Auftragsverarbeitung
DSGVO: Was jetzt für Verträge zur Auftragsdatenverarbeitung gilt

Sie haben im Zusammenhang mit der DSGVO schon von der Auftragsverarbeitung gehört, wissen aber nicht, was das genau ist und mit wem Sie jetzt neue Verträge schließen müssen? Wir erklären es Schritt für Schritt.

, von

Mit der DSGVO haben sich auch die Anforderungen an Verträge zur Auftragsverarbeitung geändert.
Mit der DSGVO haben sich auch die Anforderungen an Verträge zur Auftragsverarbeitung geändert.
© Andrey Popov / iStock / Getty Images Plus /Getty Images

Egal ob Lohnabrechnung, Marketingagentur oder Callcenter: Unternehmen sourcen häufig Aufgaben an Dienstleister aus. Diese müssen dafür Zugriff auf Kunden- oder Mitarbeiterdaten haben, um ihre Aufgaben zu erfüllen. Sie verarbeiten also im Auftrag eines Unternehmens Daten. Bisher war dafür das Bundesdatenschutzgesetz zuständig und dieser Vorgang wurde mit Verträgen zur Auftragsdatenverarbeitung (ADV) geregelt. Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten.  Die Auftragsdatenverarbeitung heißt jetzt Auftragsverarbeitung. Bestehende ADV-Verträge müssen angepasst oder neu geschlossen werden.

Wenn Ihre Verträge zu Auftragsdatenverarbeitung nicht den Anforderungen der DSGVO genügen, droht ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent Ihres gesamten Vorjahres-Umsatzes – je nachdem welcher Betrag höher ist.

Mit welchen Dienstleistern muss man Auftragsverarbeitungsverträge schließen?

Das Datenschutzrecht erlaubt es eigentlich nur dann, Daten an andere Stellen zu übermitteln, wenn die betroffene Person vorher um Erlaubnis gefragt wurde und eingewilligt hat oder das Gesetz es erlaubt und die Person benachrichtigt wird –  oder wenn es sich um Auftragsverarbeitung handelt. Auftragsverarbeitung ist für Unternehmen eigentlich eine super Sache, denn wenn eine Auftragsverarbeitung vorliegt, dann braucht man keine Einwilligung der betroffenen Personen und auch keine gesetzliche Erlaubnis und die Personen müssen auch nicht benachrichtigt werden. Ein Vertrag mit dem Auftragsverarbeiter genügt.

Es ist nicht ganz einfach, festzustellen, mit welchen Dienstleistern man Verträge zur Auftragsverarbeitung schließen kann und mit welchen nicht. Deshalb sollten Sie sich immer dann, wenn sie Aufgaben an andere rechtliche Einheiten übertragen und davon auch personenbezogene Daten betroffen sind, folgende Fragen stellen:

  • Ist das wesentliche Element der Dienstleistung auf die Verarbeitung personenbezogener Daten für Zwecke des Auftraggebers gerichtet und besteht kein eigenes Interesse des Dienstleisters an den Daten?
  • Legen Sie die Zwecke und Mittel der Verarbeitung im Wesentlichen selbst fest?
  • Hat die datenverarbeitende Stelle ausschließlich eine (technische) Hilfs- oder Unterstützungsfunktion?

Wenn die Antwort auf diese Fragen „Ja“ ist, dann wird in der Regel eine Auftragsverarbeitung vorliegen. Sobald nämlich ein Dienstleister personenbezogene Daten in Ihrem Auftrag weisungsabhängig verarbeitet, liegt eine Auftragsverarbeitung vor. Fragen Sie im Zweifel Ihren Datenschutzbeauftragten oder – wenn Sie keinen haben – einen externen Datenschutzbeauftragen. Auch die Landesdatenschutzbehörden geben Auskunft, eine ihrer Aufgaben ist es, Unternehmen zu beraten.

