Handelt es sich bei der Weitergabe von personenbezogenen Daten im Auftragsverhältnis immer um Auftragsverarbeitung?
Die DSGVO lernt laufen – und manchmal wird auch über die Ziele der DSGVO hinausgeschossen. Aufgrund von Fehlinformationen, Unsicherheiten oder um unliebsame Massnahmen unter dem „Deckmantel“ der DSGVO durchzusetzen. Wir klären auf.
Mythos Nr. 2: Bei der Weitergabe von personenbezogenen Daten im Auftragsverhältnis handelt es sich immer um Auftragsverarbeitung.
Falsch.
Auftragsverarbeiter verarbeiten personenbezogene Daten im Auftrag des Verantwortlichen (Auftraggeber) und auf Basis seiner Weisungen. Der Verantwortliche legt die Zwecke und Mittel der Verarbeitung fest. Im Regelfall hat der Auftragsverarbeiter keine Entscheidungsbefugnis über die Daten und steht in keiner vertraglichen Beziehung zu den Betroffenen, deren Daten er verarbeitet. Bei der Auftragsverarbeitung liegt der Schwerpunkt des Auftrags in der Verarbeitung der Daten, nicht in der Nutzung der Daten.
Keine Auftragsverarbeitung ist die Inanspruchnahme von Dienstleistungen bei einem eigenständig Verantwortlichen, der über den Zweck der Verarbeitung und die wesentlichen Mittel entscheidet. Bei der Beauftragung steht im Regelfall nicht die Verarbeitung der Daten im Vordergrund, sondern eine fachliche Dienstleistung und die damit verbundene Nutzung der Daten.
Es liegt auch keine Auftragsverarbeitung vor, wenn eine gemeinsame Verantwortlichkeit gegeben ist, d.h. wenn mehrere Verantwortliche gemeinsam über die Verarbeitungszwecke und -mittel entscheiden.
Beispiele
Etwas klarer ersichtlich wird dies anhand der folgenden Beispiele.
Auftragsverarbeitung können folgende Dienstleistungen sein:
- DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren
- Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist
- Werbeadressenverarbeitung in einem Lettershop
- Verarbeitung von Kundendaten durch ein Call-Center ohne wesentliche eigene Entscheidungsspielräume dort
- Auslagerung der EMail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen)
- Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
- Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen
- Datenträgerentsorgung durch Dienstleister
- Prüfung oder Wartung (z.B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann
- Zentralisierung bestimmter „Shared Servics-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisenplanungen oder Reisekostenabrechnungen (sofern kein Fall gemeinsamer Verantwortlichkeiten vorliegt)
- Apothekenrechenzentren
- ärztliche/zahnärztliche Verrechnungsstellen ohne Forderungsverkauf
- Sicherheitsdienste, die an der Pforte Besucher- und Anlieferdaten erheben
- externe Personen, Dienstleister usw., die im Auftrag Messwerte in Mietwohnungen (Heizung, Strom, Wasser etc.) ablesen und/oder erfassen bzw. verarbeiten
- Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten erhalten
Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständigen Verantwortlichen können in der Regel sein:
- Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer)
- Inkassobüros mit Forderungsübertragung
- Bankinstitut für den Geldtransfer
- Postdienst für den Brieftransport
- Tätigkeit als Wohneigentums-Verwalter
- Detektive bei ihrer Observierungs-/Überwachungs-/Ausforschungstätigkeit
- Hersteller und Grosshändler, die von Einzelhändlern für mit Endkunden vereinbarte Direktlieferungen die Endkundenadressen erhalten (beauftragte Warenzusendung)
- Insolvenzverwalter
- Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern
- Internet-Plattformbetreiber zur Vermittlung zwischen Anbietern und Nachfragern
- Versicherungs-/Finanzmakler, -vermittler im Rahmen des Kundenvertrags
- Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen
- Übersendung von Schulungsteilnehmer-Daten zur Durchführung einer Schulung an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel
- Fertigung individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten/Kunden im Auftrag von Ärzten, Zahnärzten, Apotheken, Sanitätshäusern usw.
- MedizinischeLabore, Materiallabore usw. (Materialuntersuchung im Auftrag)
- Zahlungsdienstleister für elektronische Zahlungen (Transport von Zahlungsdaten, Geldwäsche-und Betrugsprüfung)
- von Reisebüros aufgrund Kundenvertrags vermittelte Leistungsanbieter, wie Hotels, Mietwagenfirmen, Fluggesellschaften, Busunternehmen, Versicherungen usw.
- Vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten
- Druck von Prospekten, Katalogen, mit Bildern von Beschäftigten oder Fotomodellen
- Transport von ausreichend geschreddertem Papiermaterial
- Transport von Unterlagen und Waren durch Kurierdienste, Speditionen, Zeitungsausträger
- Übersetzung von Texten in/aus Fremdsprachen.
Keine Auftragsverarbeitung, sondern eine gemeinsame Verantwortlichkeit kann in folgenden Fällen vorliegen:
- klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z.B. Sponsor, Studienzentren, Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen
- gemeinsame Verwaltung bestimmter Datenkategorien (z.B. „Stammdaten“) für bestimmte gleichlaufende Geschäftszwecke mehrerer Konzernunternehmen
- Eine Muttergesellschaft stellt seinen Tochtergesellschaften wesentliche Teile der IT-Landschaft zur Verfügung und bestimmt über wesentliche Komponenten (z.B. ERP- und CRM-System, Betriebssysteme, Mail- und Messengerdienste).
Kann ein Auftragsverarbeiter gleichzeitig Verantwortlicher sein?
Ja. Die Verantwortlichkeit bezieht sich nicht auf das gesamte Unternehmen bzw. die gesamte Stelle, sondern sie ergibt sich aus ihren konkreten Verarbeitungstätigkeiten in einem bestimmten Kontext. Ein und dieselbe Stelle kann also gleichzeitig als Verantwortlicher für bestimmte Verarbeitungstätigkeiten und als Auftragsverarbeiter für andere Verarbeitungstätigkeiten tätig sein. Dies muss jeweils mit Blick auf die einzelnen Verarbeitungstätigkeiten beurteilt werden.
Empfehlungen
An den oben genannten Fällen, die von deutschen Aufsichtsbehörden publiziert wurden, kann man sich orientieren. Da die Leistungen eines Dienstleisters sehr vielschichtig sein können und es verschiedene Kriterien zu bewerten gilt, muss im Rahmen einer Einzelfallprüfung untersucht werden, ob eine Auftragsverarbeitung vorliegt. Handelt es sich um eine Auftragsverarbeitung, dann unterliegen der Verantwortliche und der Auftragsverarbeiter den Regelungen für die Auftragsverarbeitung und es sind entsprechende Massnahmen zu ergreifen (Auftragsverarbeitungsvertrag etc.). Liegt keine Auftragsverarbeitung vor, dann sind bezüglich der betroffenen personenbezogenen Daten je nach Sachverhalt vom Verantwortlichen ggf. Zweckbindung und Vertraulichkeit vertraglich festzulegen (z.B. in Vertraulichkeitsvereinbarungen oder Datenschutz-Klauseln in Dienstleistungsverträgen etc.).
Dieser Beitrag wurde aufgrund neuer Veröffentlichungen und Stellungnahmen der Aufsichtsbehörden am 17.09.2019 aktualisiert.
Fallen Ihnen noch Bereiche oder Mythen ein, an die wir bisher nicht gedacht haben? Schreiben Sie uns. Wir sind gespannt auf Ihre Erfahrungen.
Weitere Informationen:
EU-DSGVO: Mythos und Wahrheit (1) – Einwilligung