Was ist Auftragsverarbeitung?
Die Auftragsverarbeitung beschreibt die Verarbeitung personenbezogener Daten durch einen externen Dienstleister im Auftrag des Verantwortlichen. Dies wird rechtlich durch einen Data Processing Agreement (DPA) oder Auftragsverarbeitungsvertrag (AVV) geregelt.
Pflichten des Auftraggebers
Als Auftraggeber sind folgende Pflichten entscheidend:
- Sorgfältige Auswahl des Dienstleisters
- Vertragliche Regelung von Datenschutz und Sicherheitsmaßnahmen
- Regelmäßige Kontrolle der Einhaltung
- Dokumentation aller Verträge und Änderungen
DPA/AVV richtig gestalten
Ein rechtssicherer DPA sollte folgende Punkte enthalten:
- Definition der Verarbeitungstätigkeiten
- Verantwortlichkeiten und Ansprechpartner
- Technische und organisatorische Maßnahmen (TOMs)
- Unterauftragsverarbeiter und deren Genehmigung
- Dauer, Löschung und Rückgabe der Daten
- Audit- und Kontrollrechte
Praxis-Tipps
- Regelmäßige Vertragsüberprüfung und Updates
- Checklisten zur Einhaltung von DSG/GDPR nutzen
- Automatisierte Dokumentation der Verträge in Tools
- Schulung der Fachabteilungen zu Pflichten und Abläufen
FAQ
Wer muss einen DPA abschließen?
Jedes Unternehmen, das personenbezogene Daten an einen externen Dienstleister weitergibt, muss einen DPA bzw. AVV abschließen.
Wie oft sollte der Vertrag überprüft werden?
Mindestens einmal jährlich oder bei Änderungen der Verarbeitungstätigkeiten.
Was passiert bei Verstößen?
Bei Nichteinhaltung drohen Bußgelder gemäß DSG/GDPR und Haftungsansprüche.
Nächste Schritte
- Alle externen Datenverarbeiter identifizieren
- DPA/AVV für jeden Dienstleister erstellen oder prüfen
- Technische und organisatorische Maßnahmen dokumentieren
- Regelmäßige Audits durchführen
- Verträge revisionssicher archivieren
Auftragsverarbeitung Schweiz unterstützt Unternehmen dabei, AVV/DPA rechtskonform zu gestalten und Pflichten sicher umzusetzen.