Blog, Datenschutz & Informationssicherheit

Wann handelt es sich um eine Auftragsverarbeitung? Diese Frage gilt es heute zu klären.

Allgemein sind Auftragsverarbeiter im Sinne der DS-GVO nur Unternehmen / Dienstleister, die im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt werden. Insbesondere verarbeiten die Dienstleister gemäß Art. 4 Abs. 8 und Art. 28 Abs. 3 a) DS-GVO die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen. Das bedeutet, es handelt sich um einen Auftragsverarbeiter, wenn der Auftragnehmer..

  • keine Entscheidungsbefugnis über die Daten hat
  • keinen eigenen Geschäftszweck bezüglich der personenbezogenen Daten verfolgt
  • einem Nutzungsverbot der zu verarbeitenden Daten untersteht
  • in keiner vertraglichen Beziehung zu den Betroffenen steht, von denen er personenbezogene Daten verarbeitet
  • einen Zugriff auf personenbezogene Daten haben könnte
  • nicht für die Verarbeitung verantwortlich ist.

Konkret sind Unternehmen als Auftragsverarbeiter zu identifizieren, die z.B.

  • die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren für den Auftraggeber übernehmen,
  • dem Auftraggeber Speicherplatz im Rahmen von Cloud-Computing zur Verfügung stellen, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich,
  • in einem Lettershop Werbeadressen verarbeiten
  • Kundendaten in einem Callcenter verarbeiten, ohne wesentliche eigene Entscheidungsspielräume zu besitzen,
  • die E-Mail-Verwaltung oder sonstige Datendienste zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen) übernehmen,
  • die Datenerfassung, Datenkonvertierung oder das Einscannen von Dokumenten übernehmen,
  • die Archivierungen und Backup-Sicherheitsspeicherung übernehmen,
  • für den Auftraggeber Datenträger entsorgen oder die Vernichtung von Akten mit personenbezogenen Daten übernehmen,
  • automatisierte Verfahren oder Datenverarbeitungsanlagen prüfen oder warten (z.B. durch Fernwartung oder externen Support), wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann,
  • bestimmte „Shared Services-Dienstleistungen“ innerhalb eines Konzerns zentral übernehmen, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt),
  • Rechenzentren für Apotheken nach § 300 SGB V betreiben,
  • als ärztliche/zahnärztliche Verrechnungsstellen ohne Forderungsverkauf agieren,
  • als Sicherheitsdienst an der Pforte Besucher- und Anliefererdaten erheben,
  • im Auftrag Messwerte in Mietwohnungen (Heizung, Strom, Wasser etc.) ablesen und/oder erfassen bzw. verarbeiten oder
  • als Dienstleistung die Visabeschaffung übernehmen und hierfür vom Arbeitgeber die Beschäftigtendaten erhalten.

Fachliche Dienstleister, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. diese nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, zählen nicht zu den Auftragsverarbeitern.

Dabei können zwei Arten von Dienstleistungen unterschieden werden:

  • Die Inanspruchnahme von fremden Fachleistungen, bei denen der Dienstleister ein eigenständiger Verantwortlicher ist.
  • Die Inanspruchnahme von fremden Fachleistungen, bei denen im Kern keine beauftragte Verarbeitung personenbezogener Daten vorliegt, sondern eine andere Tätigkeit ausgeübt wird.

Eigenständig Verantwortliche sind dabei beispielsweise:

  • Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfen),
  • Inkassobüros mit Forderungsübertragung,
  • Bankinstitute für den Geldtransfer,
  • Postdienste für den Brief- oder Pakettransport,
  • Tätigkeit als WEG-Verwalter oder aber auch Sondereigentumsverwalter,
  • Beauftragte Warenzusendungen (Hersteller und Großhändler, die per Direktlieferung an den Endkunden liefern, die Adressen jedoch von Einzelhändlern bekommen; Blumen- oder Weinversender, die Adressdaten zur Versendung von Blumen- oder Weingeschenken erhalten),
  • Insolvenzverwalter,
  • Versicherungs-/Finanzmakler, -vermittler im Rahmen des Kundenvertrags,
  • Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen oder
  • Hersteller individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten/Kunden im Auftrag von Ärzten, Zahnärzten, Apotheken, Sanitätshäusern usw.

Keine Verarbeitung von personenbezogenen Daten an sich liegt z.B. bei folgenden Tätigkeiten vor:

  • Reparaturen von Handwerkern, die vom Vermieter die nötigen Mieterdaten erhalten haben,
  • Die Beförderung von Personen oder Krankentransporte
  • Der Einsatz von Bewachungsdienstleistern,
  • Der Einsatz von Reinigungsdienstleistern und Handwerkern im Unternehmen
  • Das Drucken von Prospekten oder Unternehmenskatalogen, in denen Bilder von Beschäftigten oder Fotomodellen vorhanden sind,
  • Der Transport von ausreichend geschreddertem Papiermaterial oder
  • Der Transport von Waren und Unterlagen durch Kurierdienste, Speditionen oder Zeitungsausträger.

Quelle: https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf