Auftragsverarbeitung ist ein Konzept das im Zusammenhang mit der Verarbeitung von Daten durch Dritte für eine Organisati

Im Rahmen einer Auftragsverarbeitung werden Datenverarbeitungsaufgaben von einem Verantwortlichen an einen Auftragnehmer übertragen. Dies kann aus verschiedenen Gründen sinnvoll sein, beispielsweise wenn der Auftraggeber über nicht ausreichende Ressourcen oder Fähigkeiten verfügt, um bestimmte Datenverarbeitungsaufgaben selbst durchzuführen, oder wenn es für ihn ökonomischer ist, sich einen spezialisierten Dienstleister zu suchen.

Im Rahmen der Auftragsdatenverarbeitung trägt der Auftragnehmer die Verantwortung für die ordnungsgemäße Verarbeitung der Daten und muss entsprechende technische und organisatorische Maßnahmen ergreifen, um die Sicherheit und Integrität der Daten zu gewährleisten. Der Auftraggeber bleibt jedoch der datenschutzrechtliche Verantwortliche und trägt die Verantwortung für die Einhaltung der geltenden datenschutzrechtlichen Vorschriften.

Die Idee der Auftragsverarbeitung entstand in den 1960er Jahren, als Unternehmen zunehmend auf externe Dienstleister für die Verarbeitung ihrer Daten angewiesen waren. Zu dieser Zeit entstanden die ersten IT-Dienstleister, die sich auf die Verarbeitung von Daten für andere Unternehmen spezialisierten. Beispiele für solche frühen IT-Dienstleister sind Unternehmen wie Electronic Data Systems und die Computer Sciences Corporation, die heute noch immer im Bereich der Auftragsverarbeitung tätig sind.

Die ersten Vereinbarungen zur Auftragsverarbeitung wurden in dieser Zeit getroffen, um festzulegen, wie die Verantwortung und Haftung für die verarbeiteten Daten zwischen Auftraggeber und Auftragnehmer verteilt werden sollten. Im Laufe der Jahre hat sich die Auftragsverarbeitung zu einem etablierten Konzept entwickelt, das von vielen Unternehmen in unterschiedlichen Branchen genutzt wird.

Bei der Auftragsverarbeitung müssen im Regelfall bestimmte rechtliche Aspekte beachtet werden, um die Datenschutzrechte der Personen zu schützen deren Daten verarbeitet werden.

In vielen Ländern gibt es spezifische Gesetze und Vorschriften, die die Auftragsverarbeitung regeln und festlegen, unter welchen Bedingungen sie stattfinden darf. Im Europäischen Wirtschaftsraum ist dies die Datenschutz-Grundverordnung. Diese Regelungen können unterschiedlich ausfallen und es ist wichtig, sich im Vorfeld über die jeweils geltenden Bestimmungen zu informieren.

Im Allgemeinen bleibt der Auftraggeber für die Verarbeitung der personenbezogenen Daten verantwortlich und auch haftet dafür, dass die Datenverarbeitung im Einklang mit den geltenden Datenschutzbestimmungen erfolgt. Der Auftragnehmer hingegen ist dafür verantwortlich, die Anweisungen des Auftraggebers zu befolgen und die personenbezogenen Daten im Rahmen der vereinbarten Auftragsverarbeitung zu verarbeiten.

In vielen Fällen wird ein Vertrag geschlossen, der die Rechte und Pflichten beider Seiten im Zusammenhang mit der Auftragsverarbeitung klärt und festlegt.

Auftragsverarbeitung im europäischen Datenschutzrecht Bearbeiten

Das europäische Datenschutzrecht regelt die Verarbeitung von personenbezogenen Daten durch Auftragsverarbeiter weitgehend. Kern der Regelung ist Artikel 28 der Datenschutz-Grundverordnung (bzw. die überwiegend wortlautgleichen Artikel 22 der Richtlinie (EU) 2016/680 für Justiz und Polizeibehörden und Artikel 29 der Verordnung (EU) 2018/1725 für die Organe und Einrichtungen der EU). Zunächst muss die verantwortliche Stelle dem Auftragsverarbeiter einen Auftrag erteilen, die unter anderem die Art und Zwecke der Verarbeitung der personenbezogenen Daten festlegen. Der Auftrag kann die Form eines Auftragsverarbeitungsvertrags haben, kann aber auch die Anlage zu einem Hauptvertrag (Datenschutz-Anhang, englisch „data protection addendum“, DPA) haben. Beide Verordnungen und die Richtlinie sehen vor, dass der Vertrag auch vollständig aus von der Europäischen Kommission vorgegebenen Standardverträgen bestehen kann (Standardvertragsklauseln), diese Klauseln dürfen im Kern nicht von den Vertragsparteien geändert werden und werden nur durch die Spezifika der Verarbeitung (z. B. die Kategorien der verarbeiteten Daten und die einzuhaltenden technischen und organisatorischen Maßnahmen) ergänzt. Die Vereinbarung muss nicht schriftlich verfasst sein, sollte jedoch die Textform haben um den Dokumentationsansprüchen der datenschutzrechtlichen Anforderungen zu genügen.

Die Stelle, die den Auftrag erhält, ist verpflichtet, die von der verantwortlichen Stelle erteilten Aufträge genau zu befolgen und darf die personenbezogenen Daten nur zu den im Auftrag festgelegten Zwecken verarbeiten. Sie ist ebenfalls verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die personenbezogenen Daten vor Verlust, Zerstörung, Verfälschung oder unbefugtem Zugriff zu schützen. Die verantwortliche Stelle bleibt für die rechtmäßige Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter verantwortlich. Sie muss sicherstellen, dass der Auftragsverarbeiter die geltenden Datenschutzvorschriften einhält und darf dem Auftragsverarbeiter keine Aufträge erteilen, die gegen diese Vorschriften verstoßen. Falls der Auftragsverarbeiter der Auffassung ist, dass eine solche Weisung gegen geltendes Datenschutzrecht verstößt hat er eine Remonstrationspflicht. Wenn der Auftragsverarbeiter Weisungen der verantwortlichen Stelle nicht beachtet, wird er die verantwortliche Stelle für eine solche weisungswidrige Verarbeitung.

