Wann besteht eine Auftragsverarbeitung nach DSGVO?

Wann besteht eine Auftragsverarbeitung nach DSGVO?

Auftragsverarbeitungsvertrag

Im Zuge der neuen Datenschutzgrundverordnung (DSGVO) stellen sich viele Unternehmer die Frage, wann muss ich einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) schließen bzw wann liegt Auftragsverarbeitung vor? Manche haben sogar von ihren Dienstleistern einen vorgesetzt bekommen, mit der Bitte,diesen unterschrieben zurückzuschicken. Bevor man natürlich einen Vertrag unterschreibt, muss man wissen worum es sich hierbei handelt.

Auftragsverarbeitung DSGVO

In Art. 4 Nr. 8 der DSGVO ist die Auftragsverarbeitung gesetzlich definiert. Auftragsverarbeiter ist danach eine natürliche oder juristische Person, Behörde, Einrichtung oder anderer Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Viel Klarheit bringt diese Definitionen leider nicht. Es kommt also darauf an, dass im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet werden. Verantwortlicher ist dabei die natürliche oder juristische Person, Behörde, Einrichtung oder anderer Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Weisungsrecht

Es kommt für die Auftragsverarbeitung darauf an, dass zwischen Verantwortlicher und Auftragsarbeiter ein Weisungsrecht besteht. D.h. so viel, dass derjenige Verantwortlicher ist, der über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Erteilt dieser einem anderen eine Weisung, wie er diese personenbezogenen Daten verarbeiten soll, ist dieser andere ein Auftragsverarbeiter. Wenn ich beispielsweise ein Callcenter für mich arbeiten lasse, so entscheidet dieses nicht über den Zweck der Erhebung der personenbezogenen Daten. Es hat keinen Spielraum zu sagen, ich möchte folgende Daten vom Kunden wissen. Es ist an die Weisungen gebunden, die der Unternehmer ihm erteilt hat. Es muss also die personenbezogenen Daten erheben, die dieser festgelegt hat, also beispielweise Namen und Telefonnummer für einen Rückruf. Damit ist das Callcenter ein Auftragsverarbeiter.

Abgrenzungen

Derzeit ist aufgrund der jungen Geschichte der DSGVO und der fehlenden Rechtsprechung noch nicht gesichert, wie man in Abgrenzungsfragen bei der Auftragsverarbeitung entscheiden sollte. Manche vertreten eine sogenannte Schwerpunkttheorie. Danach ist keine Auftragsverarbeitung gegeben, wenn die Erhebung der Daten zum Schwerpunkt der Tätigkeit des Unternehmens gehört. So ist beispielsweise ein Transportdienstleistungsunternehmen kein Auftragsverarbeiter, wenn es personenbezogenen Daten an Dritte auf Weisung des Verantwortlichen transportiert. Der Transport ist nämlich die Kerntätigkeit des Transportunternehmens. Andere Beispiele sind Rechtsanwälte, Steuerberater oder beispielsweise ein Labor. Hier besteht aber zwischen den sich mit Datenschutz befassen den Autoren unterschiedliche Auffassungen. Manche wählen als sichersten Weg im Zweifel einen Auftragsverarbeitungsvertrag. Das Problem darin ist, dass ich dann mich beispielsweise als Auftragsverarbeiter Weisungen des Verantwortlichen unterwerfe.

Keine Patentlösung

Aus meiner Sicht, gibt es hier keine Patentlösung. Wichtig wird sein, dass man in jedem Fall begründen können muss, warum man gerade keine Auftragsverarbeitung oder eben eine vorliegen hat. Dies müsste dann argumentativ gegen eine Bußgeldbehörde verteidigt werden. Der Teufel steckt hier im Detail. Die Zuordnung ist von erheblicher Bedeutung. Ein Verstoß dagegen führt zu einem Verstoß gegen die DSGVO . Dies wiederum führt zu Bußgeldern bzw. gegebenenfalls zu Abmahnungen. Ein Vertrag sollte nicht vorschnell abgeschlossen werden.

Anwalt für Datenschutz

Wenn Sie also Fragen rund um die Zuordnung einer Tätigkeit zur Auftragsbearbeitung haben, können Sie uns gerne unter 069 405 64 282 oder per Email an info@rechtsanwalt-dsgvo.de erreichen.

Ihr Anwalt und Datenschutzbeuaftragter für DSGVO in Frankfurt.

Rufen Sie uns an!

Beitragsbild: Markus Spiske

Was soll ich in einem Auftragsverarbeitungsvertrag regeln?

Was soll ich in einem Auftragsverarbeitungsvertrag regeln?

Auftragsverarbeitung

Unsere Mandanten fragen uns, was sie in einem Auftragsverarbeitungsvertrag regeln sollten. Vor allem fragen sie sich, was passiert, wenn der Auftragsvearbeitungsvertrag nicht den Mindestanforderungen genügt. Die Regelung zum Auftragsverarbeiter finden sich in Art. 28 der Datenschutzgrundverordnung (DSGVO). Dort ist eine Reihe von rechten und Pflichten vorgegeben, die in einem Auftragsvearbeitungsvertrag enthalten sein müssen.

Konsequenz eines fehlerhaften Auftragsverarbeitungsvertrags

Vorweg sollte jedermann der Daten im Auftragsverarbeitungsverhältnis verarbeitet bewusst sein, dass ein Auftragsverarbeitungsvertrag der gegen die Anforderungen der Datenschutzgrundverordnung (DSGVO) verstößt, ein Bußgeld in Höhe von 4 % des Jahres Bruttoumsatzes (weltweit) zur Folge haben kann. Aus diesem Grund wird relativ schnell deutlich, dass eine „gewisse“ Sorgfalt bei der Erstellung eine solchen Vertrages zwingend notwendig ist, jedenfalls empfehlenswert ist.

Liste der Mindestanforderungen Auftragsverarbeitungsvertrag

Eine beispielhafte Liste an Vertragspunkten, die aus unserer Sicht in einem Auftragsverarbeitungsvertrag gehören:

  • Gegenstand und Dauer des Auftrages Absatz Umfang, Art und Zweck der Datenverarbeitung
  • Maßnahmen nach Art. 32 Datenschutzgrundverordnung
  • Regelung des Weisungsrechts
  • Regelung zu Unterauftragsverhältnisse
  • Kontrollrechte des Auftraggebers
  • Vertraulichkeitsverpflichtung von Beschäftigten
  • Regelungen zum Datenschutzvorfälle und Informationspflichten
  • Löschung und Rückgabe von Daten

Aus unser Sicht stellen dies die Mindestanforderungen dar und je nachdem, ob Sie als Auftragnehmer und Auftraggeber handeln, bestehen natürlich vielfältige Gestaltungsmöglichkeiten. Es muss auch bei solchen Verträgen immer auch die Interessen des Vertragspartners berücksichtigt werden und ein Vertrag verhandelt werden, der ausgewogen ist. Nur das gewährleistet, dass hinterher ein teurer Streit vermieden werden kann.

Anwalt für Datenschutz

Sollten Sie Fragen rund um die Ausgestaltung des Auftragsverarbeitungsvertrages haben oder einen solchen vorgelegt bekommen haben und wollen diesen überprüft wissen, dann können Sie mich jederzeit unter der Tel.-Nr. 069 405 64 282 telefonisch oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen.

Wir freuen uns über Ihren Anruf oder Ihre Nachricht.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter  in Frankfurt.

Beitragsbild: Markus Spiske