Auftragsverarbeitung
Die Verarbeitung personenbezogener Daten durch einen Dienstleister im Auftrag des datenverantwortlichen Unternehmens.
Auftragsverarbeitung liegt vor, wenn ein Unternehmen (der Auftragsverarbeiter) personenbezogene Daten ausschließlich nach Weisung eines anderen Unternehmens (dem Verantwortlichen) verarbeitet. Typische Beispiele sind Cloud-Anbieter, Lohnbuchhaltungs-Dienstleister oder SaaS-Anbieter, die Kundendaten verarbeiten.
Was ist rechtlich erforderlich?
Die DSGVO schreibt vor, dass zwischen Verantwortlichem und Auftragsverarbeiter ein schriftlicher Auftragsverarbeitungsvertrag (AVV) geschlossen werden muss. Dieser legt fest, welche Daten wie verarbeitet werden dürfen, welche Sicherheitsmaßnahmen gelten und wie Subunternehmer eingesetzt werden.
In der Praxis bedeutet das: Jedes Unternehmen, das Softwarelösungen von Drittanbietern nutzt, die personenbezogene Daten verarbeiten, braucht einen AVV. Das gilt auch für KI-Dienste wie ChatGPT Enterprise oder Microsoft Copilot — ein häufig übersehenes Compliance-Thema.