Auftragsverarbeitung und Verarbeitungsverzeichnis
Folge 2 unserer Serie zum Thema Datenschutz in kleinen und mittleren Unternehmen stellt zwei eher abstrakt klingende Begriffe in den Fokus: Auftragsverarbeitung und Verarbeitungsverzeichnis.
Auftragsverarbeitung
Beauftragt ein Unternehmen, das für die Verarbeitung personenbezogener Daten verantwortlich ist, einen Dritten damit, diese Daten zu verarbeiten, so handelt es sich um Auftragsverarbeitung. Dieser Dritte ist dann ein Auftragsverarbeiter, weil er die Daten im Auftrag verarbeitet. Verantwortlich bleibt dabei das Unternehmen, das die Daten verarbeiten lässt. Der Vertrag, den die beiden abschließen müssen, ist der Auftragsverarbeitungsvertrag.
Beispiele für Auftragsdatenverarbeitung
Beispiele für solch eine Auftragsverarbeitung können sein:
- Das beauftragende Unternehmen lässt seine Lohnbuchhaltung von einem Dienstleister (z. B. Lohnbüro) ausführen.
- Der Versand eines Newsletters und die dazu nötige Datenhaltung übernimmt ein darauf spezialisiertes Unternehmen.
- Für die Vernichtung von Akten wird ein Dienstleister beauftragt.
Die Voraussetzungen für eine solche Auftragsverarbeitung sind, dass der Auftragnehmer technische und organisatorische Maßnahmen ergreift, damit er die Vorgaben des Datenschutzes einhalten kann, und dass er zudem zuverlässig und kompetent ist. Die Regeln der Datenschutzgrundverordnung, kurz DSGVO, müssen erfüllt sein.
Verarbeitungsverzeichnis
Das Verarbeitungsverzeichnis wird angelegt, um für den Datenschutz relevante Vorgänge zu dokumentieren. In diesem Verzeichnis wird erfasst, wie personenbezogene Daten vom Unternehmen verarbeitet werden. Folgende Informationen werden beispielsweise dokumentiert:
- Wer ist für die Verarbeitung verantwortlich?
- Werden besonders sensible Daten wie etwa Gesundheitsdaten gespeichert?
- Werden Daten an externe Unternehmen übermittelt?
- Wann werden welche Daten gelöscht?
- Wie werden die Daten geschützt?
Alles im Blick
Dank des Verarbeitungsverzeichnisses kann man bei Bedarf beispielsweise Aufsichtsbehörden zügig Auskunft über die Verarbeitung personenbezogener Daten geben. Bei einem besonders hohen Risiko ist außerdem eine sogenannte Datenschutzfolgenabschätzung erforderlich – etwa wenn Gesundheitsdaten verarbeitet werden, die besonders schutzwürdige sind.
Sie möchten mehr Infos zum Datenschutz in Unternehmen?
Rufen Sie uns doch einfach unter Telefon 09122 6937302 an oder schicken Sie uns eine Nachricht. Wir beraten Sie sehr gern zum Datenschutz in Ihrem Unternehmen.
Ihr Team von Datenschutz Prinz
Lesen Sie hier weiter:
Folge 1: Die Datenschutzbeauftragten im Unternehmen
Folge 2: Auftragsverarbeitung und Verarbeitungsverzeichnis
Folge 3: Einwilligungserklärung und Videoüberwachung
Folge 4: Datenschutzhinweise und Auskunftsrecht
Folge 5: Von Datenpannen bis zu technischen und organisatorischen Maßnahmen (TOM)