Typische Fälle einer Auftragsverarbeitung sind:

  • externe Lohn- oder Gehaltsabrechnung
  • Newsletterversand durch eine Marketingagentur
  • Nutzung von Cloud-Diensten zur Personal- und Kundenverwaltung
  • Datenträgerentsorgung, Aktenvernichtung
  • Lettershops, die in Ihrem Auftrag Werbung an Kunden versenden
  • Webanalyse- und Trackings-Dienste wie Google Analytics
  • Kunden-Helpdesks
  • Ausgelagerte Rechenzentren
  • Callcenter, die Kundendaten ohne wesentliche eigenen Entscheidungsspielräume verarbeiten
  • Dienste, die Daten erfassen, konvertieren oder Dokumente einscannen
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen

Wenn Sie die gesamte Verarbeitung der Daten auf jemand anderen übertragen und nicht mehr selbst „Herr der Daten“ sind, dann liegt keine Auftragsverarbeitung vor. Das ist der Fall, wenn Sie beispielsweise nicht mehr selbst darüber entscheiden, wer Zugang zu den Daten hat, welche Daten gelöscht werden und wenn Sie auch nicht mehr für Auskünfte zuständig sind. Also wenn der Dienstleister eigenverantwortlich mit den ihm anvertrauten Daten umgeht. Dann spricht man von einer Funktionsübertragung.

Wenn die Dienstleistung in speziellen Gesetzen geregelt ist (zum Beispiel bei Telekommunikations- oder Postdienstleistungen), liegt ebenfalls keine Auftragsverarbeitung vor. Auch wenn es um rein technische Wartung geht, findet laut Bitkom keine Datenverarbeitung statt.

Keine Auftragsverarbeitung liegt in folgenden Fällen vor:

  • Finanzberater
  • Steuerberater
  • Unternehmensberater
  • Rechtsanwalt
  • Wirtschaftsprüfer
  • externer Betriebsarzt
  • Inkassobüro
  • Bankinstitut für den Geldtransfer
  • Postdienst für den Brieftransport
  • Installation und Wartung von Netzwerken, Hardware, Telefonanlagen
  • Pflege von Software
  • Programmentwicklungen und Tests

Es ist hilfreich, zunächst eine Übersicht über die Dienstleister zu erstellen, die für Ihr Unternehmen arbeiten. Fordern Sie von Ihrer Buchhaltung eine Abrechnungsliste an und prüfen Sie anhand dieser Liste, wer personenbezogene Daten verarbeitet.

Die Übersicht dient dem Zweck, herauszufinden, mit welchen Dienstleistern noch kein Vertrag zur Auftragsverarbeitung geschlossen wurde und bei welchen die bestehenden Verträge angepasst werden müssen.

Was hat sich mit der DSGVO geändert?

Seit Ende Mai ist nur noch datenschutzkonform, was der DSGVO entspricht. Deshalb sollten Sie prüfen, ob Ihre Verträge zur Auftragsdatenverarbeitung den neuen Regelungen entsprechen und ob Sie noch weitere Auftragsverarbeitungsverträge abschließen müssen.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer

Was sich konkret geändert hat:

  • Neuer Name: Mit der DSGVO hat sich der Name geändert: Aus Auftragsdatenverarbeitung wurde Auftragsverarbeitung. Der frühere ADV-Vertrag heißt nun nur noch AV-Vertrag. Der Auftragsnehmer wurde zum Auftragsverarbeiter.
  • Elektronische Form ist möglich: Verträge zur Auftragsverarbeitung müssen nicht mehr schriftlich vorliegen, sie können nun auch in elektronischer Form abgeschlossen werden.
  • Gemeinsame Haftung: Nicht nur der Verantwortliche (Auftraggeber), sondern auch derjenige, der die Daten im Auftrag verarbeitet, haftet nun direkt gegenüber den Betroffen, wenn er mit den Daten nicht gesetzeskonform umgeht und sie beispielsweise für eigene Zwecke verarbeitet oder an Dritte weitergibt. Auch bei Datenpannen haftet auch der Auftragsverarbeiter. Er wird durch die DSGVO in die Pflicht genommen, das europaweit geltende Datenschutzrecht ebenso einzuhalten wie Sie.
  • Auftragsverarbeitung außerhalb der EU ist möglich: Die Auftragsverarbeitung darf nun auch außerhalb der EU stattfinden. Das war früher nicht der Fall. Das heißt, wenn zum Beispiel eine Marketing-Firma in den USA mit der Erstellung des Newsletters beauftragt wird, dann benötigt man nun nicht mehr die Einwilligung sämtlicher Personen, denen die Daten gehören. Ein AV-Vertrag reicht aus.
  • Kontrollpflicht: Verantwortliche sind zwar weiterhin in der Pflicht, Auftragsverarbeiter sorgfältig auszuwählen. Sie haben Kontrollrechte, aber keine Kontroll- und Dokumentationspflichten mehr.
  • Subunternehmen: Auftragsverarbeiter dürfen nur dann Subunternehmen einsetzen, wenn der Auftraggeber ausdrücklich zugestimmt hat.

