Auftragsverarbeitung – ja oder nein?
Wann ist ein Dienstleister Auftragsverarbeiter, wann Verantwortlicher?
Eine der häufigsten Fragen, die sich in der Datenschutzpraxis stellt, ist die nach der Rolle eines Dienstleisters, der personenbezogene Daten zu verarbeiten hat: Ist er Auftragsverarbeiter? Ist er Verantwortlicher? Oder ist er mit seinem Auftraggeber gemeinsam in der Rolle des Verantwortlichen? Laut Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter, wer im Auftrag eines Verantwortlichen personenbezogene Daten verarbeitet. Dementsprechend ist die Beauftragung mit der Verarbeitung personenbezogener Daten ein entscheidendes Kriterium für die Definition der Auftragsverarbeitung.
Betrachtung des Einzelfalls unverzichtbar
Es ist nicht zielführend, in einem Tätigkeitskatalog zu definieren, bei welchen Dienstleistungen es sich um Auftragsverarbeitungen handelt. Hierbei wäre das Problem, dass sich hinter einer im Geschäftsleben mit einem bestimmten Begriff beschriebenen Dienstleistung im Bereich der Datenverarbeitung ganz unterschiedliche Prozesse verbergen können. Somit ist dieser Weg nicht geeignet, die Rollen des Verantwortlichen, des Auftragsverarbeiters oder der gemeinsam Verantwortlichen eindeutig zu identifizieren. Im Einzelfall kann nicht darauf verzichtet werden, genau zu prüfen, wer tatsächlich die Verantwortung für die Datenverarbeitung trägt. Und das ist laut Art. 4 Nr. 7 DSGVO derjenige, der im Rahmen der Verarbeitung personenbezogener Daten über deren Zwecke und die angewandten Mittel entscheidet: Art. 4 Nr. 8 DSGVO definiert denjenigen als
Auftragsverarbeiter, der dabei im Auftrag des Verantwortlichen handelt.
Fokus der Dienstleistung
In der Regel liegt eine Auftragsverarbeitung vor, wenn eine Dienstleistung speziell darauf abzielt, personenbezogene Daten zu verarbeiten oder wenn dies ihr wesentliches Element ist. Dementsprechend handelt es sich beim Hosting beziehungsweise der weisungsgebundenen Speicherung von personenbezogenen Daten oder bei Cloud-Dienstleistungen wie Dokumentenspeicherung, Videokonferenzen oder Kalenderverwaltungen durch einen Dienstleister um Auftragsverarbeitungen. Selbst Dienstleistungen, bei denen die Verarbeitung personenbezogener Daten nicht das Schlüsselelement ist, die aber unvermeidlich systematischen und umfangreichen Zugang zu diesen Daten mit sich bringen, gelten dementsprechend als Auftragsverarbeitungen.
Die Einzelfallprüfung entscheidet
Im Gegensatz zu früheren Konstrukten ist die Einzelfallprüfung unverzichtbar, weil immer festgestellt werden muss, wer bei der Verarbeitung über deren Zwecke und Mittel entscheidet – und daher die Rolle des Verantwortlichen einnimmt.
Wir unterstützen Sie bei der Einzelfallprüfung
Auf unsere Expertise können Sie bauen, wenn Sie diese Einzelfallprüfung durchführen müssen. Rufen Sie uns unter Telefon 09122 6937302 an und wir beraten Sie gern individuell zu der jeweiligen Situation. Selbstverständlich können Sie uns auch jederzeit eine Nachricht senden. Wir freuen uns in jedem Fall darauf, Sie zu beraten!
Ihr Team von Datenschutz Prinz
Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.
Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
