Aus der Auftragsdatenverarbeitung (ADV) im BDSG-alt wurde die Auftragsverarbeitung (AV) in der DSGVO.
Wenn andere Unternehmen Zugriff auf Ihre Personendaten haben, handelt es sich meist um Auftragsverarbeitung nach DSGVO Art.28.
Leider ist das alles andere als klar.
Charakteristisch für die Auftragsverarbeitung ist, dass ein Unternehmen (Auftraggeber) externe Dienstleister (Auftragnehmer) damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten.
Die bloße Möglichkeit des Datenzugriffs durch den Auftragnehmer genügt dabei schon.
Die Verantwortung für die ordnungsgemäße Datenverarbeitung verbleibt dabei beim Auftraggeber, er ist der Hauptverantwortliche für den Datenschutz.
Der externe Auftragnehmer wird bei der Auftrags(daten)verarbeitung nur unterstützend tätig.

Auftragsverarbeitung liegt beispielsweise i.Allg. vor bei:
  • Einsatz von Fernwartungssystemen
  • Outsourcing von Rechenzentrum oder Software
  • Cloud-Dienste
  • externe Lohn- und Gehaltsabrechnung
  • Call-Center, die im Kundenauftrag Daten erheben
  • Marketingfirma, die Kundendaten für Newsletter oder Statistik verarbeitet
  • externer Dienstleister zur Aktenvernichtung (darunter fällt i.Allg. auch die Reinigungsfirma, die Papierkörbe leert)
  • IT-Dienstleister bei der Überprüfung, Reparatur oder Austausch von Hardware, sofern sie mit Daten in Berührung kommen könnten
  • Internet- Hoster
  • Newsletter- Dienste

Keine Auftragsverarbeitung liegt lt. DSK Kurzpapier Nr. 13 vor bei
Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, der für die Verarbeitung personenbezogener Daten eine eigene Rechtsgrundlage gemäß Art. 6 DSGVO besitzt.
(Ein Auftragsverarbeiter muß keine Rechtsgrundlage gegenüber dem Betroffenen besitzen.)
Beispiel dafür sind:

  • Einbeziehung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, Wirtschaftsprüfre, ext.Betriebsarzt ...)
  • Inkassounternehmen im Auftrag eines Auftraggebers
  • Bankinstitute
  • Telekommunikationsunternehmen
  • Brief- und Kurierdienste
  • E-Mail Provider, die nur die Übermittlung sicher stellen

Keine Auftragsverarbeitung liegt ferner vor, wenn gemeinsam Verantwortliche laut DSGVO Art. 26 gegeben sind, d.h. wenn mehrere Verantwortliche gemeinsam über die Verarbeitungszwecke und  -mittel entscheiden. Hierunter können je nach Gestaltung eine Reihe von Verarbeitungen fallen, die bisweilen unter BDSG-alt als sog. Funktionsübertragung eingestuft wurden.
Beispiele:
  • klinische Arzneimittelstudien, wenn mehrere Mitwirkende ( Sponsor, Studienzentren/ Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen,
  • gemeinsame Verwaltung bestimmter Datenkategorien (z.B. „Stammdaten“) für bestimmte gleichlaufende Geschäftszwecke mehrerer Konzernunternehmen.
Gemeinsame Verantwortliche benötigen keinen Vertrag Auftragsverarbeitung, müssen aber Aufgabenteilung zu den Pflichten der DSGVO vertraglich regeln.

Die genaue Abgrenzung von Auftragsverarbeitung und eigenständiger Verantwortung ist nicht einfach und nicht immer eindeutig.
Der externe Auftragnehmer/Dienstleister ist im Rahmen einer (Funktionsübertragung) nicht weisungsgebunden, sondern kann frei entscheiden, was mit den Daten des Unternehmens geschieht und er hat ein eigenes Interesse an den Daten des Unternehmens.

IT-Rechtsanwalt Stephan Hansen-Oest vertritt in seiner Schwerpunkttheorie die Auffassung, dass eine Auftragsverarbeitung nur in den Fällen vorliegt, in denen der Schwerpunkt der vertraglichen Leistung des Auftragnehmers in der Verarbeitung personenbezogener Daten liegt.
Auf diese Weise werden die Risiken einer Verarbeitung durch Dritte für den Betroffenen auf der einen Seite mit der unternehmerischen Freiheit auf der anderen Seite in Einklang gebracht.
Nach dieser Sichtweise würde ich bei so gearteten Fällen keine Auftragsverarbeitung sehen:
  • Wasserhahn tropft, Mieter ruft Wohnungsverwaltung, Wohnungsverwaltung ruft Handwerker
  • Firma beauftragt Gärtner, Fliesenleger, Dachdecker für Grundstück Nr...

Auftragsverarbeitung muß mit einem Vertrag zur Auftragsverarbeitung entsprechend DSGVO Art. 28 geregelt werden.
Die Verantwortung für die Daten und somit auch für den Vertrag liegt beim Auftraggeber.
Der Vertrag muß alle im Gesetz definierten Punkte beinhalten, seine Existenz ist zwingend vorgeschrieben und bußgeldbewährt.
Der Vertrag muß nicht schriftlich, sondern kann auch elektronisch abgeschlossen werden.

Die meisten Internet Hostingprovider und viele große Cloud-Anbieter halten fertige Verträge zum elektronischen Abschluß bereit.
Genau genommen benötigt man bei den Google-Diensten nicht nur einen Vertrag AV, sondern eine Einwilligung zur Datenübermittlung vor der Nutzung.

Posted: 25.06.2018   /  Updated: 16.10.2018


Neuer Kommentar, Anmerkung oder Hinweis