Was muss man bei der Auswahl seiner Auftragsverarbeiter beachten?

Artikel 28 DSGVO beschreibt ausführlich die Verantwortung des Auftragsverarbeiters. Dort steht, dass der Verarbeiter insbesondere den technischen Datenschutz beachten muss. Datenzentren (etwa Cloud-Rechenzentren) müssen hohen Sicherheitsstandards genügen. Wer darauf achtet, dass seine Auftragsverarbeiter nach Artikel 42 DSGVO zertifiziert sind oder sich einer Verhaltensregel nach Artikel 40 DSGVO unterworfen haben, der kann sich ziemlich sicher sein, dass die geforderten Garantien bestehen.

Anbieter aus den USA müssen entweder unter dem Privacy-Shield-Abkommen zertifiziert sein oder der Vertrag muss so genannte EU-Standardvertragsklauseln enthalten (siehe unten).

Was muss in dem Vertrag zur Auftragsdatenverarbeitung stehen?

Viele Dienstleister wie Google, Mailchimp, Newsletter2Go, DATEV, Trello und Dropbox stellen für ihre Kunden einen Vertrag zur Auftragsverarbeitung zur Verfügung. Diesen müssen Sie lediglich unterschreiben.

Falls Sie auf der Seite eines Auftragsverarbeiters im englischsprachigen Raum nach einen solchen Vertrag suchen wollen: Auf Englisch heißt der Vertrag zur Auftragsverarbeitung Data Processing Agreement (DPA) und die DSGVO hat die Abkürzung GDPR (General Data Protection Regulation).

Bei einem Einsatz von US-Anbietern, die nicht EU-US-Privacy-Shield zertifiziert sind, muss der Vertrag so genannte EU-Standardvertragsklauseln enthalten. Diese Standardvertragsklauseln finden Sie auf der Seite der EU Kommission.

Wenn der Dienstleister keinen Vertrag zur Auftragsverarbeitung zur Verfügung stellt, dann müssen Sie selbst einen solchen Vertrag formulieren. „In Artikel 28 der DSGVO stehen alle Anforderungen, die der Vertrag erfüllen muss“, sagt Rechtsanwalt Michael Neuber, Justiziar beim Bundesverband Digitale Wirtschaft (BVDW). Der Vertrag zur Auftragsverarbeitung sei eigentlich nur eine Kopie des Gesetzestextes.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.

Konkret muss im Vertrag zur Auftragsverarbeitung stehen:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen für den Datenschutz (TOM)
  • Ob und welche Subunternehmer beauftragt werden dürfen
  • Unterstützung des Auftraggebers bei Anfragen und Ansprüchen Betroffener sowie bei der Meldepflicht bei Datenschutzverletzungen
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
  • Dass personenbezogene Daten gelöscht und zurückgegeben werden müssen nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters.

Die Gesellschaft für Datenschutz und Datensicherheit stellt ein kostenloses, veränderbares Muster zur Verfügung samt Praxisleitfaden, an dem Sie sich orientieren können.

Wenn Ihr Dienstleister sich weigert, einen Vertrag zur Auftragsverarbeitung zu unterschreiben, dann müssen Sie den Dienstleister wechseln und ihn dazu auffordern, alle Ihre Daten zu löschen.

Dokumentation von Auftragsverarbeitungsverträgen

Wichtig ist, dass Sie gegenüber den Datenschutzbehörden nachweisen können, dass Sie Auftragsverarbeitungsverträge geschlossen haben. Heften Sie alle Verträge gut auffindbar ab.

Außerdem müssen Sie in Ihrer Datenschutzerklärung darauf hinweisen, welche externen Dienstleister für Sie personenbezogene Daten verarbeiten. Findet sich dort kein Hinweis auf die Verarbeitung der Daten, dann kann das teuer werden.

