Was ist die Auftragsdatenverarbeitung?

Unter Auftragsdatenverarbeitung (ADV) versteht man die Verarbeitung personenbezogener Daten durch einen externen Dienstleister im Auftrag eines Unternehmens. Mit Inkrafttreten der DSGVO wird heute meist der Begriff Auftragsverarbeitung (AV) verwendet. Die rechtliche Grundlage findet sich in Art. 28 DSGVO.

Das bedeutet konkret: Ein Unternehmen, das Daten von Kunden, Mitarbeitern oder Lieferanten erhebt, kann diese Verarbeitung an einen spezialisierten Dienstleister auslagern. Dieser Auftragsverarbeiter darf die Daten jedoch nicht für eigene Zwecke verwenden, sondern ausschließlich nach den Vorgaben des Unternehmens, das als Verantwortlicher gilt. Damit wird sichergestellt, dass personenbezogene Daten auch dann geschützt sind, wenn sie nicht direkt im Unternehmen selbst verarbeitet werden.

Whitepaper ERP-Anbieterauswahl: Holen Sie das Maximum aus Ihren ERP-Workshops

Kostenloses Whitepaper

Es gibt unzählige ERP-Anbieter. Lesen Sie, worauf Sie bei der Auswahl unbedingt achten müssen.
Jetzt kostenlos anfordern

Auftragsdatenverarbeitung im ERP-Kontext

Im Zusammenhang mit ERP-Systemen (Enterprise Resource Planning) spielt die Auftragsverarbeitung eine besonders wichtige Rolle. Immer dann, wenn ein ERP-System nicht lokal auf den Servern des Unternehmens installiert ist, sondern als Cloud- oder SaaS-Lösung genutzt wird, verarbeitet der ERP-Anbieter oder ein externer IT-Dienstleister personenbezogene Daten im Auftrag des Unternehmens, wie zum Beispiel:

  • Kundendaten und Lieferanteninformationen in der Warenwirtschaft
  • Mitarbeiterdaten in HR- oder Lohnbuchhaltungsmodulen
  • Finanz- und Buchhaltungsdaten im Rechnungswesen
  • Projektdaten mit personenbezogenen Bezügen in Projektmanagement-Modulen

Da all diese Daten oft geschäftskritisch und sensibel sind, muss zwingend ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Dieser regelt die Bedingungen, unter denen der ERP-Anbieter oder IT-Dienstleister die Daten im Auftrag des Unternehmens verarbeitet.

Beispiel KMU: Ein mittelständisches Produktionsunternehmen entscheidet sich für ein Cloud-ERP. Kundendaten, Stücklisten und Lieferanteninformationen werden dabei nicht mehr lokal gespeichert, sondern auf den Servern des ERP-Anbieters verarbeitet. Das Unternehmen muss in diesem Fall einen AVV mit dem Anbieter schließen, der genau regelt, wie mit den Kundendaten umgegangen wird und welche Sicherheitsmaßnahmen gelten.

Beispiel Konzern: Ein internationaler Konzern setzt ein ERP-System ein, das weltweit von verschiedenen Standorten genutzt wird. Neben den zentralen Datenverarbeitungen in der Finanzbuchhaltung sind auch HR-Daten aus mehreren Ländern betroffen. Hier spielt nicht nur der AVV mit dem ERP-Anbieter eine Rolle, sondern auch die Einbindung und Prüfung zahlreicher Subunternehmer und Rechenzentren.

Pflichten des Auftraggebers

Auch wenn die eigentliche Verarbeitung durch einen Dienstleister erfolgt, bleibt das Unternehmen selbst für die Einhaltung der Datenschutzbestimmungen verantwortlich. Die DSGVO weist die Hauptverantwortung klar dem Auftraggeber zu. Typische Pflichten sind:

  • Sorgfältige Auswahl des ERP-Anbieters oder IT-Dienstleisters: Bevor ein Vertrag geschlossen wird, muss geprüft werden, ob der Anbieter die technischen und organisatorischen Maßnahmen umsetzt, die für den Schutz der Daten notwendig sind.
  • Abschluss eines AVV: Ohne diesen Vertrag ist die Verarbeitung rechtlich unzulässig. Der AVV bildet die Grundlage für jede Form der Auftragsdatenverarbeitung.
  • Kontroll- und Dokumentationspflichten: Das Unternehmen muss regelmäßig prüfen, ob der Anbieter die vereinbarten Maßnahmen einhält, und dies dokumentieren. Audits und Nachweise gehören hier zum Standard.
  • Prüfung von Subunternehmern: Viele ERP-Anbieter arbeiten mit Hosting- oder Cloud-Providern zusammen. Auch diese müssen vertraglich erfasst und geprüft werden.

Beispiel: Ein Unternehmen nutzt ein Cloud-ERP, das auf den Servern eines großen Hyperscalers (z. B. AWS oder Azure) betrieben wird. Das Unternehmen muss nicht nur mit dem ERP-Anbieter einen AVV abschließen, sondern auch sicherstellen, dass der Anbieter seine eigenen Subunternehmer ordnungsgemäß eingebunden hat.

