Auftragsdatenverarbeitung (ADV)… … im Sinne des Bundesdatenschutzgesetzes (BDSG) und der Europäischen Datenschutz Grundverordnung (DSGVO) ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle. § 11 BDSG beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind. Forderungen des BDSG und der DSGVO Im Wesentlichen fordern die Regelungen aus §11 BDSG und Art. 28 und 29 der DSGVO folgende Punkte, die Sie bei der Vergabe von Teilen Ihres Geschäftsprozesses an Auftragnehmer berücksichtigen müssen, in denen personenbezogene Daten Ihrer Kunden oder Ihrer Mitarbeiter erhoben, gespeichert, verarbeitet oder genutzt werden: 1. Sie bleiben als Auftraggeber voll für die Einhaltung der Bestimmungen von BDSG und DSGVO verantwortlich. Rechte von Betroffenen werden ausschließlich gegenüber Ihnen geltend gemacht. 2. Sie müssen den Auftragnehmer Aufgrund der Tauglichkeit der Sicherheitsvorkehrungen zum Schutz personenbezogener Daten auswählen. 3. Der Auftrag muss schriftlich erteilt werden (Vertragsform), wobei mindestens folgende Gegenstände geregelt sein müssen • Gegenstand und Dauer des Auftrages (um was für eine Dienstleitung handelt es sich und wie lange soll die Dienstleistung andauern) • Umfang, Art und Zweck der Dienstleistung (Wozu dient die Dienstleistung, welcher Zielerreichung ist sie dienlich, mit welchen Mitteln wird dies erreicht) • Art der Daten (welche Daten oder Datenkategorien werden verarbeitet, erhoben oder genutzt) • Kreis der Betroffenen (Wessen personenbezogene Daten werden verarbeitet, z.B. Mitarbeiter oder Kunden des Auftraggebers) • konkrete Festlegung der zu treffenden technischen und organisatorischen Maßnahmen • Sicherstellung, dass gewährleistet ist, dass personenbezogene Daten berichtigt, gelöscht oder gesperrt werden können • Pflichten des Auftragnehmers, insbesondere welche Kontrollen er vorzunehmen hat • Berechtigung zur Begründung von Unterauftragsverhältnissen • Kontrollrechte des Auftraggebers, Duldungs- und Mitwirkungspflichten des Dienstleisters bei diesen Kontrollen • Mitteilungspflicht des Auftragnehmers bei Verstößen gegen das BDSG oder den Vertrag • Weisungsbefugnisse • Verfahrensweise mit Datenträgern und Unterlagen bei Ende der Dienstleistung 4. Sie haben eine Kontrollpflicht ggü. dem Auftragnehmer vor Vertragsbeginn und regelmäßig während der Laufzeit des Vertrages bzgl. der technischen und organisatorischen Maßnahmen. 5. Sie sind verpflichtet, diese Kontrollen zu dokumentieren. Wichtiges Merkmal für eine Auftragsdatenverarbeitung ist, dass es sich beim Auftragnehmer um ein rechtlich eigenständiges Unternehmen handelt (Also geht die Beauftragung zur Datenverarbeitung mit dem Einkauf der Dienstleistung selber durch Sie einher.). Beispiele für Auftragsdatenverarbeitung sind die Beauftragung eines Callcenters zur Kundenkommunikation, die Ablage von personenbezogenen Daten auf extern gehosteten Servern (z.B. auch in der Cloud), Wartungsdienstleistungen, bei denen nicht ausgeschlossen werden kann, dass während der Wartung personenbezogene Daten zur Kenntnis gelangen (Wartung von IT-Systemen, Wartung von TK- Anlagen), Entsorgung von Akten oder Datenträgern durch externe Unternehmen. Negativbeispiele sind die Nutzung von Telekommunikationsdiensten, Postdiensten oder Bankdiensten.