Haufe.de Shop
Service & Support
Sie verwenden eine veraltete Browser-Version. Dies kann unter Umständen zu Einschränkungen in der Funktion sowie Darstellung führen. Daher empfehlen wir Ihnen, einen aktuellen Browser wie z.B. Microsoft Edge zu verwenden.
Anmelden
  • Personal
  • Steuern
  • Finance
  • Immobilien
  • Controlling
  • Öffentlicher Dienst
  • Recht
  • Arbeitsschutz
  • Sozialwesen
  • Sustainability
  • Themen
  • Haufe
  • Recht
  • Deutsches Anwalt Office Premium
  • Kanzleimanagement
  • Arbeits- & Sozialrecht
  • Familien- & Erbrecht
  • Wirtschaftsrecht
  • Miet- & Immobilienrecht
  • Verkehrsrecht
  • allg. Zivilrecht
  • Strafrecht & öffentl. Recht
  • Prozessrecht

§ 8 Auftragsverarbeitung

Anmelden und Beitrag in meinem Produkt lesen

Sie haben den Artikel bereits bewertet.
Dr. Robert Kazemi

A. Allgemeines

 

Rz. 1

Die automatisierte Datenverarbeitung wird häufig nicht von der für die Aufgabenerfüllung zuständigen Stelle (ausschließlich) selbst erledigt, sondern extern vergeben. Bereits im Jahre 2010 hatte die Art. 29-Datenschutzgruppe festgestellt,[1] dass dies "in erster Linie auf eine wachsende Tendenz hin zu einer organisatorischen Differenzierung […] zurückzuführen ist", die dahin geht, "zur Entwicklung von Lieferketten oder zur Erbringung von Dienstleistungen zwischen verschiedenen Organisationen sowie zur Auslagerung (Outsourcing) und Fremdvergabe von Dienstleistungen in dem Bestreben, die Vorteile der Spezialisierung und mögliche Skaleneffekte zu nutzen. Daher werden verschiedene Dienstleistungen immer häufiger von Dienstleistern angeboten, die ihre Rolle nicht unbedingt als Verantwortungs- oder Haftungsträger sehen." Zahlreiche Unternehmen greifen im Rahmen ihrer Personalverwaltung auf externe Dienstleister zurück, die neben der Lohnbuchhaltung auch das restliche Personalwesen verantworten. Auch diejenigen Unternehmen, die im Rahmen des Direktvertriebs versuchen, ihre Waren am Markt zu platzieren, tun dies in aller Regel nicht mit eigenen hierfür vorgehaltenen Ressourcen (z.B. Call-Centern), sondern greifen für die Durchführung einer Direktmarketingaktion auf spezialisierte Dienstleister zurück. Vom virtuellen Sekretariat bis hin zum vollkommen virtuellen "Büro ohne Büro" bieten sich für Unternehmen jeder Branche zahlreiche Möglichkeiten des Outsourcings. Die mit derartigen Maßnahmen verbundene Flexibilität wird dort datenschutzrechtlich relevant, wo Vorgänge im Zusammenhang mit personenbezogenen Daten betroffen sind.

 

Rz. 2

Das Datenschutzrecht sperrt sich nicht generell gegen derartige Maßnahmen, sondern lässt diese vielmehr einem besonderen Regelungsregime unterfallen, der sog. Auftragsverarbeitung, die in der Bundesrepublik Deutschland bislang als Auftragsdatenverarbeitung bezeichnet und in § 11 BDSG geregelt war. Die Besonderheit der Auftragsverarbeitung lag in einer partiellen Außerkraftsetzung des datenschutzrechtlichen Offenlegungs- und Übermittlungsbegriffs, die dadurch erreicht wurde, dass in die Verarbeitung eingebundene Dienstleister, die sich über eine den Vorgaben des § 11 BDSG genügende vertragliche Vereinbarung (sog. Auftragsdatenverarbeitungsvereinbarung) gegenüber dem Verantwortlichen verpflichtet hatten, nicht als "Dritte", sondern weitgehend "wie ein Teil des Verantwortlichen" selbst behandelt wurden. Entsprechende Vorgaben fanden sich auch in Art. 17 Abs. 2 und 3 der Datenschutzrichtlinie.

 

Rz. 3

Die DSGVO behält dies im Grundsatz bei, nimmt den Auftragsverarbeiter jedoch weit mehr in die (Mit-)Verantwortung als bisher. Die Kernregelung zur Auftragsverarbeitung findet sich in Art. 28 DSGVO, der Auftragsverarbeiter ist jedoch auch in zahlreichen anderen Normen adressiert, weswegen der Auftragsverarbeitung nach der DSGVO an dieser Stelle ein eigener zusammenhängender Abschnitt gewidmet wird.

