Was ist Auftragsverarbeitung und was nicht? Im Zuge der DS-GVO herrscht immer noch viel Unsicherheit. Viele Unternehmen rätseln immer noch ab wann ein AV-Vertrag abgeschlossen werden muss und vor allem mit wem. Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.
Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.
AUFTRAGSVERARBEITUNG IM SINNE VON ART. 4 NR. 8 DS-GVO
- DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
- Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist,
- Werbeadressenverarbeitung in einem Lettershop,
- Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort,
- Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen),
- Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,
- Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen,
- Datenträgerentsorgung durch Dienstleister,
- Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann,
- Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt),
- Apothekenrechenzentren nach § 300 SGB V,
- ärztliche/zahnärztliche Verrechnungsstellen ohne Forderungsverkauf,
- Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben,
- externe Personen, Dienstleister, usw., die im Auftrag Messwerte in Mietwohnungen (Heizung, Strom, Wasser etc.) ablesen und/oder erfassen bzw. verarbeiten,
- Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten erhalten.
KEINE AUFTRAGSVERARBEITUNG IM SINNE VON ART. 4 NR. 8 DS-GVO (SONDERN VERANTWORTLICHKEIT)
1. Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen
- Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
- Inkassobüros mit Forderungsübertragung,
- Bankinstitute für den Geldtransfer,
- Postdienste für den Brief- oder Pakettransport,
- Tätigkeit als WEG-Verwalter;
- Detektive bei ihrer Observierungs-/Überwachungs-/Ausforschungstätigkeit,
- Hersteller und Großhändler, die von Einzelhändlern für mit Endkunden vereinbarte Direktlieferungen die Endkundenadressen erhalten (beauftragte Warenzusendung),
- Blumen- oder Weinversender, die eine Liste mit Adressdaten zur Versendung der Blumen- bzw. Weingeschenke an dritte Personen erhalten (beauftragte Warenzusendung),
- Insolvenzverwalter,
- Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern (siehe dazu auch Beispiel 6 im WP 169),
- Internet-Plattformbetreiber zur Vermittlung zwischen Anbietern und Nachfragern, die sich auf der Plattform treffen können,
- TKG-Dienstleistungen, es sei denn, darüber hinausgehende Zusatzdienste wie Auslagerung einer betrieblichen Telefonanlage oder Cloudspeicherlösungen usw. (siehe dazu auch Beispiel 1 im WP 169),
- Versicherungs-/Finanzmakler, -vermittler im Rahmen des Kundenvertrags,
- Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen,
- Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel,
- Fertigung individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten/Kunden im Auftrag von Ärzten, Zahnärzten, Apotheken, Sanitätshäusern usw.,
- Medizinische Labore, Materiallabore usw. (Materialuntersuchung im Auftrag).
- Zahlungsdienstleister für elektronische Zahlungen (Transport von Zahlungsdaten, Geldwäsche- und Betrugsprüfung nach ZAG und den Mindestanforderungen der BaFin),
- von Reisebüros aufgrund Kundenvertrags vermittelte Leistungsanbieter, wie Hotels, Mietwagenfirmen, Fluggesellschaften, Busunternehmen, Versicherungen usw. (siehe dazu auch Beispiel 8 im WP 169).
Je nach Sachverhalt sind vom Verantwortlichen hier ggfls. Zweckbindung und Vertraulichkeit zu den dabei berührten personenbezogenen Daten festzulegen.
2. Im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit
- vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten,
- Sachverständige zur Begutachtung eines Kfz-Schadens,
- Personenbeförderung, Krankentransportleistungen,
- Bewachungsdienstleistungen,
- Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen,
- Reinigung von Berufskleidung mit Namensschildern,
- Druck von Prospekten, Katalogen, mit Bildern von Beschäftigten oder Fotomodellen,
- Transport von ausreichend geschreddertem Papiermaterial,
- Transport von Unterlagen und Waren durch Kurierdienste, Speditionen, Zeitungsausträger,
- Übersetzung von Texten in/aus Fremdsprachen.
Je nach Sachverhalt sind vom Verantwortlichen ggfls. Zweckbindung und Vertraulichkeit zu den dabei berührten personenbezogenen Daten festzulegen.