Wann handelt es sich um eine Auftragsverarbeitung? Diese Frage gilt es heute zu klären.
Allgemein sind Auftragsverarbeiter im Sinne der DS-GVO nur Unternehmen / Dienstleister, die im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt werden. Insbesondere verarbeiten die Dienstleister gemäß Art. 4 Abs. 8 und Art. 28 Abs. 3 a) DS-GVO die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen. Das bedeutet, es handelt sich um einen Auftragsverarbeiter, wenn der Auftragnehmer..
- keine Entscheidungsbefugnis über die Daten hat
- keinen eigenen Geschäftszweck bezüglich der personenbezogenen Daten verfolgt
- einem Nutzungsverbot der zu verarbeitenden Daten untersteht
- in keiner vertraglichen Beziehung zu den Betroffenen steht, von denen er personenbezogene Daten verarbeitet
- einen Zugriff auf personenbezogene Daten haben könnte
- nicht für die Verarbeitung verantwortlich ist.
Konkret sind Unternehmen als Auftragsverarbeiter zu identifizieren, die z.B.
- die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren für den Auftraggeber übernehmen,
- dem Auftraggeber Speicherplatz im Rahmen von Cloud-Computing zur Verfügung stellen, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich,
- in einem Lettershop Werbeadressen verarbeiten
- Kundendaten in einem Callcenter verarbeiten, ohne wesentliche eigene Entscheidungsspielräume zu besitzen,
- die E-Mail-Verwaltung oder sonstige Datendienste zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen) übernehmen,
- die Datenerfassung, Datenkonvertierung oder das Einscannen von Dokumenten übernehmen,
- die Archivierungen und Backup-Sicherheitsspeicherung übernehmen,
- für den Auftraggeber Datenträger entsorgen oder die Vernichtung von Akten mit personenbezogenen Daten übernehmen,
- automatisierte Verfahren oder Datenverarbeitungsanlagen prüfen oder warten (z.B. durch Fernwartung oder externen Support), wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann,
- bestimmte „Shared Services-Dienstleistungen“ innerhalb eines Konzerns zentral übernehmen, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt),
- Rechenzentren für Apotheken nach § 300 SGB V betreiben,
- als ärztliche/zahnärztliche Verrechnungsstellen ohne Forderungsverkauf agieren,
- als Sicherheitsdienst an der Pforte Besucher- und Anliefererdaten erheben,
- im Auftrag Messwerte in Mietwohnungen (Heizung, Strom, Wasser etc.) ablesen und/oder erfassen bzw. verarbeiten oder
- als Dienstleistung die Visabeschaffung übernehmen und hierfür vom Arbeitgeber die Beschäftigtendaten erhalten.
Fachliche Dienstleister, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. diese nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, zählen nicht zu den Auftragsverarbeitern.
Dabei können zwei Arten von Dienstleistungen unterschieden werden:
- Die Inanspruchnahme von fremden Fachleistungen, bei denen der Dienstleister ein eigenständiger Verantwortlicher ist.
- Die Inanspruchnahme von fremden Fachleistungen, bei denen im Kern keine beauftragte Verarbeitung personenbezogener Daten vorliegt, sondern eine andere Tätigkeit ausgeübt wird.
Eigenständig Verantwortliche sind dabei beispielsweise:
- Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfen),
- Inkassobüros mit Forderungsübertragung,
- Bankinstitute für den Geldtransfer,
- Postdienste für den Brief- oder Pakettransport,
- Tätigkeit als WEG-Verwalter oder aber auch Sondereigentumsverwalter,
- Beauftragte Warenzusendungen (Hersteller und Großhändler, die per Direktlieferung an den Endkunden liefern, die Adressen jedoch von Einzelhändlern bekommen; Blumen- oder Weinversender, die Adressdaten zur Versendung von Blumen- oder Weingeschenken erhalten),
- Insolvenzverwalter,
- Versicherungs-/Finanzmakler, -vermittler im Rahmen des Kundenvertrags,
- Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen oder
- Hersteller individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten/Kunden im Auftrag von Ärzten, Zahnärzten, Apotheken, Sanitätshäusern usw.
Keine Verarbeitung von personenbezogenen Daten an sich liegt z.B. bei folgenden Tätigkeiten vor:
- Reparaturen von Handwerkern, die vom Vermieter die nötigen Mieterdaten erhalten haben,
- Die Beförderung von Personen oder Krankentransporte
- Der Einsatz von Bewachungsdienstleistern,
- Der Einsatz von Reinigungsdienstleistern und Handwerkern im Unternehmen
- Das Drucken von Prospekten oder Unternehmenskatalogen, in denen Bilder von Beschäftigten oder Fotomodellen vorhanden sind,
- Der Transport von ausreichend geschreddertem Papiermaterial oder
- Der Transport von Waren und Unterlagen durch Kurierdienste, Speditionen oder Zeitungsausträger.
Quelle: https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf
Unser Blogangebot stellt lediglich einen unverbindlichen Informationszweck und keine Rechtsberatung dar. Sie spiegelt stets nur die Meinung des Autors wider. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.