Was Auftragsverarbeiter beachten müssen


Sind Sie Auftragsverarbeiter?

Sie haben eine Software-Lösung, bei der Sie im Auftrag eines Kunden dessen Daten verarbeiten? Oder Sie verarbeiten auf eine andere Art und Weise Daten Ihrer Kunden, z.B. wenn Sie für diese Briefe versenden oder E-Mail-Kampagnen durchführen?
Dann müssen Sie Ihren Kunden einen AV-Vertrag vorlegen, in dem Sie die datenschutzkonforme Verarbeitung der Daten vertraglich zusichern. Dieser Vertrag muss alle Anforderungen des Art. 28 DSGVO erfüllen. Als Anbieter müssen Sie sich bewusst sein, welche Punkte dieser enthält und was das für Sie bedeutet:

Aufgaben eines Auftragsverarbeiters

  • Führen eines Verarbeitungsverzeichnisses, das die im Auftrag durchgeführten Verarbeitungen beschreibt. Dieses müssen Sie Ihren Kunden zur Verfügung stellen.
  • Nachweisbares Sicherstellen entsprechender TOM (Technisch-organisatorischer Maßnahmen) zum Schutz der Daten Ihrer Kunden.
  • Verpflichten aller mit der Verarbeitung von Kundendaten befassten Mitarbeitenden auf Vertraulichkeit und die Einhaltung des Datenschutzes im Arbeitsvertrag auch über das Ende des Beschäftigungsende hinaus.
  • Schulungen, der mit der Verarbeitung von Kundendaten befassten Mitarbeitenden in Bezug auf den Datenschutz und die besonderen Verpflichtungen, die sich aus der Aufgabe als Auftragsverarbeiter ergeben.
    Den Mitarbeitenden muss eine datenschutzkonforme Verarbeitung von personenbezogenen Daten bekannt sein. Ihnen muss bewusst sein, dass sie dem Datenschutz widersprechende Anforderungen von Kundenseite ablehnen dürfen und sogar müssen.
  • Prozesse, die den Support für den Kunden sicherstellen – alle beteiligten Mitarbeitenden müssen wissen, welche Personen auf Kundenseite weisungsbefugt sind und dass Weisungen zu dokumentieren sind. In der Regel enthalten AVV auch Klauseln, die eine Schriftform von Weisungen erfordern. Auch dies muss den Mitarbeitenden bekannt sein.
  • Prozesse zum Umgang mit Betroffenenrechten – alle beteiligten Mitarbeitenden müssen wissen, dass sie Ersuchen in Bezug auf Betroffenenrechte, die sich auf Daten von Kunden beziehen sehr zeitnah an den Kunden weitergeben müssen, ohne diesen selbst nachzukommen.

Einsatz von Subunternehmern

Wenn Sie Subunternehmer einsetzen, müssen Sie Ihre Kunden darüber informieren. Je nach dem wie Sie den AV-Vertrag ausgestalten, müssen Sie Ihre Kunden über Änderungen bei den Subunternehmern informieren oder sich diese sogar genehmigen lassen.
In jeden Fall müssen Sie sicherstellen, dass auch Ihre Subunternehmer die DSGVO einhalten. Sie müssen in Ihren Verträgen mit den Subunternehmern diese Verantwortlichkeiten weitergeben, da Sie dafür gegenüber Ihren Kunden verantwortlich sind.

Möchten Sie mehr wissen oder benötigen Sie Unterstützung bei der Überprüfung Ihrer Subunternehmer? Wir stehen Ihnen gerne zur Verfügung und führen auch Audits Ihrer Subunternehmer durch.