Verantwortung und Grenzen in der Auftragsverarbeitung

Einleitung 

In der Auftragsverarbeitung, oft auch als „Datenverarbeitung im Auftrag“ bezeichnet, verarbeiten Dienstleister Daten im Namen und nach den Weisungen des Verantwortlichen. Dieses Verhältnis erfordert ein tiefes Verständnis und eine strikte Einhaltung der Datenschutzprinzipien. 

Der Verantwortliche, auch „Auftraggeber“ genannt, ist die Instanz, die personenbezogenen Daten einer betroffenen Person unter Berücksichtigung spezifischer Schutzmaßnahmen und Richtlinien ursprünglich erhoben hat. Dabei wurden der Verarbeitungszweck sowie die Schutzmechanismen gemäß der Sensibilität der zu verarbeitenden Daten festgelegt. Der Auftragsverarbeiter, also der Empfänger dieser Daten, hat den Auftrag, die Daten gemäß dieser Vorgaben weiterzuverarbeiten, wobei das vertraglich festgelegte Datenschutzniveau nicht unterschritten werden darf. Die vertragliche Vereinbarung zwischen Auftragsverarbeiter und Verantwortlichem (Vertrag zur Auftragsverarbeitung, AVV) definiert darüber hinaus sämtliche Rechten und Pflichten des Auftraggebers und des Auftragnehmers. Sollte der Auftragsverarbeiter seinen Sitz außerhalb der EU haben, ist es erforderlich, eine Standardvertragsklausel zu unterzeichnen, die auf einem von der EU bereitgestellten Muster basiert. 

Grundlagen der Auftragsverarbeitung 

Die EU-Datenschutz-Grundverordnung (DSGVO) definiert klare Richtlinien für die Auftragsverarbeitung, um sicherzustellen, dass die Datenverarbeitung im Einklang mit den Datenschutzgesetzen und den Prinzipien des verantwortlichen Unternehmens erfolgt. 

Wichtige Aspekte sind: 

  • Verträge
    Zwischen Verantwortlichem und Auftragsverarbeiter müssen verbindliche Verträge geschlossen werden. 
  • Weisungsbefugnis
    Der Auftragsverarbeiter darf Daten nur gemäß den Weisungen des Verantwortlichen verarbeiten. 
  • Sicherheitsmaßnahmen
    Der Auftragsverarbeiter muss angemessene technische und organisatorische Maßnahmen treffen, um die Sicherheit der Daten zu gewährleisten. 

Verantwortlichkeiten des Entwicklers 

Als Softwareentwickler im Kontext der Auftragsverarbeitung müssen Sie folgende Aspekte sicherstellen: 

  • Keine Eigenmächtigkeit
    Es erfolgt keine Verarbeitung von Daten des Verantwortlichen ohne dessen ausdrückliche Zustimmung. 
  • Kein Verstoß gegen AVV
    Anwendungen und Tools sowie Dienstleister (sogenannte Unterauftragnehmer), die eingesetzt werden, müssen mit den vereinbarten Verarbeitungsprinzipien konform gehen. 
  • Transparenz
    Alle Verarbeitungstätigkeiten sollten dokumentiert und für den Verantwortlichen nachvollziehbar sein. 

Auswahl von Anwendungen und Tools 

Bewertung vor Einsatz

  • Bevor Anwendungen in der Datenverarbeitung eingesetzt werden, muss eine Prüfung hinsichtlich ihrer Konformität mit den Datenschutzprinzipien erfolgen. 

Datenschutz durch Design 

  • Entwickler sollten für die Implementierung von Anwendungen sorgen, die von Anfang an Datenschutzmechanismen integrieren. 

Konsequenzen bei Missachtung 

Rechtliche Folgen 

  • Verstöße gegen die Prinzipien der Auftragsverarbeitung können zu empfindlichen Bußgeldern führen. 
  • Es kann zu Haftungsansprüchen gegenüber dem Auftragsverarbeiter kommen. 

Vertrauensverlust 

  • Die Missachtung der Prinzipien der Auftragsverarbeitung kann das Vertrauen zwischen Verantwortlichem und Auftragsverarbeiter beschädigen und zu einem Verlust des Geschäfts führen. 

Best Practices 

Klare Kommunikationskanäle 

  • Etablierung klarer Kommunikationswege mit dem Verantwortlichen für die Freigabe von Datenverarbeitungsaktivitäten

Schulungen und Richtlinien 

  • Regelmäßige Unterweisungen und Sensibilisierungen der Entwickler über die Anforderungen und Richtlinien der Auftragsverarbeitung
  • Entwicklung von internen Richtlinien, die sicherstellen, dass alle Teammitglieder die Anforderungen verstehen und einhalten

Summary 

Understanding and adhering to data processing principles is essential for software developers to ensure compliance with data protection law. It is important that developers are aware that they cannot unilaterally deploy applications that may not be compliant with data processing agreements. Through proactive communication, ongoing education, and careful selection of tools and procedures, software developers can help prevent data breaches and build trust with their customers. 

Vorherige Lerninhalt
Datenschutz-Folgenabschätzung
Nächste Lerninhalt
Einführung in das Allgemeine Gleichbehandlungsgesetz (AGG)
Lernthemenauswahl
Lernthemen nach Schlagwörtern

Haben Sie Fragen oder benötigen Sie ein Angebot? Wir stehen Ihnen gerne zur Verfügung und beantworten Ihre Anfragen so schnell wie möglich.

Name *
Fill out this field
E-Mail *
Please enter a valid email address.
Ihre Nachricht *
Fill out this field