Mit welchen Dienstleistern muss man Verträge zur Auftragsverarbeitung schließen?

Das Datenschutzrecht erlaubt es eigentlich nur dann, Daten an andere Stellen zu übermitteln, wenn die betroffene Person vorher um Erlaubnis gefragt wurde und eingewilligt hat oder das Gesetz es erlaubt und die Person benachrichtigt wird – oder wenn es sich um Auftragsverarbeitung handelt.

Auftragsverarbeitung ist für Unternehmen eigentlich eine super Sache, denn wenn eine Auftragsverarbeitung vorliegt, dann braucht man keine Einwilligung der betroffenen Personen und auch keine gesetzliche Erlaubnis und die Personen müssen auch nicht benachrichtigt werden. Ein Vertrag mit dem Auftragsverarbeiter genügt.
Es ist nicht ganz einfach, festzustellen, mit welchen Dienstleistern man Verträge zur Auftragsverarbeitung schließen kann und mit welchen nicht. Deshalb sollten Sie sich immer dann, wenn sie Aufgaben an andere rechtliche Einheiten übertragen und davon auch personenbezogene Daten betroffen sind, folgende Fragen stellen:

  • Von Datenverarbeitung im Auftrag spricht man, wenn sich der Verantwortliche einer Stelle bedient, die für diesen im Auftrag und weisungsbedingt personenbezogene Daten verarbeitet. Dies bedeutet, der Auftragsgegenstand muss sich auf die technische Hilfstätigkeit beziehen.
  • Die betroffene Person willigt in der Regel nur der Verarbeitung ein, wenn sie weiß, wer Zugriff auf die Daten hat. Sofern sich der Verantwortliche nunmehr technische Hilfe zur Seite holt, ist ein schriftlicher Vertrag zwischen dem Verantwortlichen und dem Beauftragten aufzusetzen. Zudem muss der Verantwortliche sicherstellen, dass der Beauftragte die Anforderungen der DS-GVO umsetzt. Hierzu eignen sich die technischen und organisatorischen Maßnahmen (TOMs) des Beauftragten bestens.
  • Keine Auftragsdatenverarbeitung liegt hingegen vor, wenn eine Funktion übertragen wird, z.B. bei der die der Verarbeitung zugrundeliegende Aufgabe mit übertragen wird (Bspl.: Mitarbeiterrekrutierung, Vertragskundenbetreuung, Finanz-, Steuer- und Unternehmensberatung, Wirtschaftsbetreuung, Inkassotätigkeit usw.). Dies geht über Hilfstätigkeiten hinaus und der Dritte handelt dort meist eigenverantwortlich. Die hierzu notwendige Weitergabe bedarf einer speziellen Rechtsgrundlage nach Art. 5 und 6 DS-GVO.

Keine Auftragsdatenverarbeitung liegt ferner vor, wenn die fremd in Anspruch genommene Tätigkeit, die im eigentlichen Kern nicht den Umgang mit personenbezogenen Daten betrifft, sondern andere Dienstleistungsschwerpunkte im Vordergrund stehen und der notwendigerweise damit verbundene Umgang mit personenbezogenen Daten nur ein unvermeidliches „Beiwerk“ oder eine Kenntnisnahme personenbezogener Daten bei der Leistungserbringung ist, z.B.: Briefsendung über einen Kurierdienst, Telekommunikationsdienst.

Entscheidend für die Abgrenzung ist daher, ob der Beauftragte lediglich eine Hilfsfunktion wahrnimmt.

Fragen Sie im Zweifel Ihren Datenschutzbeauftragten. Auch die Landesdatenschutzbehörden geben Auskunft, eine ihrer Aufgaben ist es, Unternehmen zu beraten.

Typische Fälle für eine Auftragsverarbeitung

  • externe Lohn- oder Gehaltsabrechnung
  • Newsletterversand durch eine Marketingagentur
  • Nutzung von Cloud-Diensten zur Personal- und Kundenverwaltung
  • Datenträgerentsorgung, Aktenvernichtung
  • Lettershops, die in Ihrem Auftrag Werbung an Kunden versenden
  • Webanalyse- und Trackings-Dienste wie Google Analytics
  • Kunden-Helpdesks
  • Ausgelagerte Rechenzentren
  • Callcenter, die Kundendaten ohne wesentliche eigenen Entscheidungsspielräume verarbeiten
  • Dienste, die Daten erfassen, konvertieren oder Dokumente einscannen
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen

Wenn Sie die gesamte Verarbeitung der Daten auf jemand anderen übertragen und nicht mehr selbst „Herr der Daten“ sind, dann liegt keine Auftragsverarbeitung vor. Das ist der Fall, wenn Sie beispielsweise nicht mehr selbst darüber entscheiden, wer Zugang zu den Daten hat, welche Daten gelöscht werden und wenn Sie auch nicht mehr für Auskünfte zuständig sind. Also wenn der Dienstleister eigenverantwortlich mit den ihm anvertrauten Daten umgeht. Dann spricht man von einer Funktionsübertragung.
Wenn die Dienstleistung in speziellen Gesetzen geregelt ist (zum Beispiel bei Telekommunikations- oder Postdienstleistungen), liegt ebenfalls keine Auftragsverarbeitung vor. Auch wenn es um rein technische Wartung geht, findet laut Bitkom keine Datenverarbeitung statt.

Förderpartner für Nachhaltigkeit und Digitalisierung

alphin
Salto Systems Logo
Dialogshift
ibelsa
Logo Commerzbank Global Payment
Logo Proptech1 Ventures
196+ Forum München
Linkedin

Newslettter Anmeldung

Hier klicken
Impressum | Datenschutz

Berichte

Belästigendes oder schikanierendes Verhalten (z. B. Mobbing)
Enthält beleidigende oder herabsetzende Inhalte
Enthält irreführende oder falsche Informationen
Enthält Inhalte für Erwachsene oder sensible Inhalte
Enthält Spam, gefälschte Inhalte oder potenzielle Malware

Alle Mitglieder

Um die Seite zu nutzen, melden Sie sich an.

Du kannst nicht mehr:

  • Beiträge des gesperrten Mitglieds sehen
  • Erwähne dieses Mitglied in Beiträgen
  • Dieses Mitglied zu Gruppen einladen
  • Nachricht an dieses Mitglied
  • Dieses Mitglied als Freund hinzufügen

Bitte beachten: Diese Aktion entfernt das Mitglied auch aus deinen Verbindungen und sendet einen Bericht an den Administrator der Website. Dieser Vorgang kann einige Minuten dauern.

Berichte

Du bist bereits eingeloggt. .

Stay in the loop

Verpasse keine Einladung zu Events und weiteren Aktivitäten in der Community.