Die Auftragsverarbeitung (ADV) ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten (z. B. Namen, E-Mail-Adressen, Kontodaten) durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung verantwortlichen auf Grundlage eines Vertrages.

Der Art. 28 Abs. 3 DSGVO gibt dabei dessen inhaltliche Mindestanforderungen vor. Daher ist ein solcher Vertrag recht umfangreich, selbst wenn es in manchen Fällen nur um sehr wenige Daten geht.

Ein Anwendungsbeispiel

Wenn ein Webuser von seinem Recht auf Auskunft und Löschung seiner Daten Gebrauch machen will, muss er sich nicht an alle möglichen Firmen und Personen wenden, die mit seinen Daten bei der Verarbeitung in Berührung gekommen sind, sondern nur an eine, in der jeweiligen Datenschutzerklärung genannten Person. Dieser muss dann weitere Schritte veranlassen und dazu muss geregelt sein, wer wem gegenüber in einem Geflecht von Firmen und Dienstleistern weisungsgebunden ist.

Ein Kunde gibt seine Daten also in ein Web-Formular ein, um E-Mail-News zu bestellen. Später will er wissen, welche Daten genau gespeichert sind. Er wendet sich an den in der Datenschutzerklärung hinterlegten Zuständigen, dieser kontaktiert alle übrigen Beteiligten, die Kontakt mit den Daten haben, z.B. interne Mitarbeiter, den E-Mail-Versand-Dienstleister, den Webdesigner/Administrator, den Hosting-Provider… sammelt die Informationen ein und übermittelt diese gebündelt an den Fragesteller. Der Auftragsdatenverarbeitungsvertrag regelt diese Einzelheiten.