Definition Auftragsverarbeiter (ADV)

Jan 11, 2019 | Anleitungen, EU-DSGVO, Für Kunden, Mitglieder, Mandanten, Für Lieferanten und Partner

Wie können wir helfen?
< zurück
Sie sind hier:
Drucken
Veröffentlicht
Last Updated On
Vonsboettgercom

Ist Ihr Dienstleister tatsächlich ein Auftragsverarbeiter im Sinne der EU -DSGVO? Sehr schnell kann man dazu kommen, jedem den Titel Auftragsverarbeiter anzuhängen, der auch nur annähernd in die Nähe von personenbezogenen Daten kommt.

Es gibt viele Diskussionen zum Thema. Ist zum Beispiel Google schon ein Auftragsverarbeiter, wenn dort die IP-Adresse erfasst wird? Um die Frage fachlich fundiert zu beantworten, führen wir wie folgt aus:

Neben der Stellungnahme der Bitkom gehen wir auch auf die Stellungnahme der Datenschutzkonferenz (DSK) ein, die auch eine Aussage über die Auftragsverarbeitung getroffen hat.

Die wesentlichen Informationen stellen wir (ohne Gewähr) vor.

Was sind die Alternativen zur Auftragsverarbeitung?

Wie schon erwähnt, ist es nicht immer eine Auftragsverarbeitung, wenn Daten nicht allein von der verantwortlichen Stelle verarbeitet werden. Es gibt hier drei Möglichkeiten:

  • Auftragsverarbeiter
  • Inanspruchnahme fremder Fachleistungen
  • Gemeinsame Verantwortliche

Jede dieser Optionen hat rechtlich andere Parameter, die berücksichtigt werden müssen.

Diese Fälle richtig auseinander zu halten, ist nun die Zielsetzung. Allerdings muss man erwähnen, dass im Leitfaden der Bitkom noch die Funktionsübertragung erwähnt wird. Nach der DSGVO gibt es diese nun nicht mehr. Ob sich die Urteile später wieder in die Richtung anlehnen, also das Prinzip der Funktionsübertragung in Betracht ziehen? Wie an so vielen Stellen, ist dies ein Fragezeichen, momentan sieht es aber nicht danach aus.

Übermittlung (Funktionsübertragung) aus dem „alten“ BDSG

  • Die Datenverarbeitung personenbezogener Daten spielt eine untergeordnete Rolle
  • Der Auftragnehmer hat nur eine unterstützende Funktion, indem er dem Auftraggeber in einer oder mehreren Phasen der Verarbeitung unterstütz.
  • Der Dienstleister ist quasi der „verlängerte Arm“ des Auftraggebers.
  • Es wird keine Aufgabe in ihrer Vollständigkeit, sondern lediglich ihre technische Ausführung übertragen.

Beispiele für Funktionsübertragung (Alt)

  • Ausgelagerte Finanzbuchhaltung
  • Gehaltsabrechnung durch den Steuerberater

Wir empfehlen daher, sich nicht mehr auf die Funktionsübertragung zu berufen. Dann hat man noch die folgenden Optionen:

  • Auftragsverarbeiter
  • kein Auftragsverarbeiter
  • oder gemeinsame Verantwortliche

Auftragsverarbeitung

Wenn Sie einen Auftragsverarbeiter beauftragen legen Sie die Zwecke und Mittel der Datenverarbeitung fest. Sie sind verantwortlich gegenüber den Betroffenen.

Auch der Auftragsverarbeiter hat eine Unterstützungsfunktion, wenn der Verantwortliche seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter muss dann den Verantwortlichen bei der Erfüllung der Anfragen und Ansprüche des Betroffenen unterstützen.

Es deutet auf eine Auftragsverarbeitung hin, wenn der Auftragnehmer:

  • keine Entscheidungsbefugnis über die Daten hat
  • keinen eigenen Geschäftszweck verfolgt bezüglich der personenbezogenen Daten
  • einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
  • in keiner vertraglichen Beziehung zu den Betroffenen steht, die er verarbeitet
  • und nach außen hin der Auftraggeber für die Datenverarbeitung verantwortlich ist

Ergänzen muss man noch, dass zwar der Auftraggeber die Zwecke und Mittel der Verarbeitung festlegt, dieses aber nicht bedeutet, dass auch jede technische Schutzmaßnahme durch den Auftraggeber entschieden werden muss. Hier hat der Auftragnehmer durchaus das Recht, eigene Entscheidungen zu treffen.

Beispiele für die Auftragsverarbeitung

  • Outsourcing von IT-Infrastruktur
  • Externe Datenhaltung
  • Cloud Systeme  zur Personal- und Kundenverwaltung
  • externe Druckdienstleister
  • Aktenvernichtung, Vernichtung von Datenträgern
  • Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen

Wann ist ein Dienstleister kein Auftragsverarbeiter

Laut Bitkom bezog sich die Grenze vor allem bei den IT-Dienstleistern darauf, dass ein Dienstleister, der nur Support Tätigkeit übernimmt und keine aktive Verarbeitung der Daten dabei übernimmt, kein Auftragsverarbeiter ist. Nach der Stellungnahme der DSK wird das nun etwas globaler gesehen.

Kein Auftragsverarbeiter ist daher ein Dienstleister, der z.B. die Wartung an der Stromzufuhr und an der Kühlung übernimmt. Jeglicher IT-Dienstleister, der sich z.B. auf den Rechner per Fernwartung aufschalten kann und dabei Zugriff auf personenbezogene Daten HABEN KÖNNTE, ist demnach ein Auftragsverarbeiter.

