Wonach entscheidet sich beim Outsourcen einer Datenverarbeitung, ob eine Vereinbarung zur Auftragsverarbeitung („AV“) zu schließen ist? Diese Frage beschäftigt nahezu alle Unternehmen. Liegt kein Fall der AV vor, wäre eine andere Rechtsgrundlage für die zulässige Verarbeitung zu finden. Handelt es sich um eine AV, sind die diversen Voraussetzungen des Art. 28 DSGVO zu erfüllen.
Die Faustregel lautet: verarbeitet der Auftragnehmer fremde Daten mit Personenbezug zu fremden Zwecken, nämlich zu Zwecken des Auftraggebers, handelt es sich um eine Auftragsverarbeitung. Eine solche liegt also vor, wenn z. B. Leistungen eines Host- oder E-Mail-Providers oder eines Cloud- oder SaaS-Anbieters in Anspruch genommen werden. Die Liste möglicher Fälle ist lang und reicht hin bis zum Aktenvernichtungs-Dienstleister.
Wer sich optimal aufstellen möchte, nutzt u. a.
1. zwei Muster-AV-Vereinbarungen, die nach der Sicht Auftragnehmer/ Auftraggeber unterscheiden, beachtet
2. die hohen Anforderungen an die technischen und organisatorischen Maßnahmen (Anlage „TOM“) und stellt
3. geschlossene ADV-Vereinbarungen nach altem Recht auf die DSGVO um.
Wir helfen dabei!