Der Begriff „Auftragsverarbeiter“ (Prozessor) ist neben dem Begriff „Verantwortlicher“ (Controller) entscheidend für die Zuweisung der rechtlichen Verpflichtungen, die sich aus der DSGVO ergeben und sind für den Schutz der Rechte und Freiheiten der betroffenen Personen von wesentlicher Bedeutung.
Bei der Auftragsverarbeitung verarbeitet ein Unternehmen personenbezogene Daten im Auftrag des Verantwortlichen. Der Verantwortliche legt dabei in einem Auftragsverarbeitungsvertrag fest, wie genau die personenbezogenen Daten vom Auftragsverarbeiter verarbeitet werden sollen. Der Auftragsverarbeiter ist dem Verantwortlichen gegenüber also weisungsgebunden.
Klassische Beispiele für eine Auftragsverarbeitung sind:
-
Weitergabe von Adresslisten an einen Lettershop
-
Entsorgung (Vernichtung, Löschung) von Datenträgern mit personenbezogenen Daten durch Dienstleister,
-
Speicherung von personenbezogenen Daten in der Cloud,
-
Verarbeitung von Kundendaten durch ein Call-Center ohne wesentliche eigene Entscheidungsspielräume dort,
-
Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten mit personenbezogenen Daten,
-
Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
-
elektronische Rechnungserstellung