Im Zuge der Zusammenarbeit mit externen Dienstleistern ist zu klären, ob eine Auftragsverarbeitung vorliegt. Charakteristisch für Auftragsverarbeitung ist, dass ein Unternehmen externe Dienstleister damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten. Auch wenn die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt, haftet aber auch derjenige, der die Daten im Auftrag verarbeitet. Und zwar direkt geenüber dem Betroffenen ,wenn er mit den Daten nicht gesetzeskonform umgeht und sie beispielsweise für eigene Zwecke verarbeitet oder an Dritte weitergibt. Auch bei Datenpannen haftet auch der Auftragsverarbeiter.
Ein Auftragnehmer darf nur mit Auftragsverarbeitern arbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so eingesetzt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
Grundlage für die Auftragsverarbeitung ist ein schriftlicher Vertrag zwischen Auftraggeber und Auftragsverarbeiter. Dies kann auch in einem elektronischen Format erfolgen, in jedem Fall müssen die Anforderungen aus Artikel 28 DSGVO erfüllt sein.