Auftragsverarbeitung ist für Unternehmen eigentlich eine super Sache, denn wenn eine Auftragsverarbeitung vorliegt, dann braucht man keine Einwilligung der betroffenen Personen und auch keine gesetzliche Erlaubnis und die Personen müssen auch nicht benachrichtigt werden. Ein Vertrag mit dem Auftragsverarbeiter genügt.
Es ist nicht ganz einfach, festzustellen, mit welchen Dienstleistern man Verträge zur Auftragsverarbeitung schließen kann und mit welchen nicht. Deshalb sollten Sie sich immer dann, wenn sie Aufgaben an andere rechtliche Einheiten übertragen und davon auch personenbezogene Daten betroffen sind, folgende Fragen stellen:
- Von Datenverarbeitung im Auftrag spricht man, wenn sich der Verantwortliche einer Stelle bedient, die für diesen im Auftrag und weisungsbedingt personenbezogene Daten verarbeitet. Dies bedeutet, der Auftragsgegenstand muss sich auf die technische Hilfstätigkeit beziehen.
- Die betroffene Person willigt in der Regel nur der Verarbeitung ein, wenn sie weiß, wer Zugriff auf die Daten hat. Sofern sich der Verantwortliche nunmehr technische Hilfe zur Seite holt, ist ein schriftlicher Vertrag zwischen dem Verantwortlichen und dem Beauftragten aufzusetzen. Zudem muss der Verantwortliche sicherstellen, dass der Beauftragte die Anforderungen der DS-GVO umsetzt. Hierzu eignen sich die technischen und organisatorischen Maßnahmen (TOMs) des Beauftragten bestens.
- Keine Auftragsdatenverarbeitung liegt hingegen vor, wenn eine Funktion übertragen wird, z.B. bei der die der Verarbeitung zugrundeliegende Aufgabe mit übertragen wird (Bspl.: Mitarbeiterrekrutierung, Vertragskundenbetreuung, Finanz-, Steuer- und Unternehmensberatung, Wirtschaftsbetreuung, Inkassotätigkeit usw.). Dies geht über Hilfstätigkeiten hinaus und der Dritte handelt dort meist eigenverantwortlich. Die hierzu notwendige Weitergabe bedarf einer speziellen Rechtsgrundlage nach Art. 5 und 6 DS-GVO.
Keine Auftragsdatenverarbeitung liegt ferner vor, wenn die fremd in Anspruch genommene Tätigkeit, die im eigentlichen Kern nicht den Umgang mit personenbezogenen Daten betrifft, sondern andere Dienstleistungsschwerpunkte im Vordergrund stehen und der notwendigerweise damit verbundene Umgang mit personenbezogenen Daten nur ein unvermeidliches „Beiwerk“ oder eine Kenntnisnahme personenbezogener Daten bei der Leistungserbringung ist, z.B.: Briefsendung über einen Kurierdienst, Telekommunikationsdienst.
Entscheidend für die Abgrenzung ist daher, ob der Beauftragte lediglich eine Hilfsfunktion wahrnimmt.
Fragen Sie im Zweifel Ihren Datenschutzbeauftragten. Auch die Landesdatenschutzbehörden geben Auskunft, eine ihrer Aufgaben ist es, Unternehmen zu beraten.
Typische Fälle für eine Auftragsverarbeitung
- externe Lohn- oder Gehaltsabrechnung
- Newsletterversand durch eine Marketingagentur
- Nutzung von Cloud-Diensten zur Personal- und Kundenverwaltung
- Datenträgerentsorgung, Aktenvernichtung
- Lettershops, die in Ihrem Auftrag Werbung an Kunden versenden
- Webanalyse- und Trackings-Dienste wie Google Analytics
- Kunden-Helpdesks
- Ausgelagerte Rechenzentren
- Callcenter, die Kundendaten ohne wesentliche eigenen Entscheidungsspielräume verarbeiten
- Dienste, die Daten erfassen, konvertieren oder Dokumente einscannen
- Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen
Wenn Sie die gesamte Verarbeitung der Daten auf jemand anderen übertragen und nicht mehr selbst „Herr der Daten“ sind, dann liegt keine Auftragsverarbeitung vor. Das ist der Fall, wenn Sie beispielsweise nicht mehr selbst darüber entscheiden, wer Zugang zu den Daten hat, welche Daten gelöscht werden und wenn Sie auch nicht mehr für Auskünfte zuständig sind. Also wenn der Dienstleister eigenverantwortlich mit den ihm anvertrauten Daten umgeht. Dann spricht man von einer Funktionsübertragung.
Wenn die Dienstleistung in speziellen Gesetzen geregelt ist (zum Beispiel bei Telekommunikations- oder Postdienstleistungen), liegt ebenfalls keine Auftragsverarbeitung vor. Auch wenn es um rein technische Wartung geht, findet laut Bitkom keine Datenverarbeitung statt.