Aus der Auftragsdatenverarbeitung (ADV) im BDSG-alt wurde die Auftragsverarbeitung (AV) in der DSGVO.
Wenn andere Unternehmen Zugriff auf Ihre Personendaten haben, handelt es sich meist um Auftragsverarbeitung nach DSGVO Art.28.
Leider ist das alles andere als klar.
Charakteristisch für die Auftragsverarbeitung ist, dass ein Unternehmen (Auftraggeber) externe Dienstleister (Auftragnehmer) damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten.
Die bloße Möglichkeit des Datenzugriffs durch den Auftragnehmer genügt dabei schon.
Die Verantwortung für die ordnungsgemäße Datenverarbeitung verbleibt dabei beim Auftraggeber, er ist der Hauptverantwortliche für den Datenschutz.
Der externe Auftragnehmer wird bei der Auftrags(daten)verarbeitung nur unterstützend tätig.

Auftragsverarbeitung liegt beispielsweise i.Allg. vor bei:
  • Einsatz von Fernwartungssystemen
  • Outsourcing von Rechenzentrum oder Software
  • Cloud-Dienste
  • externe Lohn- und Gehaltsabrechnung
  • Call-Center, die im Kundenauftrag Daten erheben
  • Marketingfirma, die Kundendaten für Newsletter oder Statistik verarbeitet
  • externer Dienstleister zur Aktenvernichtung (darunter fällt i.Allg. auch die Reinigungsfirma, die Papierkörbe leert)
  • IT-Dienstleister bei der Überprüfung, Reparatur oder Austausch von Hardware, sofern sie mit Daten in Berührung kommen könnten
  • Internet- Hoster
  • Newsletter- Dienste

Keine Auftragsverarbeitung liegt lt. DSK Kurzpapier Nr. 13 vor bei
Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, der für die Verarbeitung personenbezogener Daten eine eigene Rechtsgrundlage gemäß Art. 6 DSGVO besitzt.
(Ein Auftragsverarbeiter muß keine Rechtsgrundlage gegenüber dem Betroffenen besitzen.)
Beispiel dafür sind:

  • Einbeziehung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer, ext.Betriebsarzt ...)
  • Inkassounternehmen im Auftrag eines Auftraggebers
  • Bankinstitute
  • Telekommunikationsunternehmen
  • Brief- und Kurierdienste
  • E-Mail Provider, die nur die Übermittlung sicher stellen

Keine Auftragsverarbeitung liegt ferner vor, wenn gemeinsam Verantwortliche laut DSGVO Art. 26 gegeben sind, d.h. wenn mehrere Verantwortliche gemeinsam über die Verarbeitungszwecke und  -mittel entscheiden. Hierunter können je nach Gestaltung eine Reihe von Verarbeitungen fallen, die bisweilen unter BDSG-alt als sog. Funktionsübertragung eingestuft wurden.
Beispiele:
  • klinische Arzneimittelstudien, wenn mehrere Mitwirkende ( Sponsor, Studienzentren/ Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen,
  • gemeinsame Verwaltung bestimmter Datenkategorien (z.B. „Stammdaten“) für bestimmte gleichlaufende Geschäftszwecke mehrerer Konzernunternehmen.
Gemeinsame Verantwortliche benötigen keinen Vertrag Auftragsverarbeitung, müssen aber Aufgabenteilung zu den Pflichten der DSGVO vertraglich regeln.

Die genaue Abgrenzung von Auftragsverarbeitung und eigenständiger Verantwortung ist nicht einfach und nicht immer eindeutig.
Der externe Auftragnehmer/Dienstleister ist im Rahmen einer (Funktionsübertragung) nicht weisungsgebunden, sondern kann frei entscheiden, was mit den Daten des Unternehmens geschieht und er hat ein eigenes Interesse an den Daten des Unternehmens.