Unter Auftragsverarbeitung wird die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter im Auftrag eines datenschutzrechtlich Verantwortlichen verstanden.

• Verantwortlicher: das Unternehmen, das den Auftrag zur Verarbeitung der Daten erteilt.
• Auftragsverarbeiter: das Unternehmen, das im Auftrag als Auftragnehmer die Daten verarbeitet.

Dabei ist der Auftragsverarbeiter an die Weisungen des Verantwortlichen gebunden. Die Beteiligten müssen einen Vertrag über die Auftragsverarbeitung schließen.

Auftragsverarbeitung kann also zum Beispiel vorliegen, wenn das Unternehmen seine Lohnbuchhaltung auf einen Dienstleister auslagert, ein externes Unternehmen den Versand postalischer Werbung übernimmt oder mit Aktenvernichtung und Datenträgerentsorgung beauftragt wird.

Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die zuverlässig sind und die geeignete  technische und organisatorische Maßnahmen (TOM) ergreifen, um die Einhaltung des Datenschutzes zu gewährleisten. Seine Kompetenz sollte der Auftragsverarbeiter vor Vertragsabschluss belegen können, zum Beispiel durch eine Zertifizierung.

Für die Auftragsverarbeitung gelten europaweit einheitliche Regeln. Diese Regeln sind in der Datenschutz-Grundverordnung (DS-GVO) fixiert und gelten für alle Unternehmen in der Europäischen Union (EU).

Hier geht es zu den sog. "Standardvertragsklauseln" der DS-GVO, die den Inhalt eines Vertrages zur Auftragsverarbeitung regeln.