[1] Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen "für die Verarbeitung Verantwortlicher" und "Auftragsverarbeiter", WP 169, 8.

B. Begriff und rechtliche Grundlage der Auftragsverarbeitung

I. Stellung des Auftragsverarbeiters – Abgrenzung zum Verantwortlichen

 

Rz. 4

Art. 4 Nr. 8 DSGVO definiert den Auftragsverarbeiter als "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet". Diese Definition fand sich bereits in der Datenschutzrichtlinie. Für sich genommen ist sie kaum geeignet, den Auftragsverarbeiter von den anderen Beteiligten datenschutzrechtlicher Verarbeitungen abzugrenzen. Die Legaldefinition macht deutlich, dass der Auftragsverarbeiter im Auftrag eines "Verantwortlichen" handelt und damit seinerseits hinsichtlich der im Auftrag durchgeführten Verarbeitung nicht selbst Verantwortlicher ist. Hierfür spricht auch Art. 28 Abs. 10 DSGVO, der anordnet, dass nur ein Auftragsverarbeiter, der unter Verstoß gegen die Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf die betroffenen Verarbeitungen als Verantwortlicher gilt, was im Umkehrschluss bedeutet, dass dies in allen anderen Fällen nicht der Fall sein soll.

 

Rz. 5

Der Auftragsverarbeiter ist vom Verantwortlichen und insbesondere vom "gemeinsam Verantwortlichen" im Sinne des Art. 26 DSGVO abzugrenzen. Maßgeblich ist, dass nur der Verantwortliche über Mittel und Zwecke einer spezifischen Verarbeitung (das Wie und Warum) entscheidet,[2] also Art und Umfang der Verarbeitung von Daten […] beeinflusst, steuert, gestaltet und/oder sonst kontrolliert. Eine Stelle, die weder einen rechtlichen noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie und warum personenbezogene Daten verarbeitet werden, kann nicht als für die Verarbeitung Verantwortlicher angesehen werden.[3]

 

Rz. 6

Die Art. 29-Datenschutzgruppe[4] definiert den "Zweck" als das "erwartete Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet". Die "Mittel" werden als die "Art und Weise, wie ein solches Ergebnis oder Ziel erreicht wird" definiert. Der Mittel-Begriff soll...

Dieser Inhalt ist unter anderem im Deutsches Anwalt Office Premium enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene Beiträge
  • Haushaltsnahe Dienstleistungen und Handwerkerleistungen / 7.3 Begünstigte Aufwendungen
    3.094
  • § 13 Zinsloses Darlehen unter nahen Angehörigen / B. Schenkungsteuer
    2.305
  • Abgrenzung von Anschaffungskosten, Herstellungskosten un ... / 5 Anschaffungsnaher Aufwand
    2.248
  • § 2 Die Gebühren nach dem RVG / 1. Einigungsgebühr, Nr. 1000, 1003, 1004 VV RVG
    1.957
  • Lebensalter / 1 Vollendung eines Lebensjahres
    1.926
  • § 57 Zivilprozessrecht / II. Muster: Klageschriften
    1.904
  • Kündigungsfristen (Miete) / 3 Kündigungsfrist bei Geschäftsräumen
    1.741
  • Rohrverstopfung (Mietrecht)
    1.725
  • § 4 Arbeitsrecht / 9. Muster: Anschreiben Urlaubsansprüche und deren drohender Verfall
    1.621
  • Schwangerschaft: Beschäftigungsverbot oder Arbeitsunfähigkeit
    1.576
  • Die verbilligte Vermietung von Wohnungen
    1.564
  • Gewerblicher Grundstückshandel / 2.2 Erwerb und Veräußerung innerhalb von 5 Jahren
    1.485
  • § 2 Die Gebühren nach dem RVG / 2. Geschäftsgebühr, Nr. 2300 VV RVG
    1.288
  • Garage/Stellplatz im Mietrecht / 6 Umsatzsteuerbefreiung?
    1.276
  • § 2 Die Gebühren nach dem RVG / III. Anerkenntnis
    1.246
  • § 14 Widerruf der Vollmacht / E. Widerrufserklärung
    1.232
  • § 4 Arbeitsrecht / b) Muster: Fortbildungsvertrag
    1.200
  • § 3 Die Gebühren des RVG / I. Sozialrechtliche Verfahren
    1.173
  • § 4 Arbeitsrecht / 8. Muster: Anzeige eines Reduzierungswunsches nach § 8 Abs. 1 TzBfG
    1.153
  • Jahresabrechnung (WEMoG) / 1.5 Mit wem ist abzurechnen?
    1.147
Top-Themen
Downloads
Zum Haufe Shop
Produktempfehlung

