Achtung:

Sie haben Javascript deaktiviert!
Sie haben versucht eine Funktion zu nutzen, die nur mit Javascript möglich ist. Um sämtliche Funktionalitäten unserer Internetseite zu nutzen, aktivieren Sie bitte Javascript in Ihrem Browser.

Die Universität im Winter mit Blick auf den Turm vom J-Gebäude. Bildinformationen anzeigen

Die Universität im Winter mit Blick auf den Turm vom J-Gebäude.

Foto: Universität Paderborn, Adelheid Rutenburges

Auftragsverarbeitung (AV)

Die Universität ist für alle Verarbeitungen personenbezogener Daten verantwortlich, bei denen sie die Zwecke und Mittel bestimmt. Sie kann dabei personenbezogene Daten auch durch Auftragsverarbeiter (externe Dienstleister) verarbeiten lassen. Das kommt beispielsweise vor, wenn

  • Befragungen von einer Firma durchgeführt werden,
  • eine Tagung durch einen kommerziellen Anbieter organisiert wird (Teilnehmeranmeldung, Abrechnung, ...) oder
  • eine Datenverarbeitung mit Hilfe eines externen Cloud-Dienstes stattfindet.

Die Universität benötigt in solchen Fällen für die Weitergabe der personenbezogenen Daten an  den Auftragsverarbeiter keine gesonderte Rechtsgrundlage, da hierfür die der Datenverarbeitung zugrundeliegende Rechtsgrundlage herangezogen werden kann.  Der externe Dienstleister ist dann kein Dritter (Artikel 4 Nr. 10 DSGVO), sondern Auftragsverarbeiter (Artikel 4 Nr. 8, Artikel 28 DSGVO). Die Verarbeitung durch den Auftragsverarbeiter wird grundsätzlich der Universität zugerechnet.

Die Datenverarbeitung durch einen Auftragsverarbeiter muss durch einen Vertrag zur Auftragsverarbeitungs datenschutzrechtlich geregelt werden (s. u.).

Fernwartung

Eine Auftragsverarbeitung liegt auch dann vor, wenn bereits die Möglichkeit eines Zugriffs auf personenbezogene Daten besteht, also beispielsweise

  • bei der Administration oder Fernwartung von IT-Systemen durch Firmen oder
  • bei der externen Bereitstellung und Wartung von Multifunktionsgeräten ("Festplattendrucker").

Vertrag zur Auftragsverarbeitung / AV-Vertrag

Der Auftragsverarbeiter ist sorgfältig auszuwählen und muss geeignete Garantien bieten, den Datenschutz und die Sicherheit der Verarbeitung zu gewährleisten.

Artikel 28 DSGVO enthält Regelungen, die zwischen der Universität und dem Auftragsverarbeiter vertraglich vereinbart werden müssen, u. a.:

  • Der Auftragsverarbeiter darf ausschließlich auf Weisung der Universität Paderborn handeln und keine personenbezogenen Daten zu eigenen Zwecken verarbeiten.
  • Die Beschäftigten des Auftragsverarbeiters sind zur Vertraulichkeit zu verpflichten oder müssen einer gesetzlichen Verschwiegenheitspflicht unterliegen.
  • Werden Unterauftragnehmer eingesetzt, so ist dies von der Universität Paderborn zu genehmigen.

AV-Vertragsmuster

Liegt eine Auftragsverarbeitung vor, sollte das Muster zur Auftragsverarbeitung der Universität genutzt werden.

Der Vertrag muss von der Zentralverwaltung der Universität mit dem Auftragsverarbeiter geschlossen werden. Im Vorfeld sollten die Datenschutzkoordinatorin oder der Datenschutzkoordinator des betreffenden Bereichs der Universität hinzugezogen werden.

Sollten Firmen ihre eigenen Vertragsmuster nutzen wollen, so müssten diese Verträge dann einzeln und im Detail geprüft werden, ob sie die gesetzlich geforderten Regungen erfüllen. Auch dazu sollten die Datenschutzkoordinatorin bzw. der Datenschutzkoordinator beteiligt werden, um ggf. die Prüfung durch den Datenschutzbeauftragten und das Justiziariat zu veranlassen.

Weitere Informationen zur Auftragsverarbeitung:

Die Universität der Informationsgesellschaft