KMU: Fokus Datenschutz – Folge 2

Auftragsverarbeitung und Verarbeitungsverzeichnis

Folge 2 unserer Serie zum Thema Datenschutz in kleinen und mittleren Unternehmen stellt zwei eher abstrakt klingende Begriffe in den Fokus: Auftragsverarbeitung und Verarbeitungsverzeichnis.

Auftragsverarbeitung

Beauftragt ein Unternehmen, das für die Verarbeitung personenbezogener Daten verantwortlich ist, einen Dritten damit, diese Daten zu verarbeiten, so handelt es sich um Auftragsverarbeitung. Dieser Dritte ist dann ein Auftragsverarbeiter, weil er die Daten im Auftrag verarbeitet. Verantwortlich bleibt dabei das Unternehmen, das die Daten verarbeiten lässt. Der Vertrag, den die beiden abschließen müssen, ist der Auftragsverarbeitungsvertrag.

Beispiele für Auftragsdatenverarbeitung

Beispiele für solch eine Auftragsverarbeitung können sein:

  • Das beauftragende Unternehmen lässt seine Lohnbuchhaltung von einem Dienstleister (z. B. Lohnbüro) ausführen.
  • Der Versand eines Newsletters und die dazu nötige Datenhaltung übernimmt ein darauf spezialisiertes Unternehmen.
  • Für die Vernichtung von Akten wird ein Dienstleister beauftragt.


Die Voraussetzungen für eine solche Auftragsverarbeitung sind, dass der Auftragnehmer technische und organisatorische Maßnahmen ergreift, damit er die Vorgaben des Datenschutzes einhalten kann, und dass er zudem zuverlässig und kompetent ist. Die Regeln der Datenschutzgrundverordnung, kurz DSGVO, müssen erfüllt sein.

Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis wird angelegt, um für den Datenschutz relevante Vorgänge zu dokumentieren. In diesem Verzeichnis wird erfasst, wie personenbezogene Daten vom Unternehmen verarbeitet werden. Folgende Informationen werden beispielsweise dokumentiert:

  • Wer ist für die Verarbeitung verantwortlich?
  • Werden besonders sensible Daten wie etwa Gesundheitsdaten gespeichert?
  • Werden Daten an externe Unternehmen übermittelt?
  • Wann werden welche Daten gelöscht?
  • Wie werden die Daten geschützt?


Alles im Blick

Dank des Verarbeitungsverzeichnisses kann man bei Bedarf beispielsweise Aufsichtsbehörden zügig Auskunft über die Verarbeitung personenbezogener Daten geben. Bei einem besonders hohen Risiko ist außerdem eine sogenannte Datenschutzfolgenabschätzung erforderlich – etwa wenn Gesundheitsdaten verarbeitet werden, die besonders schutzwürdige sind.

Sie möchten mehr Infos zum Datenschutz in Unternehmen?

Rufen Sie uns doch einfach unter Telefon 09122 6937302 an oder schicken Sie uns eine Nachricht. Wir beraten Sie sehr gern zum Datenschutz in Ihrem Unternehmen.

Ihr Team von Datenschutz Prinz

Lesen Sie hier weiter:

Folge 1: Die Datenschutzbeauftragten im Unternehmen

Folge 2: Auftragsverarbeitung und Verarbeitungsverzeichnis

Folge 3: Einwilligungserklärung und Videoüberwachung

Folge 4: Datenschutzhinweise und Auskunftsrecht

Folge 5: Von Datenpannen bis zu technischen und organisatorischen Maßnahmen (TOM)

Cannabis-Clubs: Daten öffentlich
Teure Prüfungen von Whistleblower-Meldungen

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.