Zum Thema Recht
Datenschutz-Grundverordnung: Verantwortlichkeit und Pflichten des Verantwortlichen nach der DSGVO
DSGVO_Buisness Mann zeigt auf Schriftzug DSGVO mit Schloss
Bild: Gerd Altmann/ pixabay.com

Bei der Datenverarbeitung bedienen sich Unternehmen regelmäßig der Unterstützung durch verschiedene Dienstleister. Damit stellt sich in Praxis vielfach die Frage, welche der beteiligten Akteure welche Datenschutzvorgaben zu beachten haben. 
Haufe Shop: Mergers & Acquisitions
Mergers & Acquisitions
Bild: Haufe Shop

M&A-Aktivitäten umfassen ein breites Themenspektrum, zu dem Unternehmenskäufe und -verkäufe, Beteiligungen, Fusionen und Joint Ventures genauso gehören wie strategische Allianzen. Die Motive für M&A-Aktivitäten können vielfältig sein, sie reichen von Wachstum über Restrukturierungen bis zu Nachfolgeregelungen. Über 80 renommierte Autorinnen und Autoren aus Unternehmens- und Rechtsberatung und aus der Wissenschaft analysieren in diesem Praxisbuch den M&A-Markt aus der Markt-, Transaktions- und Rechtsperspektive. Neu ist die Berücksichtigung von Entwicklungen im Kontext Nachhaltigkeit.
Dokumentationspflichten (DS... / 5 Auftragsverarbeitung
Dokumentationspflichten (DS... / 5 Auftragsverarbeitung

Werden personenbezogene Daten im Auftrag durch andere Personen oder Stellen verarbeitet, liegt eine Auftragsverarbeitung vor (Art. 8 Abs. 1 DSGVO). Voraussetzung hierfür ist, dass die andere Stelle den Weisungen des Auftraggebers unterworfen ist und keine ...

4 Wochen testen
Newsletter Recht
Bild: Haufe Online Redaktion
Newsletter Recht - Wirtschaftsrecht

Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:

  • Handels- und Gesellschaftsrecht
  • Gewerblicher Rechtsschutz
  • Vertriebsrecht
Pflichtfeld: Bitte geben Sie eine gültige E-Mail Adresse ein.
Sie müssen den AGB zustimmen
Haufe Fachmagazine
Zum Recht Archiv
Themensuche A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #
Haufe Group
Haufe Onboarding Software
Haufe Fachwissen
Haufe HR Services
Haufe Digitale Personalakte
Advolux
Haufe Onlinetraining
rudolf.ai - Haufe meets AI
Weiterführende Links
RSS
Newsletter
FAQ
Mediadaten
Presse
Editorial Code of Conduct
Redaktionsrichtlinie zum KI-Einsatz
Netiquette
Sitemap
Buchautor:in werden bei Haufe
Kontakt

Kontakt & Feedback
Datenschutz

AGB
Impressum
Haufe Shop Recht
Anwaltssoftware
Anwaltliches Fachwissen Software
Gesellschafts- & Wirtschaftsrecht Lösungen
Alle Recht Produkte

    Weitere Produkte zum Thema:

    × Profitieren Sie von personalisierten Inhalten, Angeboten und Services!

    Unser Ziel ist es, Ihnen eine auf Ihre Bedürfnisse zugeschnittene Website anzubieten. Um Ihnen relevante und nützliche Inhalte, Angebote und Services präsentieren zu können, benötigen wir Ihre Einwilligung zur Nutzung Ihrer Daten. Wir nutzen den Service eines Drittanbieters, um Ihre Aktivitäten auf unserer Website zu analysieren.

    Mit Ihrer Einwilligung profitieren Sie von einem personalisierten Website-Erlebnis und Zugang zu spannenden Inhalten, die Sie informieren, inspirieren und bei Ihrer täglichen Arbeit unterstützen.

    Wir respektieren Ihre Privatsphäre und schützen Ihre Daten. Sie können sich jederzeit darüber informieren, welche Daten wir erheben und wie wir sie verwenden. Sie können Ihre Einwilligung jederzeit widerrufen. Passen Sie Ihre Präferenzen dafür in den Cookie-Einstellungen an.

    Mehr Informationen Nein, Danke Akzeptieren