Angemessene Sicherheitsmaßnahmen sind relevant, um den unbefugtem Zugriff auf personenbezogene Daten bei der Auftragsverarbeitung zu verhindern und sie vor Missbrauch zu schützen. Eine Möglichkeit, die Sicherheit von personenbezogenen Daten bei der Auftragsverarbeitung zu gewährleisten, ist die Verwendung von Verschlüsselungstechnologien. Durch die Verwendung von verschlüsselten Verbindungen können die Daten vor unbefugtem Zugriff geschützt werden, wenn sie über das Internet übertragen werden. Sofern Daten durch den Auftragsverarbeiter nur Gespeichert werden sollen bietet sich die Ende-zu-Ende-Verschlüsselung an, in diesem Fall erhält der Auftragsverarbeiter keinen Zugriff auf die personenbezogenen Daten. Soll der Auftragsverarbeiter auch weitere Verarbeitungen mit den Daten durchführen hat sie darüber hinaus die Verschlüsselung der Daten bis zum Zeitpunkt der eigentlichen Verarbeitung (englisch „Encryption at rest“) durchgesetzt.

Eine organisatorische Maßnahm ist die Implementierung von Zugriffskontrollen. Durch die Vergabe von Benutzernamen und Passwörtern, sowie die Erstellung eines entsprechenden Rechte- und Rollenkonzeptes, kann sichergestellt werden, dass nur autorisierte Personen auf die personenbezogenen Daten zugreifen können.

Neben der technischen und organisatorischen Absicherung der Daten ist es auch wichtig, dass der Auftragsverarbeiter zuverlässig und vertrauenswürdig ist und sich an die relevanten Datenschutzbestimmungen hält. Dies kann durch die Wahl eines Auftragsverarbeiters mit einem guten Ruf und durch die Überprüfung der Rechtsordnung, der er unterliegt, sichergestellt werden. Insbesondere die Rechtsordnungen der Vereinigten Staaten für das Europäische Datenschutzrecht dar (Schrems I und II).

Regelmäßige Sicherheitsüberprüfungen bieten eine Grundlage, um sicherzustellen, dass die implementierten Sicherheitsmaßnahmen auch tatsächlich wirksam sind.

Ein bekanntes Beispiel für die Anwendung der Auftragsverarbeitung ist das klassische IT-Outsourcing. Unternehmen übertragen in diesem Fall die Verwaltung und Pflege ihrer IT-Infrastruktur, wie beispielsweise Server oder Software, an externe Dienstleister.

Ein weiterer Anwendungsbereich der Auftragsverarbeitung ist der Bereich Callcenter. Viele Unternehmen vergeben die Betreuung ihrer Kunden und die Bearbeitung von Anfragen an externe Call-Center-Dienstleister.

Ein weiteres Beispiel für die Anwendung der Auftragsverarbeitung ist die Lohnbuchhaltung. Die Verwaltung von Lohn- und Gehaltsabrechnungen ist ein komplexer und zeitaufwändiger Prozess, der häufig an externe Dienstleister ausgelagert wird. Auch das Löschen von Daten und das Zerstören von Datenträgern (analogen, wie Papier und digitalen, wie Festplatten) zählt als Verarbeitung personenbezogener Daten.

Außerdem wird in der Lohnbuchhaltung regelmäßig Auftragsverarbeitung betrieben. Die Verwaltung von Lohn- und Gehaltsabrechnungen ist ein komplexer und zeitaufwändiger Prozess, der an externe Dienstleister ausgelagert wird.

Neben der Auftragsverarbeitung gibt es noch die Konzepte der gemeinsamen Verantwortlichkeit. Hier gibt es kein klares Weisungsverhältnis. Zwei oder mehr Verantwortliche bestimmen gemeinsam die Mittel und Zwecke der verarbeitung.

Außerdem können personenbezogene Daten vollständig aus dem Verantwortlichkeitsbereich einer Stelle in den Verantwortlichkeitsbereich einer anderen Stelle übertragen werden. Diese andere Stelle bestimmt Mittel und Zwecke der Verarbeitung selbst. In diesem Fall muss die Datenabgebende Stelle die betroffene Person über den Empfänger der Daten informieren. Außerdem muss die Empfangende Stelle die betroffene Person über die Verarbeitung informieren – sofern nicht enge Ausnahmetatbestände vorliegen. Klassisches Beispiel hierfür ist die Weitergabe personenbezogener Daten an einen Rechtsanwalt. Die deutschen Datenschutzaufsichtsbehörden sind der Meinung, dass die Übermittlung personenbezogener Daten an einen Post- oder Paketzusteller ebenfalls keine Auftragsverarbeitung, sondern die Übertragung personenbezogener Daten an einen eigenen Verantwortlichen darstellt.

1. Jeffrey Yost: Making IT Work: A History of the Computer Services Industry (= History of Computing). MIT Press, 2017, ISBN 978-0-262-03672-6, Managing Facilities: Electronic Data Systems, 1962–1984, S. 135 ff. (englisch). 
2. Kurzpapier Nr. 13: Auftragsverarbeitung, Art. 28 DS-GVO. (PDF; 360 KB) In: datenschutzkonferenz-online.de. 17. Dezember 2018, abgerufen am 15. Dezember 2022.