Auftragsverarbeitung und internationaler Datentransfer

Auftragsverarbeitungsvertrag (AVV)

Ein AVV regelt die Zusammenarbeit zwischen Ihrem Unternehmen als verantwortlichem Akteur und externen Dienstleistern als Auftragsverarbeitern. Der AVV ist immer dann erforderlich, wenn Dritte in Ihrem Auftrag personenbezogene Daten verarbeiten, z. B. Cloud-Anbieter, IT-Support-Firmen oder eine externe Lohnbuchhaltung.

Die Anforderungen an die Auftragsverarbeitung sind in Art. 28 DSGVO geregelt, einschließlich Zweck, Datenart, Sicherheitsmaßnahmen sowie Löschung oder Rückgabe der Daten.

Standardvertragsklauseln (SCC)

SCC sind spezielle von der EU-Kommission vorgegebene Vertragsbestimmungen für den Transfer personenbezogener Daten in Länder außerhalb der EU ohne Angemessenheitsbeschluss. Sie stellen sicher, dass auch im Ausland ein angemessenes Datenschutzniveau gewährleistet wird.

Der Unterschied: Eine AVV wird gemäß Art. 28 DSGVO abgeschlossen, wenn ein Verantwortlicher einen Auftragsverarbeiter innerhalb der EU oder des Europäischen Wirtschaftraums (EWR) beauftragt. Wird ein Auftragsverarbeiter in einem Drittland ohne Angemessenheitsbeschluss beauftragt, reicht die AVV allein nicht aus – hier kommen zusätzlich SCC zum Einsatz.

Beispiel: Bei der Inanspruchnahme von US-Cloud-Anbietern ist eine Kombination von AVV (nach Art. 28 DSGVO) und SCC (nach Art. 46 DSGVO) häufig Standard.

Datentransfer nach Europa

Innerhalb der EU und des EWR können personenbezogene Daten frei übertragen werden, da überall die DSGVO gilt. Problematisch wird es bei Transfers in Drittländer.

Für sichere Drittländer mit Angemessenheitsbeschluss (z. B. Schweiz, Großbritannien, Kanada oder Japan) sind keine besonderen Maßnahmen nötig. Bei anderen Ländern müssen Sie geeignete Garantien wie Standardvertragsklauseln (SCC) verwenden oder sich auf Ausnahmen berufen (z. B. Einwilligung der betroffenen Person).

Besonderheit USA: Seit 2023 gilt das „Data Privacy Framework“ für zertifizierte US-Unternehmen als Angemessenheitsgrundlage, nachdem die Vorgängerregelungen „Safe Harbor“ und „Privacy Shield“ gescheitert waren.

Konzernstrukturen

Auch innerhalb eines Konzerns gelten die DSGVO-Regeln vollständig. Jede Gesellschaft ist datenschutzrechtlich grundsätzlich eigenständig verantwortlich. Datenaustausch zwischen Mutter- und Tochterunternehmen erfordert eine Rechtsgrundlage (z. B. berechtigtes Interesse für Verwaltungszwecke). Im Falle internationaler Konzerne können verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) den konzernweiten Datenaustausch erleichtern.

Partnerunternehmen

Bei der Zusammenarbeit mit Partnern müssen Sie klären: Wer ist Verantwortlicher, wer Auftragsverarbeiter? Bei gemeinsamer Verantwortlichkeit (Joint Controllership) benötigen Sie eine Vereinbarung über die Aufgabenverteilung und müssen betroffene Personen über beide Verantwortliche informieren.

  • Dokumentieren Sie alle Datenflüsse in Ihrem Verzeichnis der Verarbeitungstätigkeiten.
  • Prüfen Sie regelmäßig Ihre AVV und SCC auf Aktualität.
  • Bei Zweifeln an der Rechtmäßigkeit: Holen Sie datenschutzrechtliche Beratung ein.
  • Schulen Sie Mitarbeiter, die mit Partnern oder Dienstleistern zusammenarbeiten.

Sind Steuerberaterinnen bzw. Steuerberater Auftragsverarbeiter im Sinne der DSGVO?

Gesetzliche Regelung klärt das Verhältnis zwischen Steuerberaterin/Steuerberater und Unternehmen. Die Neufassung von § 11 Steuerberatungsgesetz stellt klar, dass Steuerberaterinnen/Steuerberater keine Auftragsverarbeiter im Sinne des Art. 28 DSGVO sind und daher kein Vertrag zur Auftragsverarbeitung notwendig ist.

Vorherige Lerninhalt
Konsequenzen bei Verstößen und Nichtaktivität
Nächste Lerninhalt
Zentrale IT-Verfahren und Datenschutz – Worauf kommt es an?
Lernthemenauswahl
Lernthemen nach Schlagwörtern

Haben Sie Fragen oder benötigen Sie ein Angebot? Wir stehen Ihnen gerne zur Verfügung und beantworten Ihre Anfragen so schnell wie möglich.

Name *
Fill out this field
E-Mail *
Please enter a valid email address.
Ihre Nachricht *
Fill out this field