Aktenvernichtung Auftragsverarbeitung
Sie möchten Ihre sensible Unterlage vernichten lassen und beauftragen daher ein Dienstleister. Hierbei handelt es sich um eine Aktenvernichtung Auftragsverarbeitung (AV), da der Auftragnehmer Ihre Akten mit personenbezogenen Daten vernichtet.
Wann handelt es sich um Auftragsverarbeitung DSGVO?
Der Begriff „Auftragsverarbeitung“ (AV) war vor der DSGVO als Auftragsdatenverarbeitung (ADV) bekannt. Der ADV-Vertrag war gesetzlich in § 11 Abs. 2 Satz 2 BDSG festgeschrieben und findet sich nun in den entsprechenden Vorgaben in Art. 28 DSGVO.
Kurze Orientierungshilfe
Alte Bezeichnung | Neueste Stand |
Auftragsdatenverarbeitung DSGVO | Auftragsverarbeitung DSGVO |
ADV Vertrag | AVV Vertrag |
War gesetzlich geregelt in § 11 BDSG | Mittlerweile in Art. 28 DSGVO |
Auftragsverarbeitung bedeutet nichts anderes als die Verarbeitung von Daten im Auftrag. Demzufolge liegt eine Auftragsverarbeitung vor, die besondere Maßnahmen zu treffen gilt. Darüber hinaus ist es unabhängig, ob der Auftragnehmer die Vernichtung vor Ort oder sie bei der Schredderanlage vernichtet.
Sobald personenbezogene Daten im Auftrag verarbeitet werden, muss diese unter der DSGVO eingehalten werden. Andernfalls drohen hohes Bußgeld und Haftung.
Welche Dienstleistungen zählen zur Auftragsverarbeitung?
Es kommt immer mal wieder vor, dass Unternehmen sich nicht sicher sind, wann eine Funktionsübertragung oder eine Auftragsverarbeitung vorliegt.
Auftragsverarbeitung
Outsourcing des Rechenzentrums
Externe Lohn- und Gehaltsabrechnung sowie Buchhaltung
Externen Dienstleister mit der Akten- und Datenträgervernichtung
Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber
Funktionsübertragung
Steuerkanzleien
Inkassounternehmen
Privatdetektiven
Die sog. Funktionsübertragung ist keine Aktenvernichtung-Auftragsverarbeitung. Daher ist es wichtig diese unterscheiden zu können, denn sollte ein AV vorliegen, dann muss ein AV-Vertrag mit dem Aktenvernichtungsdienst abgeschlossen werden.
Ist Aktenvernichtung Auftragsverarbeitung?
Die Antwort daraufhin ist ganz klar: Ja! Wenn Sie Ihre Akten und andere Datenträgern beim externen Dienstleister vernichten lassen möchten, handelt es sich folglich um Auftragsverarbeitung. Sollte ein solcher AV-Vertrag nicht abgeschlossen werden, dann können in der Regel keine Vernichtung erfolgen.
Wer gilt als Auftragsverarbeiter?
Der Begriff Auftragsverarbeiter hat fast jeder schon gehört, aber es ist für vielen nicht klar, wer genau der Auftragsverarbeiter ist.
Laut Art. 4 Nr. 8 DSGVO wird der Begriff des Auftragsverarbeiters wie folgend definiert:
“eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.”
Das bedeutet also, dass der externe Dienstleister der Auftragsverarbeiter ist, da er personenbezogenen Daten im Auftrag verarbeitet.
Was muss eine Aktenvernichtung-Auftragsverarbeitung-Vertrag beinhalten?
Da Ihre personenbezogenen Daten von einem externen Dienstleister weisungsgebunden bearbeitet werden, muss zwischen beiden Parteien ein AV-Vertrag geschlossen werden.
Dabei sind folgenden Mindestanforderungen zu berücksichtigen:
Auftraggeber
(Sie als Verantwortliche)
- Art und Zweck der Datenverarbeitung
- Art der personenbezogenen Daten
- Umfang der Weisungsbefugnisse
- Dauer
- Pflichten und Rechte des Auftraggebers
- Genaue Definition des Gegenstandes
- Berechtigung zu Kontrollmaßnahmen
Auftragnehmer
(externe Dienstleister)
- Verarbeitung nach dokumentierter Weisung
- Wahrung der Verschwiegenheit bzw. Vertraulichkeit Ergreifung geeigneter Maßnahmen für die eigene Sicherheit
- Unterstützung des Verantwortlichen bei der Einhaltung von dessen Pflichten
- Rechtmäßige Hinzuziehung von Subunternehmen
- Löschung und Rückgabe nach Beendigung des Auftrags
- Ermöglichung von Überprüfungen
Hinweis: Hierfür sollten geeignete technische und organisatorische Maßnahmen (TOM nach DIN 66399) zum Datenschutz gewährleistet werden.
Wer ist bei der Aktenvernichtung Auftragsverarbeitung verantwortlich?
Sie als Auftraggeber haben die volle Verantwortung sich um die Datensicherheit und für die rechtssichere Aktenvernichtung gemäß der DSGVO zu kümmern, nicht der Auftragnehmer.
Als Verantwortliche müssen Sie den Auftragnehmer über den Schutzbedarf informieren, da nur Sie den Inhalt der Daten kennen. Der Auftragnehmer unterstützt Sie nur bei der Umsetzung, indem er die Vernichtung nach den strengen Richtlinien durchführt. Darüber hinaus ist die Aktenvernichtung nach den Anforderungen der DIN-Norm 66399 zu erfüllen.
Hinweis: Beachten Sie außerdem, dass nicht alle Unterlagen von heute auf morgen vernichtet werden können. Hier spielt die Aufbewahrungsfristen eine entscheidende Rolle.
Wie funktioniert die Auftragsverarbeitung DSGVO mit Dienstleistern?
Grundsätzlich muss der Vertrag mit den Dienstleistern geschlossen werden, bevor der Aktenvernichtung-Auftragsverarbeitung beginnt.
Ebenso sind Sie dazu verpflichtet, als Auftraggeber in regelmäßigen Abständen diese zu überprüfen, ob die rechtlichen Vorschriften zur Datenweitergabe vom Auftragnehmer eingehalten werden. Außerdem ist es wichtig, diese Überprüfungen des Auftragnehmers zu dokumentieren.
Was passiert, wenn keinen Vertrag zur Auftragsverarbeitung vorliegt?
Bei Verstoß gegen den AV-Vertrag könnte es für Sie richtig teuer werden. Denn hier drohen Bußgeldern bis zu 20 Millionen Euro oder im Fall eines Unternehmens eine Geldbuße bis zu 4 % des im vergangenen Geschäftsjahres weltweit erwirtschafteten Jahresumsatz.
Das könnte Sie außerdem noch interessieren…
Von Recycling.com/ 2 März 2022