Auftragsdatenverarbeitung

Im Rahmen der täglichen Unternehmenspraxis lässt sich zunehmend ein Trend hin zu Outsourcing und Outtasking erkennen. Dies gilt unabhängig von Unternehmensgröße oder Branche. Aus datenschutzrechtlicher Perspektive handelt es  sich in diesem Kontext um eine sog. Datenverarbeitung im Auftrag gem. Art. 28 DSGVO.

Diese Vorgehensweise erlaubt es vielen Unternehmen, kosteneffizient zu operieren. Darüber hinaus können sie flexibel auf bestimmte Faktoren wie beispielsweise die allgemeine Auftragslage oder saisonale Schwankung reagieren. Das Spektrum reicht von unregelmäßig zu vergebenden Aufträgen (z.B. eine Mailing-Aktion bei Kunden) bis hin zur dauerhaften Auslagerung von Geschäftsprozessen. Beispiele hierfür sind die Wartung von IT-Umgebungen, die Auswahl von Mitarbeitern oder der Betrieb eines Call-Centers. Neuerdings wird die Auftragsdatenverarbeitung zunehmend auch im Kontext des Cloud Computings relevant.

Auftragsdatenverarbeitung im Konzernverbund

Gerade auch in Konzern-Unternehmen bietet sich die Auftragsdatenverarbeitung an. So können Dienstleistungen beispielsweise mittels eines Shared-Service-Modells von jeder Stelle im Konzern abgerufen werden. So kann der gegenseitige Zugriff  innerhalb Deutschlands, innerhalb der EU bzw. dem Europäischen Wirtschaftsraum (EWR) oder gar weltweit erfolgen.

Regelmäßig ergeben sich aus diesen Konstrukten aber neben allgemein rechtlich zu beachtenden Punkten auch diffizile datenschutzrechtliche Fragestellungen. Beispielsweise der richtige Umgang mit Kundendaten, die Verarbeitung von Mitarbeiterdaten (und den dabei möglichen Auseinandersetzungen mit Arbeitnehmervertretern), internationale Datentransfers oder der Umgang mit besonderen personenbezogenen Daten (Gesundheitsdaten oder die Zugehörigkeit zu einem Betriebsrat). Auch Cloud Computing und Datenschutz stellt Unternehmen immer öfter vor entsprechende Fragestellungen.

Bei der Klärung dieser Herausforderungen stehen wir Ihnen durch unsere Experten gerne beratend oder auch durch Übernahme der Funktion als externer Datenschutzbeauftragter zur Verfügung. Dies gilt unabhängig von Ihrer Unternehmensstruktur, sei es im Zusammenhang mit Franchising-Modellen, beim Outsourcing im Mittelstand oder bei der Findung einer adäquaten Regelung im Rahmen einer (Groß-)konzernstruktur.

Umsetzung der Anforderungen in der Praxis

Die Notwendigkeit zum Abschluss eines Vertrages zur Auftragsdatenverarbeitung wird häufig nicht erkannt. Dies gilt unabhängig von Branche oder Unternehmensgröße. Selbst wenn dieses Erfordernis im Grundsatz erfasst wird, so bereitet die gesetzeskonforme Umsetzung dennoch oftmals Schwierigkeiten. Zum einen aus rechtlichen Gründen oder zum anderen weil „der Auftraggeber nicht verschreckt werden soll“. Dabei ist es für alle Beteiligten gerade auch aus Haftungsgründen existenziell wichtig, adäquate Regelungen zu finden.

Steigender Überwachung durch Behörden begegnen

Primär die Datenschutzgrundverordnung, welche seit dem 25.05.2018 Anwendung findet, konfrontiert die Wirtschaft seither mit deutlich gestiegenen Anforderungen an den Abschluss von Auftragsdatenverarbeitungen. Entsprechend ist auch ein Anstieg von betrieblichen Überprüfungen durch die zuständigen Aufsichtsbehörden für den Datenschutz zu verzeichnen. Gerade die in den Medien über die letzten Jahre bekannt gewordenen Datenschutzskandale haben hierzu entsprechend beigetragen.

Datenschutz-Compliance sicherstellen

Ausgehend von dem bisher gesagten, erfordert die rechtssichere Vereinbarung einer Auftragsdatenverarbeitung eine umfassende juristische Expertise. Unsere Berater bringen auch auf diesem Gebiet zahlreiche praktische Erfahrungen sowie umfassende rechtliche Kenntnisse mit. So verhelfen wir Ihren Vorhaben zum Erfolg.