Seit dem 25.08.2018 ist § 11 des alten Bundesdatenschutzgesetzes (BDSG a. F.) abgeschafft und mit ihm der Begriff des „Auftragsdatenverarbeiters“. Mit Inkrafttreten der europäischen Datenschutz-Grundverordnung (DS-GVO) spricht man nun nur noch von dem sogenannten „Auftragsverarbeiter“. Verarbeitet dieser Daten im Auftrag und nach Weisung des Verantwortlichen, so liegt ein Fall der Auftragsverarbeitung vor, die in Art. 28 DS-GVO konkreter geregelt ist.
Demnach muss der Auftragsverarbeiter u. a. gewährleisten, dass er geeignete technische und organisatorische Maßnahmen durchführt, personenbezogene Daten im Einklang mit den Anforderungen der DS-GVO verarbeitet und den Schutz der Rechte der betroffenen Personen gewährleistet sowie vor allem auch den Verantwortlichen bei der Erfüllung seiner Verpflichtung gegenüber Betroffenen nach bestem Gewissen unterstützt.
Um die Einhaltung der dort festgelegten Anforderungen zu gewährleisten, sollte der Auftraggeber (Verantwortliche) daher mit dem Auftragsverarbeiter einen sogenannten Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen.
Wer ist Auftragsverarbeiter?
Auftragsverarbeiter ist gemäß der Definition in Art. 4 Nr. DS-GVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.
Verantwortlicher ist nach Art. 4 Nr. 7 DS-GVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Maßgeblich ist also, ob die Verarbeitung der Daten „im Auftrag“ eines Verantwortlichen erfolgt. Dies ist der Fall, wenn der Auftragsverarbeiter bei einer Datenverarbeitung involviert ist, selbst aber nicht über Zwecke und Mittel der Verarbeitung entscheidet. Der Auftragsverarbeiter tritt somit nicht als weiterer Verantwortlicher neben dem Verantwortlichen, sondern vielmehr beauftragt der Verantwortliche den Auftragsverarbeiter als seinen „verlängerten Arm“. Das Innenverhältnis zwischen den Beiden wird durch Art. 28 DS-GVO geregelt und legt dem Auftragsverarbeiter weitreichende Pflichten auf, deren Verletzung auch Schadensersatzverpflichtungen gegenüber dem Verantwortlichen begründen können, da schließlich die Verarbeitung durch den Auftragsverarbeiter dem Verantwortlichen zugerechnet wird.
Typische Fälle von Auftragsverarbeitung im Sinne von Art. 28 DS-GVO sind:
- (Fern-)Wartung und externer Support
- Entsorgung von Datenträgern
- Verarbeitung von Kundendaten durch ein Call-Center bzw. in einem Lettershop
- Datenverarbeitung im Rahmen von Cloud-Computing (z. B. Software as a Service (SaaS) Lösungen)
Abgrenzung zur gemeinsamen Verantwortung gemäß Art. 26 Abs.1 DS-GVO
Die Beziehung zwischen Verantwortlichem und Auftragsverarbeiter ist abzugrenzen von der Beziehung der gemeinsamen Verantwortlichen gemäß Art. 26 Abs. 1 DS-GVO, die Mittel und Zweck der Datenverarbeitung gemeinsam festlegen.
Typische Fälle der gemeinsamen Verantwortung im Sinne des Art. 26 DS-GVO sind:
- die gemeinsame Datenverarbeitung in Konzernen und anderen Unternehmensverbünden;
- die gemeinsame Datenverarbeitung in klinischen Arzneimittelstudien, da i. d. R. mehrere Stellen (Sponsor, Studienzentrum, Ärzte) mitwirken, indem sie in Teilbereichen Entscheidungen über die Verarbeitung treffen.
Entscheidendes Abgrenzungskriterium zwischen der gemeinsamen Verantwortung nach Art. 26 DS-GVO und der Auftragsverarbeitung nach Art. 28 DS-GVO, die beide einen Datenverarbeitungsprozess betreffen, in dem mehrere Akteure involviert sind, ist die Weisungsbefugnis.
Nach Art. 29 DS-GVO dürfen der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.
Abgrenzung zu eigenständig Verantwortlichen gemäß Art. 24 DS-GVO
Die Inanspruchnahme fremder Fachleistungen bei einem für die Verarbeitung von Daten gemäß Art. 24 DS-GVO eigenständig Verantwortlichen, der keiner Weisungsbefugnis des Auftraggebers unterliegt, stellt keine Auftragsverarbeitung im Sinne des Art. 28 DS-GVO dar. Vielmehr ist in solchen Fällen für die Übermittlung und die Verarbeitung personenbezogener Daten eine Rechtsgrundlage nach Art. 6 DS-GVO erforderlich.
Klassisches Beispiel ist die Beauftragung eines Berufsgeheimnisträgers. Dazu zählen unter anderem Steuerberater, Rechtsanwälte, Wirtschaftsprüfer sowie auch externe Betriebsärzte.
Ebenfalls keine Auftragsverarbeiter, sondern eigenständige Verantwortliche sind Inkassobüros mit Forderungsübertragung, Postdienste für den Brieftransport sowie auch Externe Datenschutzbeauftragte.
Was mach ich, wenn ich mir nicht sicher bin?
Wenn folgende Kriterien erfüllt sind, ist es sehr wahrscheinlich, dass es sich bei Ihrem Dienstleister um einen Auftragsverarbeiter im Sinne des Art. 28 DS-GVO handelt:
- Es müssen überhaupt Daten an den Dienstleister übermittelt und verarbeitet werden, wobei der potentielle Zugriff bereits genügt.
Ein Bauunternehmer, dem in der Regel außer den Kontaktdaten seines Auftraggebers überhaupt keine personenbezogenen Daten übermittelt werden, ist schon mangels Datenverarbeitung kein Auftragsverarbeiter. Bei IT-Dienstleistern ist vor allem darauf abzustellen, ob sie überhaupt Zugriff auf die Daten haben könnten. Dies ist z.B. der Fall, wenn sie sich auf den Rechner per Fernwartung aufschalten können.
- Der Dienstleister unterhält zu den von der Datenverarbeitung Betroffenen keine eigenen vertraglichen Beziehungen.
- Der Dienstleister hat keine Entscheidungsbefugnis über die ihm übermittelten Daten.
- Der Dienstleister verfolgt keinen eigenen Geschäftszweck bezüglich der ihm übermittelten personenbezogenen Daten.
- Dem Dienstleister ist es untersagt, die zu verarbeitenden Daten zu eigenen Zwecken zu nutzen.
Eine eindeutige Bestimmung ist dennoch oft sehr schwer. Gerne unterstützen wir Sie dabei. Haben Sie weitere Fragen rund um das Thema Auftragsverarbeitung oder wollen Sie sich im Datenschutz dauerhaft besser positionieren?