Die Beispiele der BitKom/DSK, wer kein Auftragsverarbeiter ist:

  • Installation und Wartung von Netzwerken, Hardware
    • Telefonanlage, nur solange ein eventueller Zugriff auf personenbezogene Daten ausgeschlossen wird (was eigentlich unmöglich ist)
  • Pflege von Software – nach Stellungnahme der DSK immer ein Auftragsverarbeiter!
  • Programmentwicklung und -tests von Programmen, die keine personenbezogenen Daten verarbeiten, sei es durch Userkennungen, Protokolle oder durch den originären Zweck des Programms

Zudem handelt es sich nicht um einen Auftragsverarbeiter, wenn

  • die Dienstleistung in Gesetzen geregelt ist (z. B. Postdienstleistungen)
  • bei E-Mail Providern, die nur die E-Mail Übermittlung sicherstellen und keine weiteren Funktionen anbieten
  • ausgelagerte Tätigkeiten, deren Kernaufgabe nicht die Verarbeitung von personenbezogenen Daten darstellt, trotzdem aber der Umgang mit personenbezogenen Daten nötig ist (Wachdienst, Reinigungsdienstleistung, …)

Fremde Fachleistungen

Hier spricht sich die Datenschutzkonferenz aus, dass die fremden Fachleistungen sich folgendermaßen auszeichnen:

  • für die Verarbeitung und die Übermittlung gibt es einen eigenen Verantwortlichen
  • für die Verarbeitung muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen

Beim Auftragsverarbeiter aber nur INDIREKT. Der Verantwortliche muss eine Rechtsgrundlage nach Art. 6 DSGVO haben. Der Auftragsverarbeiter hat diese in der Regel nicht. Liest man sich den Gesetzestext in Art. 6 genau durch, dann heißt es, es muss z.B. bei Art. 6 (1) lit. b ein Vertrag zwischen dem Betroffenen und dem Verantwortlichen existieren. Das heißt aber auch, dass diese Rechtsgrundlage für den Auftragsverarbeiter nicht gilt, da er ja nicht der Verantwortliche ist, sondern „nur“ der Dienstleister. Es gibt also keine Rechtsgrundlage beim Auftragsverarbeiter. Diese braucht er dementsprechend auch nicht dokumentieren (es ist nämlich keine Pflichtanforderung in Verfahrensverzeichnis!).
Wenn beim Dienstleister, der als „fremde Fachleistung“ gilt, eine Rechtsgrundlage vorliegen muss, sieht das ganz anders aus. Das heißt, es muss z.B. ein direkter Vertrag zwischen dem Betroffenen und dem Dienstleister existieren, was z.B. bei nachfolgenden Beispielen exakt der Fall ist.

Beispiele für fremde Fachleistungen

Die DSK kategorisiert in Ihrer Stellungnahme folgende Gruppen:

  • Berufsgeheimnisträger (Steuerberater, Anwälte, externe Betriebsärzte, Wirtschaftsprüfer…)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstitute für den Geldtransfer
  • Postdienstleister

Gemeinsame Verantwortliche

Die DSGVO ermöglicht neben der alleinigen Verantwortung für ein Verfahren ein arbeitsteiliges Zusammenwirken. Dabei können „zwei oder mehr Verantwortlich“ gemeinsam die Verantwortung für die Verarbeitung personenbezogener Daten übernehmen.

Damit haben also alle verantwortlichen Stellen die Entscheidung über Zwecke und Mittel der Verarbeitung. Im Gegensatz zum Auftragsverarbeiter, bei dem keine Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung vorliegt.

Bei der Entscheidungsbefugnis geht es nicht um untergeordnete Entscheidungen, welche Verschlüsselung eingesetzt wird oder wie die Akten entsorgt werden. Die Schutzmöglichkeiten nach dem aktuellen Stand der Technik wählt natürlich der Auftragsverarbeiter frei. Die erwähnte Entscheidungsbefugnis bezieht sich auf die Zwecke und Mittel der Verarbeitung allgemein.

Ein maßgeblich faktisches Verhalten ist entscheidendt, ob es sich um gemeinsame Verantwortliche handelt. Nicht der gemeinsame Wille regelt die gemeinsame Verantwortlichkeit, sondern eben das Verhalten, also wie es tatsächlich gelebt wird.

Umsetzung der gemeinsamen Verantwortung

Es ist kein Vertrag zur Auftragsverarbeitung nötig, trotzdem müssen ein paar Punkte dokumentiert werden.

  • Welcher der Partner hat welche Pflichten nach der DSGVO
  • Wer übernimmt die Wahrung welcher Betroffenenrechte
  • Welcher der Partner übernimmt die Informationspflicht

Beispiele für gemeinsame Verantwortlichkeit 

Die aktuellen Beispiele der DSK sind etwas anders als die der Bitkom. Hier die aktuellen der DSK:

  • klinische Arzneimittelstudien bei mehreren Verantwortlichen, die eigene Entscheidungen treffen (in Teilbereichen)
  • mehrere Unternehmen eines Konzerns, die gemeinsam bestimmte Datenkategorien verwalten und für gleichlaufende Geschäftszwecke verarbeiten

 

Der gesamte Leitfaden der Bitkom ist hier zu finden: Quelle: Bitkom

Inhaltsverzeichnis