• Leichte Sprache
Logo des Landesbeauftragten für Datenschutz und Informationsfreiheit
  • ZUR HAUPTNAVIGATION
  • ZUR SUCHE
  • ZUM INHALT
  • Startseite
  • Über uns
    • Über uns
    • Der Landesbeauftragte
    • Aufgaben
    • Organisation
      • Organisation
      • Geschäftsverteilung
      • Kontakt
      • Stellenangebote
    • Datenschutzkommission
    • Datenschutz
      • Datenschutz
      • Datenschutzkontrolle
      • Datenschutzkonferenz
      • Rechtsgrundlagen
      • Gerichtsentscheidungen
      • Tätigkeitsberichte
    • Informationsfreiheit
      • Informationsfreiheit
      • Informationszugang
      • Konferenz der Informationsfreiheitsbeauftragten
      • Rechtsgrundlagen
      • Tätigkeitsberichte
    • Themen A-Z
  • Bürgerinnen / Bürger
    • Bürgerinnen / Bürger
    • Ihre Rechte
    • Beratung
    • Datenschutz
    • Selbstdatenschutz
    • Informationsfreiheit
      • Informationsfreiheit
      • Musterantrag auf Informationszugang gegenüber transparenzpflichtigen Stellen
      • Antrag nach § 11 LTranspG gegenüber dem Landesbeauftragten
    • Beschwerdeformular
    • Themen A-Z
  • Wirtschaft
    • Wirtschaft
    • Beratung
    • Betriebliche Datenschutzbeauftragte
    • Beschäftigtendatenschutz
    • Internationales
    • Datenverarbeitung im Auftrag
    • Meldung einer Datenpanne nach Art. 33 DS-GVO
    • Themen A-Z
  • Verwaltung
    • Verwaltung
    • Datenschutz
    • Informationsfreiheit
    • Beratung
    • Behördliche Datenschutzbeauftragte
    • Meldung einer Datenpanne nach Art. 33 DS-GVO
    • Themen A-Z
  • Service
    • Service
    • Kontakt
    • Online-Services
    • Tätigkeitsberichte
    • Infothek
      • Infothek
      • Pressemitteilungen
      • Statistik & Zahlen
      • Entschließungen der Datenschutzkonferenz
      • Entschließungen der Informationsfreiheitskonferenz
      • Tätigkeitsberichte
      • Rechtsgrundlagen
      • Gerichtsurteile
      • Materialien
      • Publikationen
    • Rechtsgrundlagen
    • Themen A-Z
    • Newsletter
    • Podcast
  • Startseite
  • Datenschutz-Grundverordnung
  • Auftragsdaten­verarbeitung

Auftragsverarbeitung

© Andrey_Popov / shutterstock.com

Die Verarbeitung personenbezogener Daten im Auftrag wird es auch unter der DS-GVO geben. Sie heißt dort "Auftragsverarbeitung" und ist in Art. 28 DS-GVO geregelt. Das neue BDSG (nicht-amtliche Fassung) enthält keine diesbezüglichen Regelungen mehr, für die Landesdatenschutzgesetze ist dies ebenso zu erwarten. Ab dem 25. Mai 2018 wird damit für alle öffentlichen und nichtöffentlichen Verantwortlichen Art. 28 DS-GVO anwendbar sein.

Die Auftragsverarbeitung wird nicht grundlegend umgestaltet. Die Auftragnehmer müssen sorgfältig ausgewählt werden und dürfen personenbezogene Daten nur im Rahmen der Anweisungen des Auftraggebers verarbeiten. Insgesamt kann festgestellt werden, dass sich die DS-GVO klar zum Modell der Auftragsverarbeitung bekennt und dieses sogar fortentwickelt. 

Es ergeben sich aber im Detail einige Änderungen, insbesondere:

  • Die zwingenden Inhalte des Auftrags wurden in Art. 28 Abs. 3 DS-GVO detailliert geregelt und enthalten zahlreiche kleinere Unterschiede zur bisherigen Rechtslage. Daher ist es notwendig, bestehende Aufträge bis zum 25. Mai 2018 anzupassen. 
  • Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO in Zukunft auch in einem elektronischen Format erfolgen. Das strenge Schriftformerfordernis (handschriftliche Unterschrift) gilt damit nicht mehr. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in § 126b BGB). 
  • Gemäß Art. 32 Abs. 2 DS-GVO haben die Auftragsverarbeiter in Zukunft ein eigenes Verzeichnis von Verarbeitungstätigkeiten zu führen. 
  • Art. 82 DS-GVO enthält einen eigenen Schadensersatzanspruch betroffener Personen gegenüber  den Auftragsverarbeitern. Die Auftragsverarbeiter haften dann, wenn sie gegen ihre speziellen Pflichten aus der DS-GVO oder gegen die Anweisungen des Auftraggebers verstoßen. 
  • Verstoßen Auftragsverarbeiter gegen die Anweisungen des Auftraggebers und bestimmen selbst die Zwecke der Verarbeitung, gelten sie insofern außerdem gemäß Art. 28 Abs. 10 DS-GVO selbst als Verantwortliche, mit allen Konsequenzen. 

Für eine Übermittlung an Auftragnehmer außerhalb der EU gelten zusätzlich die Anforderungen aus den Art. 44 ff. DS-GVO über die Übermittlung personenbezogener Daten in Drittländer.

Ein Kurzpapier der Datenschutzkonferenz gibt weitere Hinweise zur Auftragsverarbeitung.

Weitere Informationen

  • Kurzpapier Nr. 13 der Datenschutzkonferenz zur Auftragsverarbeitung
  • Formulierungshilfe des LDA Bayern für einen Auftragsverarbeitungsvertrag für den nicht-öffentlichen Bereich
  • Präsentation "Auftragsverarbeitung"
  • Video zu den Anforderungen des DS-GVO bei einer Auftragsverarbeitung
  • Formulierungshilfe für einen Vertrag zur Auftragsverarbeitung für den öffentlichen Bereich im Anwendungsbereich der DS-GVO
  • Steuerberatung und  Auftragsverarbeitung
  • Einsatz von Dienstleistern/Auftragsverarbeitung im Bereich der niedergelassenen Ärzte/Psychotherapeuten

Nach oben

Über den LfDI

  • Kontakt
  • Impressum
  • Datenschutzerklärung
  • Barrierefreiheit

Nützliche Links

  • Datenschutzbehörden
  • Informationsfreiheitsbehörden
  • Virtuelles Datenschutzbüro

Infothek

  • Pressemeldungen/Aktuelles
  • Wer macht was?
  • Infothek

Newsletter

Mastodon