Eine Auftragsverarbeitung liegt immer dann vor, wenn ein externer Dienstleister im Auftrag eines Verantwortlichen personenbezogene Daten verarbeitet, ohne dabei eigene Zwecke zu verfolgen. Die rechtlichen Anforderungen ergeben sich aus Artikel 28 DSGVO. In der Sozialwirtschaft betrifft das unter anderem IT-Dienstleister, Softwareanbieter, Abrechnungszentren, Aktenvernichtungsunternehmen oder Cloud-Dienste.

Der Leistungserbringer – als datenschutzrechtlich Verantwortlicher – bleibt auch bei einer Auftragsverarbeitung vollständig für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich. Die eingesetzten Auftragsverarbeiter dürfen die überlassenen Daten ausschließlich im Rahmen der erteilten Weisungen und zur Aufgabenerfüllung verarbeiten. Grundlage dafür ist ein schriftlicher oder elektronischer Vertrag zur Auftragsverarbeitung (AV-Vertrag), der bestimmte Mindestinhalte enthalten muss – etwa zu den Zwecken der Verarbeitung, zu technisch-organisatorischen Maßnahmen oder zu Rückgabe- und Löschpflichten.

Für Leistungserbringer in der Sozialwirtschaft ist es wichtig, systematisch zu prüfen, ob eine Zusammenarbeit mit Dritten eine Auftragsverarbeitung darstellt oder ob es sich um eine gemeinsame Verantwortlichkeit oder eine eigenständige Verarbeitung handelt. Im Rahmen der Datenschutzberatung wird hier häufig Klarheit geschaffen, insbesondere bei Mischverhältnissen, etwa bei Softwarelösungen mit begleitender Beratung oder bei ausgelagerten Verwaltungsleistungen.

Die IJOS GmbH stellt über die Datenschutzmanagement-Software (DSM) eine strukturierte Übersicht der eingesetzten Auftragsverarbeiter sowie einsetzbare Vertragsvorlagen bereit. Die Dokumentation der Auftragsverarbeitung kann dort mit weiteren Informationen, wie etwa zur Risikoabwägung oder zur datenschutzrechtlichen Kontrolle von Dienstleistern, ergänzt werden. So entsteht ein transparenter Überblick über alle datenschutzrelevanten Dienstleisterbeziehungen.