Auftragsverarbeitung erkennen

Das wichtigste an der Auftragsverarbeitung (AV) ist, dass Sie eine Auftragsverarbeitung erkennen können. Zugegeben, das ist nicht immer einfach weil gerade die Auftragsverarbeitung ein sehr spezielles Feld ist.

Es gibt bei der AV viele Ausnahmen und Unsicherheiten.

Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

Auftragsverarbeitung in DSGVO und BDSG

Zur Auftragsverarbeitung finden Sie in der DSGVO die meisten Informationen in Artikel 28 – dem wichtigsten Abschnitt der Datenschutz-Grundverordnung rund um die Auftragsverarbeitung. Jeder Auftraggeber und Auftragnehmer sollte sich den Abschnitt „Auftragsverarbeiter“ einmal durchlesen.

Begriffe der Auftragsverarbeitung

Die wichtigsten Begriffe der Auftragsverarbeitung sind Verantwortlicher und Auftragsverarbeiter. Daran kommen Sie nie vorbei.

Ein einfacher Grund ist: bei der Auftragsverarbeitung muss es immer einen Verantwortlichen und einen Auftragsverarbeiter geben. Es muss also von Anfang an klar sein, wer in welcher Rolle oder Position ist.

Beide Begriffserklärungen / Definitionen finden Sie übrigens gleich am Anfang der Datenschutz-Grundverordnung. Mehr dazu in Art. 4 Nr. 7 und 8 DSGVO oder im nächsten Abschnitt.

Verantwortlicher

Der Verantwortliche (Art. 4 Nr. 7 DSGVO) bestimmt und entscheidet, welche personenbezogenen Daten verarbeitet werden.

Das englische „competent to decide“, trifft es besser als die deutsche Übersetzung.

Der Verantwortliche ist also derjenige, der die Kompetenz für Entscheidungen hat und bestimmen darf / kann. Es handelt sich dabei um den „Herrn der (personenbezogenen) Daten“.

In der DSGVO ist damit das Unternehmen, bzw. die verantwortliche Stelle gemeint.

Art. 4 Nr. 4 DSGVO

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

Auftragsverarbeiter

Der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)
hat im Gegensatz zum Verantwortlichen keine Entscheidungskompetenz. Er ist der „verlängerte Arm“ des Verantwortlichen im Auftragsverarbeitungsverhältnis.

Er handelt auf Weisung des Verantwortlichen. Der Auftragsverarbeiter ist der sogenannte „Datensklave“.

Er übernimmt für den Verantwortlichen die Verarbeitung von dessen personenbezogenen Daten ohne dabei eigene Interessen zu verfolgen. …außer die Erfüllung des Auftrags zur Verarbeitung.

Art. 4 Nr. 8 DSGVO

„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

Auftragsverarbeitung – Ja oder Nein?

Durch die Unterscheidung der beiden Beteiligten einer Auftragsverarbeitung sollte Ihnen die  Feststellung ob eine Auftragsverarbeitung vorliegt oder nicht schon mal etwas leichter fallen.

Verantwortlicher ist, wer über
Zwecke (das „ob“, „wofür“, „warum“) und über
Mittel (das „wie“)

der Verarbeitung personenbezogener Daten entscheidet.

  • Der Verantwortlich legt fest, welche Daten der Auftragsverarbeiter bekommt.
  • Er bestimmt was mit den Daten gemacht werden soll und auch wie er mit den Daten umzugehen hat.
  • Im Gegensatz dazu erhält der Auftragsverarbeiter Weisungen vom Verantwortlichen. Dieser sagt ihm, was er mit welchen personenbezogenen Daten machen darf und soll.

DIE WEISUNG IST AUSSCHLAGGEBEND!

Ein weisungsfrei arbeitender Dienstleister entscheidet selbst, was er wie mit personenbezogenen Daten macht.

WER SELBST ENTSCHEIDET KANN KEIN AUFTRAGSVERARBEITER SEIN!

