Durch die DSGVO wurden hinsichtlich der Auftragsverarbeitung einzelne Aspekte neu geregelt. Auftragsverarbeitung liegt dann vor, wenn ein Unternehmen sich externer Dienstleister für die Verarbeitung von personenbezogenen Daten bedient wie beispielsweise Rechenzentren, Call-Center oder Agenturen. Gemäß § 11 Abs. 5 BDSG fallen auch Wartungs- und Prüfverträge wie beispielsweise unterschiedliche IT/Programmier-Tätigkeiten. Es kommt also für das Vorliegen von Auftragsverarbeitung gerade darauf an, ob eine Möglichkeit eines Zugriffs auf personenbezogene Daten durch die Ausführung des Auftrags besteht. Das Unternehmen als Auftraggeber bleibt hierbei jedoch stets verantwortlich für die Datenverarbeitungsprozesse und die Datensicherheit. Um dies zu gewährleisten sollte ein Auftragsverarbeitungsvertrag zwischen den Parteien geschlossen werden. Der Inhalt eines solchen Vertrages legt Art. 28 DSGVO unter Absatz 3 fest und deren Einhaltung sollte regelmäßig kontrolliert werden. Bei der Beurteilung, ob eine Auftragsverarbeitung vorliegt und auch bei der Erstellung eines Auftragsverarbeitungsvertrags steht den Unternehmen regelmäßig der Datenschutzbeauftragte zur Seite.