Wie Sie sich sonst noch auf die DSGVO vorbereiten müssen, lesen Sie in unserer DSGVO-Checkliste. Und was Sie bei Ihrer Website beachten müssen, steht in unser DSGVO-Website-Checkliste.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Egal ob Lohnabrechnung, Marketingagentur oder Callcenter: Unternehmen sourcen häufig Aufgaben an Dienstleister aus. Diese müssen dafür Zugriff auf Kunden- oder Mitarbeiterdaten haben, um ihre Aufgaben zu erfüllen. Sie verarbeiten also im Auftrag eines Unternehmens Daten. Bisher war dafür das Bundesdatenschutzgesetz zuständig und dieser Vorgang wurde mit Verträgen zur Auftragsdatenverarbeitung (ADV) geregelt. Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten.  Die Auftragsdatenverarbeitung heißt jetzt Auftragsverarbeitung. Bestehende ADV-Verträge müssen angepasst oder neu geschlossen werden. Wenn Ihre Verträge zu Auftragsdatenverarbeitung nicht den Anforderungen der DSGVO genügen, droht ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent Ihres gesamten Vorjahres-Umsatzes – je nachdem welcher Betrag höher ist. Mit welchen Dienstleistern muss man Auftragsverarbeitungsverträge schließen? Das Datenschutzrecht erlaubt es eigentlich nur dann, Daten an andere Stellen zu übermitteln, wenn die betroffene Person vorher um Erlaubnis gefragt wurde und eingewilligt hat oder das Gesetz es erlaubt und die Person benachrichtigt wird -  oder wenn es sich um Auftragsverarbeitung handelt. Auftragsverarbeitung ist für Unternehmen eigentlich eine super Sache, denn wenn eine Auftragsverarbeitung vorliegt, dann braucht man keine Einwilligung der betroffenen Personen und auch keine gesetzliche Erlaubnis und die Personen müssen auch nicht benachrichtigt werden. Ein Vertrag mit dem Auftragsverarbeiter genügt. Es ist nicht ganz einfach, festzustellen, mit welchen Dienstleistern man Verträge zur Auftragsverarbeitung schließen kann und mit welchen nicht. Deshalb sollten Sie sich immer dann, wenn sie Aufgaben an andere rechtliche Einheiten übertragen und davon auch personenbezogene Daten betroffen sind, folgende Fragen stellen: Ist das wesentliche Element der Dienstleistung auf die Verarbeitung personenbezogener Daten für Zwecke des Auftraggebers gerichtet und besteht kein eigenes Interesse des Dienstleisters an den Daten? Legen Sie die Zwecke und Mittel der Verarbeitung im Wesentlichen selbst fest? Hat die datenverarbeitende Stelle ausschließlich eine (technische) Hilfs- oder Unterstützungsfunktion? Wenn die Antwort auf diese Fragen „Ja“ ist, dann wird in der Regel eine Auftragsverarbeitung vorliegen. Sobald nämlich ein Dienstleister personenbezogene Daten in Ihrem Auftrag weisungsabhängig verarbeitet, liegt eine Auftragsverarbeitung vor. Fragen Sie im Zweifel Ihren Datenschutzbeauftragten oder - wenn Sie keinen haben - einen externen Datenschutzbeauftragen. Auch die Landesdatenschutzbehörden geben Auskunft, eine ihrer Aufgaben ist es, Unternehmen zu beraten. Typische Fälle einer Auftragsverarbeitung sind: externe Lohn- oder Gehaltsabrechnung Newsletterversand durch eine Marketingagentur Nutzung von Cloud-Diensten zur Personal- und Kundenverwaltung Datenträgerentsorgung, Aktenvernichtung Lettershops, die in Ihrem Auftrag Werbung an Kunden versenden Webanalyse- und Trackings-Dienste wie Google Analytics Kunden-Helpdesks Ausgelagerte Rechenzentren Callcenter, die Kundendaten ohne wesentliche eigenen Entscheidungsspielräume verarbeiten Dienste, die Daten erfassen, konvertieren oder Dokumente einscannen Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen Wenn Sie die gesamte Verarbeitung der