Logo der Universität Passau

Auftragsverarbeitung von personenbezogenen Daten

Was ist eine Auftragsverarbeitung und warum brauche ich einen Auftragsverarbeitungsvertrag?

Eine Auftragsverarbeitung liegt vor, wenn ein Dritter im Auftrag der Universität Passau, z.B. im Rahmen einer zu erbringenden Dienstleistung (z.B. Cloudanbieter), personenbezogene Daten verarbeitet, die im Verantwortungsbereich der Hochschule liegen und sie deshalb die datenschutzrechtliche Verantwortlichkeit trägt. Art. 28 DSGVO regelt das Verhältnis zwischen Auftragsverarbeiter und Hochschule und legt fest, dass die Hochschule weiterhin datenschutzrechtlich verantwortlich bleibt und durch eine schriftliche Vereinbarung ihre Weisungsbefugnis gegenüber dem Auftragsverarbeiter sicherstellt und ausübt.

In dieser Vereinbarung ist zu dokumentieren, welche geeigneten technischen und organisatorischen Maßnahmen (TOM) der Auftragsverarbeiter ergreift, um die Verarbeitung der personenbezogenen Daten im Einklang mit den Anforderungen der DSGVO sicherzustellen und der Schutz der Rechte der betroffenen Person zu gewährleisten. Diese Garantien umfassen sowohl den ordnungsgemäßen Datenschutz, als auch die IT-Sicherheit.

Wo erhalten Sie Unterstützung?

Der Datenschutzbeauftragte unterstützt Sie gerne beim Abschluss einer Auftragsverarbeitungsvereinbarung mit dem externen Anbieter. Wenden Sie sich dazu bitte an folgende Funktions-E-Mail: datenschutz@uni-passau.de.

Zur Bearbeitung Ihrer Anfrage geben Sie bitte kurz Gegenstand, Dauer, Art und Zweck der Verarbeitung/Beschaffung an und teilen einen ggf. bereits vorhandenen Kontakt zum externen Anbieter mit.

Die Universität Passau schließt in den Bereichen Forschung, Lehre, Transfer und Verwaltung regelmäßig Auftragsverarbeitungsvereinbarungen ab. Hier können Sie eine Liste mit den derzeit bestehenden Vereinbarungen abrufen.

Sofern sich Ihre beabsichtigte Auftragsverarbeitung mit dem externen Anbieter bereits in der Liste befindet, ist regelmäßig keine neue Auftragsverarbeitungsvereinbarung abzuschließen. Für Rückfragen können Sie sich gerne an den Datenschutzbeauftragten wenden.

Eine Auftragsverarbeitung liegt regelmäßig bei folgenden Verarbeitungsvorgängen vor:

  • externe Datenarchivierung
  • Cloud-Nutzung
  • externe Durchführung von Befragungen
  • Software-Nutzung
  • externe Massenverarbeitungen (Newsletter-Versand)

Wie viel Zeit sollten Sie für die Bearbeitung einplanen?

Eine genaue Angabe zum zeitlichen Rahmen der Vertragsabwicklung ist nur schwer möglich, da die zugrundeliegenden Sachverhalte sehr unterschiedlich sind und manche Auftragsverarbeiter sich Ihrer verantwortungsvollen Rolle im Datenschutz nicht immer bewusst sind. Wir empfehlen Ihnen daher, bei der Auswahl des Anbieters insbesondere auf dessen "Datenschutzbewusstsein" zu achten und zu klären, ob er die erforderlichen Dokumentationen (TOM) bereit hält. Ist dies nicht der Fall, sollten Sie prüfen, ob Sie auf einen anderen datenschutzkonformen Anbieter ausweichen können.

Der Datenschutzbeauftragte tritt mit dem externen Anbieter in Kontakt und klärt die Einzelheiten zum Abschluss einer Auftragsverarbeitungsvereinbarung ab. Die rechtsverbindliche Unterzeichnung der Auftragsverarbeitungsvereinbarung erfolgt zwingend durch den Präsidenten der Universität Passau. Der Unterschriftenprozess wird unter Einbeziehung aller Verfahrensbeteiligten durch den Datenschutzbeauftragten initiiert.

Wegen des erfahrungsgemäß hohen administrativen Aufwands raten wir Ihnen, frühzeitig neben der Beschaffung auch den Datenschutzbeauftragten zu kontaktieren. Es kann, je nach Anbieter, durchaus zu einer mehrwöchigen Bearbeitungsdauer kommen. Die Durchführung einer Auftragsverarbeitung ohne das Vorliegen einer unterzeichneten Auftragsverarbeitungsvereinbarung ist datenschutzrechtlich unzulässig.

Hinweis

Einige Inhalte auf dieser Seite sind nur im Intranet der Universität sichtbar.

Externer Datenschutz­beauftragter

Johannes Nehlsen
Tel.: +49 851/509-1126
Tel.: +49 871 / 20 54 94 – 0
datenschutz@uni-passau.de

Ich bin damit einverstanden, dass beim Abspielen des Videos eine Verbindung zum Server von Vimeo hergestellt wird und dabei personenbezogenen Daten (z.B. Ihre IP-Adresse) übermittelt werden.
Ich bin damit einverstanden, dass beim Abspielen des Videos eine Verbindung zum Server von YouTube hergestellt wird und dabei personenbezogenen Daten (z.B. Ihre IP-Adresse) übermittelt werden.
Video anzeigen