Auftragsverarbeitungsvertrag (AVV)

Ein AVV ist das zentrale Dokument, das die Zusammenarbeit zwischen Auftraggeber und Auftragsverarbeiter regelt. Er definiert verbindlich, welche Daten wie, zu welchem Zweck und unter welchen Sicherheitsstandards verarbeitet werden dürfen. Ein AVV muss u. a. folgende Punkte enthalten:

  • Gegenstand und Dauer der Verarbeitung: Welche Daten werden verarbeitet und wie lange?
  • Art und Zweck der Verarbeitung: Zum Beispiel Gehaltsabrechnung, CRM oder Finanzbuchhaltung.
  • Kategorien betroffener Personen: Kunden, Mitarbeiter, Lieferanten oder Geschäftspartner.
  • Rechte und Pflichten des Verantwortlichen: Welche Kontrollrechte hat das Unternehmen, wie wird die Zusammenarbeit organisiert?
  • Technische und organisatorische Maßnahmen (TOMs): Welche Sicherheitsmaßnahmen setzt der Anbieter um (z. B. Verschlüsselung, Zugriffskontrollen)?
  • Regelungen zu Unterauftragsverarbeitern: Darf der ERP-Anbieter weitere Dienstleister einsetzen und wenn ja, unter welchen Bedingungen?

Während nach dem alten Bundesdatenschutzgesetz (BDSG) ein schriftlicher Vertrag zwingend war, erlaubt die DSGVO heute auch eine digitale Form, etwa per elektronischer Signatur.

Änderungen durch die DSGVO

Die DSGVO hat im Vergleich zum alten BDSG einige wesentliche Neuerungen eingeführt:

Mitverantwortung der Auftragsverarbeiter: Anders als früher tragen auch die Dienstleister selbst Verantwortung für die Einhaltung der Datenschutzvorgaben. Sie können bei Verstößen haftbar gemacht werden.

Joint Control: Wenn mehrere Parteien gemeinsam über Zweck und Mittel der Datenverarbeitung entscheiden, spricht man von gemeinsamer Verantwortlichkeit. In diesem Fall sind alle Beteiligten Ansprechpartner für betroffene Personen.

Weisungsgebundenheit bleibt bestehen: Auch nach DSGVO gilt, dass der Dienstleister die Daten nur nach den Vorgaben des Unternehmens verarbeiten darf. Trifft er eigenmächtig Entscheidungen, wird er selbst zum Verantwortlichen – mit allen rechtlichen Konsequenzen.

Beispiel für den ERP-Kontext: Die gemeinsame Nutzung eines Cloud-ERP durch eine Muttergesellschaft und ihre Tochtergesellschaft. Beide Parteien legen gemeinsam fest, welche Daten verarbeitet werden, welche Zugriffsrechte bestehen und zu welchen Zwecken die Verarbeitung erfolgt. In solchen Fällen spricht man von gemeinsamer Verantwortlichkeit (Joint Control), und eine klare vertragliche Regelung ist entscheidend, um Zuständigkeiten eindeutig festzulegen.

Rechtlicher Hinweis:

Die kostenlosen und frei zugänglichen Inhalte dieser Webseite wurden mit größtmöglicher Sorgfalt erstellt. Wir weisen jedoch ausdrücklich darauf hin, dass wir keine Gewähr oder sonstige Verantwortung für die Richtigkeit, Aktualität oder Vollständigkeit der auf dieser Webseite bereitgestellten journalistischen Ratgeber und Informationen übernehmen.

Die Inhalte auf dieser Webseite dienen weder als rechtliche Beratung für Ihr Unternehmen, auf die Sie sich bei der Einhaltung der gesetzlichen Regelungen zum Datenschutz – insbesondere der DSGVO – stützen können noch können sie eine individuelle Rechtsberatung ersetzen.

Durch den Aufruf dieser kostenlosen und frei zugänglichen Inhalte kommt darüber hinaus mangels eines entsprechenden Rechtsbindungswillens unsererseits keinerlei Vertragsverhältnis zwischen uns und Ihnen als Nutzer der Webseite zustande.

Whitepaper ERP-Anbieterauswahl: Holen Sie das Maximum aus Ihren ERP-Workshops

Kostenloses Whitepaper

Es gibt unzählige ERP-Anbieter. Lesen Sie, worauf Sie bei der Auswahl unbedingt achten müssen.
Jetzt kostenlos anfordern

FAQ zu Auftragsdatenverarbeitung (ADV):

Was ist Auftragsdatenverarbeitung (ADV)?

Verarbeitung personenbezogener Daten durch einen externen Dienstleister im Auftrag eines Unternehmens. Mit der DSGVO wird meist der Begriff „Auftragsverarbeitung (AV)“ verwendet.

Wann ist ein AVV mit einem ERP-Anbieter erforderlich?

Immer dann, wenn personenbezogene Daten durch den ERP-Anbieter oder dessen Subunternehmer verarbeitet werden, zum Beispiel bei Cloud-ERP oder SaaS-Lösungen.

Wer ist Verantwortlicher, wer Auftragsverarbeiter?

Das Unternehmen, welches das ERP nutzt, ist Verantwortlicher. Der ERP-Anbieter oder ein betreuender IT-Dienstleister ist Auftragsverarbeiter.

Welche Daten fallen typischerweise in der ERP-Auftragsverarbeitung an?

Kundendaten, Mitarbeiterdaten, Lieferanteninformationen, Finanz- und Buchhaltungsdaten oder Projektdaten.

Was passiert ohne AVV?

Ohne gültigen AVV ist die Verarbeitung rechtswidrig. Unternehmen riskieren nicht nur hohe Bußgelder, sondern auch Vertrauensverlust bei Kunden und Geschäftspartnern.