Auftragsdatenverarbeitung

Auftragsdatenverarbeitung bezeichnet die Verarbeitung personenbezogener Daten durch einen Auftragnehmer im Auftrag und nach Weisung des Verantwortlichen (Art. 28 DSGVO); sie ist von einer gemeinsamen Verantwortlichkeit (Joint Controller) abzugrenzen. Öffentliche Auftraggeber müssen bei IT-Vergaben, die den Zugriff des Auftragnehmers auf personenbezogene Daten beinhalten (z. B. Cloud-Dienste, Helpdesk, IT-Betrieb), einen Auftragsverarbeitungsvertrag (AVV) abschließen. Die technischen und organisatorischen Maßnahmen (TOMs) des Auftragnehmers sind vertraglich festzulegen und regelmäßig zu prüfen.