Daten auf jemand anderen übertragen und nicht mehr selbst "Herr der Daten" sind, dann liegt keine Auftragsverarbeitung vor. Das ist der Fall, wenn Sie beispielsweise nicht mehr selbst darüber entscheiden, wer Zugang zu den Daten hat, welche Daten gelöscht werden und wenn Sie auch nicht mehr für Auskünfte zuständig sind. Also wenn der Dienstleister eigenverantwortlich mit den ihm anvertrauten Daten umgeht. Dann spricht man von einer Funktionsübertragung. Wenn die Dienstleistung in speziellen Gesetzen geregelt ist (zum Beispiel bei Telekommunikations- oder Postdienstleistungen), liegt ebenfalls keine Auftragsverarbeitung vor. Auch wenn es um rein technische Wartung geht, findet laut Bitkom keine Datenverarbeitung statt. Keine Auftragsverarbeitung liegt in folgenden Fällen vor: Finanzberater Steuerberater Unternehmensberater Rechtsanwalt Wirtschaftsprüfer externer Betriebsarzt Inkassobüro Bankinstitut für den Geldtransfer Postdienst für den Brieftransport Installation und Wartung von Netzwerken, Hardware, Telefonanlagen Pflege von Software Programmentwicklungen und Tests Es ist hilfreich, zunächst eine Übersicht über die Dienstleister zu erstellen, die für Ihr Unternehmen arbeiten. Fordern Sie von Ihrer Buchhaltung eine Abrechnungsliste an und prüfen Sie anhand dieser Liste, wer personenbezogene Daten verarbeitet. Die Übersicht dient dem Zweck, herauszufinden, mit welchen Dienstleistern noch kein Vertrag zur Auftragsverarbeitung geschlossen wurde und bei welchen die bestehenden Verträge angepasst werden müssen. Was hat sich mit der DSGVO geändert? Seit Ende Mai ist nur noch datenschutzkonform, was der DSGVO entspricht. Deshalb sollten Sie prüfen, ob Ihre Verträge zur Auftragsdatenverarbeitung den neuen Regelungen entsprechen und ob Sie noch weitere Auftragsverarbeitungsverträge abschließen müssen. Was sich konkret geändert hat: Neuer Name: Mit der DSGVO hat sich der Name geändert: Aus Auftragsdatenverarbeitung wurde Auftragsverarbeitung. Der frühere ADV-Vertrag heißt nun nur noch AV-Vertrag. Der Auftragsnehmer wurde zum Auftragsverarbeiter. Elektronische Form ist möglich: Verträge zur Auftragsverarbeitung müssen nicht mehr schriftlich vorliegen, sie können nun auch in elektronischer Form abgeschlossen werden. Gemeinsame Haftung: Nicht nur der Verantwortliche (Auftraggeber), sondern auch derjenige, der die Daten im Auftrag verarbeitet, haftet nun direkt gegenüber den Betroffen, wenn er mit den Daten nicht gesetzeskonform umgeht und sie beispielsweise für eigene Zwecke verarbeitet oder an Dritte weitergibt. Auch bei Datenpannen haftet auch der Auftragsverarbeiter. Er wird durch die DSGVO in die Pflicht genommen, das europaweit geltende Datenschutzrecht ebenso einzuhalten wie Sie. Auftragsverarbeitung außerhalb der EU ist möglich: Die Auftragsverarbeitung darf nun auch außerhalb der EU stattfinden. Das war früher nicht der Fall. Das heißt, wenn zum Beispiel eine Marketing-Firma in den USA mit der Erstellung des Newsletters beauftragt wird, dann benötigt man nun nicht mehr die Einwilligung sämtlicher Personen, denen die Daten gehören. Ein AV-Vertrag reicht aus. Kontrollpflicht: Verantwortliche sind zwar weiterhin in der Pflicht, Auftragsverarbeiter sorgfältig auszuwählen. Sie haben Kontrollrechte, aber keine Kontroll- und Dokumentationspflichten mehr. Subunternehmen: Auftragsverarbeiter dürfen nur dann Subunternehmen einsetzen, wenn der Auftraggeber ausdrücklich zugestimmt hat. Was muss man bei der Auswahl seiner Auftragsverarbeiter beachten? Artikel 28 DSGVO beschreibt ausführlich die Verantwortung des