…denn wer die Entscheidungen trifft, ist Verantwortlicher und kann nicht Auftragsverarbeiter sein.

Beispiele für Auftragsverarbeitung

  • Newsletterversand durch eine externe Agentur
  • Cloud Systeme zur Personal- und Kundenverwaltung
  • Externe Lohn- und Gehaltsabrechnung
  • Auswertung und Analyse von Webseitenzugriffen durch eine Agentur
  • IT Services (z.B. Anlegen von E-Mail Adressen oder Benutzerkonten)

(Liste nicht abschließend)

Hilfreich und voll von Beispielen ist das FAQ zur Abgrenzung von Auftragsverarbeitung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA):

https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf

Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

Keine Auftragsverarbeitung

Sobald Sie „fremde Fachleistungen“ bei einem eigenständigen Verantwortlichen in Anspruch nehmen, der einen Vertrag erfüllt liegt keine Auftragsverarbeitung vor.

Beispielsweise bei:

  • Banken
  • Post
  • Steuerberatern
  • Rechtsanwälten
  • Wirtschaftsprüfern

Diese Dienstleister entscheiden immer selbst, wie sie mit die personenbezogenen Daten verarbeiten.

Versuchen Sie ihrem Steuerberater mal zu sagen, wie er arbeiten soll, und dass er zwei Augen zudrücken soll…

Auftragsverarbeitungsverhältnis

Ein Auftragsverarbeitungsverhältnis ergibt sich immer aus den tatsächlich vorliegenden Gegebenheiten.

Die DSGVO sieht dafür eine vertragliche Regelung in Form eines Auftragsverarbeitungsvertrags vor.

Kein Auftragsverarbeitungsvertrag ist keine Lösung!
Auch ohne vertragliche Regelung kann eine Auftragsverarbeitung vorliegen. Sie haben dann eben keinen Vertrag. Ein Vertrag ist zwar kein Kriterium, jedoch Pflicht.

Auftragsverarbeitung erkennen zuammengefasst

Der Verantwortliche hat die alleinige Entscheidungskompetenz über die Verarbeitung personenbezogener Daten. Der Auftragsverarbeiter ist immer weisungsgebunden und trifft keine eigenen Entscheidungen.

Der Auftraggeber legt die Zwecke und Mittel fest. Weisungsfreie Tätigkeiten, sind keine Auftragsverarbeitung.

Immer Up-to-date?

Abonnieren Sie unseren Newsletter!


Brandaktuelle Entwicklungen und Insiderwissen aus den Bereichen Datenschutz, Informationssicherheit und Hinweisgeberschutz liefern wir Ihnen 1x monatlich frei Haus in Ihr Mail-Postfach.


Jetzt für den Newsletter eintragen:

Mit dem Klick auf ‚E-Mail Newsletter abonnieren‘ erklären Sie sich mit dem regelmäßigen Empfang unseres Newsletters mit Informationen zu Datenschutz-, Informationssicherheits- und Compliancethemen sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unseren Datenschutzhinweisen.

Unser Angebot – passgenau für die Anforderungen in Ihrem Unternehmen


Was ist beim Thema Datenschutz und Informationssicherheit in Ihrem Unternehmen wirklich zu tun? Ob Sie Ihren Datenschutz selbst organisieren, vorhandene Strukturen optimieren möchten oder Ihr Datenschutzmanagement auf professionelle Beine stellen wollen – wir sind Ihr Partner!

Gerne prüfen wir Ihren Status quo und erstellen Ihnen daraufhin ein passgenaues Angebot, das die oben genannten Bausteine beinhalten kann.

Unsere Zusammenarbeit gestalten wir nach Ihren Wünschen vor Ort im Raum München oder remote in ganz Deutschland.


DSK360 GmbH
Alpenblickstr. 9
82386 Oberhausen

Nutzen Sie unser Kontaktformular:

Ich freue mich darauf, Sie persönlich kennenzulernen.

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

DSMSDSMSFormularhandbuch Datenschutzrecht – Koreng / Lachenmann