbieter,
  • Newsletter-Tools (z. B. Mailchimp).

Kein Fall der Auftragsverarbeitung ist es, wenn der Dienstleister selbst verantwortlich für die Datenverarbeitung ist (z. B. Steuerberater oder Rechtsanwälte).

 

Pflichten für Unternehmen

Als Auftraggeber bleibt das Unternehmen voll verantwortlich für die Einhaltung der DSGVO. Es reicht nicht aus, die Verantwortung „an den Dienstleister abzugeben“. Deshalb sind klare Regeln notwendig.

1. Auftragsverarbeitungsvertrag (AVV)

  • Schriftlich oder elektronisch abzuschließen (Art. 28 DSGVO).

Muss u. a. regeln:

    • Gegenstand und Dauer der Verarbeitung,
    • Art der Daten und Betroffenen,
    • technische und organisatorische Maßnahmen,
    • Rechte und Pflichten des Auftraggebers,
    • Unterauftragsverhältnisse (Subunternehmer).

2. Auswahl des Dienstleisters

Unternehmen sind verpflichtet, sorgfältig zu prüfen, ob der Anbieter ausreichende Garantien für Datenschutz und Datensicherheit bietet. Kriterien können sein:

  • Zertifizierungen (ISO 27001, BSI C5 etc.),
  • Referenzen und Erfahrung,
  • Standort der Datenverarbeitung (EU oder Drittland).

3. Kontrolle und Dokumentation

  • Regelmäßige Überprüfung der Einhaltung des AVV,
  • ggf. Auditrechte nutzen,
  • Dokumentation im Datenschutzmanagementsystem.

 

Risiken bei Verstößen

  • Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes,
  • Imageschäden durch Datenpannen beim Dienstleister,
  • mögliche Schadensersatzforderungen durch Betroffene.

 

Praxisbeispiel

Ein Unternehmen nutzt einen Cloud-Dienst für Kundenprojekte. Ohne AVV wäre das ein DSGVO-Verstoß. Mit einem klaren Vertrag, definierten TOMs und regelmäßiger Kontrolle bleibt die Verarbeitung rechtssicher.

 

Fazit

Die Zusammenarbeit mit Dienstleistern ist heute unverzichtbar – doch sie muss rechtlich sauber abgesichert sein. Mit einem sorgfältigen AVV, klaren Prüfprozessen und dokumentierten Maßnahmen bleiben Unternehmen auf der sicheren Seite.

 

Wir prüfen und erstellen für Sie rechtssichere Auftragsverarbeitungsverträge – kontaktieren Sie uns für ein kostenfreies Erstgespräch.

👉 Kontaktieren Sie uns für ein kostenfreies Erstgespräch zur DSGVO

✉ Kostenloses Erstgespräch

 

Wir sind Experten für Datenschutz und IT-Sicherheit – seit 2003

Unsere erfahrenen Spezialisten unterstützen Sie unter anderem bei:

– der Einführung und Beachtung von DSGVO, BDSG und TTDSG
– der Umsetzung von ISO 27001, TISAX, PCI-DSS oder NIS-2
– der Vorbereitung auf Audits und Zertifizierungen

 

tec4net GmbH – Datenschutz und IT-Sicherheit praktikabel umsetzen.

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com

 

Alle unsere NEWS -> http://news.tec4net.comhttps://x.com/tec4net