Auftragsverarbeiters. Dort steht, dass der Verarbeiter insbesondere den technischen Datenschutz beachten muss. Datenzentren (etwa Cloud-Rechenzentren) müssen hohen Sicherheitsstandards genügen. Wer darauf achtet, dass seine Auftragsverarbeiter nach Artikel 42 DSGVO zertifiziert sind oder sich einer Verhaltensregel nach Artikel 40 DSGVO unterworfen haben, der kann sich ziemlich sicher sein, dass die geforderten Garantien bestehen. Anbieter aus den USA müssen entweder unter dem Privacy-Shield-Abkommen zertifiziert sein oder der Vertrag muss so genannte EU-Standardvertragsklauseln enthalten (siehe unten). Was muss in dem Vertrag zur Auftragsdatenverarbeitung stehen? Viele Dienstleister wie Google, Mailchimp, Newsletter2Go, DATEV, Trello und Dropbox stellen für ihre Kunden einen Vertrag zur Auftragsverarbeitung zur Verfügung. Diesen müssen Sie lediglich unterschreiben. Falls Sie auf der Seite eines Auftragsverarbeiters im englischsprachigen Raum nach einen solchen Vertrag suchen wollen: Auf Englisch heißt der Vertrag zur Auftragsverarbeitung Data Processing Agreement (DPA) und die DSGVO hat die Abkürzung GDPR (General Data Protection Regulation). Bei einem Einsatz von US-Anbietern, die nicht EU-US-Privacy-Shield zertifiziert sind, muss der Vertrag so genannte EU-Standardvertragsklauseln enthalten. Diese Standardvertragsklauseln finden Sie auf der Seite der EU Kommission. Wenn der Dienstleister keinen Vertrag zur Auftragsverarbeitung zur Verfügung stellt, dann müssen Sie selbst einen solchen Vertrag formulieren. „In Artikel 28 der DSGVO stehen alle Anforderungen, die der Vertrag erfüllen muss“, sagt Rechtsanwalt Michael Neuber, Justiziar beim Bundesverband Digitale Wirtschaft (BVDW). Der Vertrag zur Auftragsverarbeitung sei eigentlich nur eine Kopie des Gesetzestextes. Konkret muss im Vertrag zur Auftragsverarbeitung stehen: Gegenstand und Dauer der Verarbeitung Art und Zweck der Verarbeitung Art der personenbezogenen Daten und Kategorien von betroffenen Personen Umfang der Weisungsbefugnisse Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit Sicherstellung von technischen und organisatorischen Maßnahmen für den Datenschutz (TOM) Ob und welche Subunternehmer beauftragt werden dürfen Unterstützung des Auftraggebers bei Anfragen und Ansprüchen Betroffener sowie bei der Meldepflicht bei Datenschutzverletzungen Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt Dass personenbezogene Daten gelöscht und zurückgegeben werden müssen nach Abschluss der Auftragsdatenverarbeitung Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters. Die Gesellschaft für Datenschutz und Datensicherheit stellt ein kostenloses, veränderbares Muster zur Verfügung samt Praxisleitfaden, an dem Sie sich orientieren können. Wenn Ihr Dienstleister sich weigert, einen Vertrag zur Auftragsverarbeitung zu unterschreiben, dann müssen Sie den Dienstleister wechseln und ihn dazu auffordern, alle Ihre Daten zu löschen. Dokumentation von Auftragsverarbeitungsverträgen Wichtig ist, dass Sie gegenüber den Datenschutzbehörden nachweisen können, dass Sie Auftragsverarbeitungsverträge geschlossen haben. Heften Sie alle Verträge gut auffindbar ab. Außerdem müssen Sie in Ihrer Datenschutzerklärung darauf hinweisen, welche externen Dienstleister für Sie personenbezogene Daten verarbeiten. Findet sich dort kein Hinweis auf die Verarbeitung der Daten, dann kann das teuer werden. Wie Sie sich sonst noch auf die DSGVO vorbereiten müssen, lesen Sie in unserer DSGVO-Checkliste. Und was Sie bei Ihrer Website beachten müssen, steht in unser DSGVO-Website-Checkliste.