Auftragsverarbeiter

Auftragsverarbeiter sind externe Dienstleister, die personenbezogene Daten ausschließlich nach den Weisungen des auftraggebenden Unternehmens verarbeiten. Sie handeln nicht eigenverantwortlich, sondern führen strikt definierte Verarbeitungstätigkeiten im Namen des Verantwortlichen durch. Typische Beispiele sind IT-Dienstleister, Marketingagenturen, Lohnbuchhaltungen oder Cloud-Anbieter wie AWS oder Microsoft.

Abgrenzung zu internen Mitarbeitern

Die DSGVO unterscheidet klar zwischen internen Mitarbeitern und externen Auftragsverarbeitern: Während eigene Angestellte durch Arbeitsverträge und interne Weisungen gebunden sind, benötigen externe Partner einen speziellen Auftragsverarbeitungsvertrag (AVV). Dieser Vertrag muss detailliert regeln, welche Daten zu welchem Zweck verarbeitet werden, welche technischen Sicherheitsmaßnahmen gelten und wie die Löschung nach Vertragsende erfolgt.

Haftung und Kontrolle

Der Verantwortliche bleibt trotz Beauftragung vollständig haftbar für die rechtskonforme Datenverarbeitung. Er muss die Zuverlässigkeit des Auftragsverarbeiters vorab prüfen und regelmäßig kontrollieren.

Rechtliche Konsequenzen

Ohne gültigen AVV gilt jeder externe Dienstleister als eigenständiger Verantwortlicher - was eine unzulässige Datenweitergabe darstellt und empfindliche Bußgelder nach sich ziehen kann.

Datenschutz Glossar