Auftragsverarbeitung - Voraussetzungen und Bedingungen für Auftragsverarbeiter
Vom Verantwortlichen getrennt
Der Auftragsverarbeiter muss – das ist die erste Voraussetzung – eine Stelle sein, die vom Verantwortlichen getrennt ist. Mit „getrennte Stelle" ist gemeint, dass der Verantwortliche die Datenverarbeitung – zum Teil oder komplett – einer externen Stelle übergibt. Das ist auch innerhalb einer Gruppe von Unternehmen möglich: Auch hier kann beispielsweise Unternehmen A für Unternehmen B als Auftragsverarbeiter fungieren. Das setzt allerdings voraus, dass die Unternehmen A und B voneinander getrennte Einheiten sind. Für zwei Abteilungen desselben Unternehmens gilt dies aber nicht: Abteilung A kann in diesem Fall nicht Auftragsverarbeiter für Abteilung B sein, weil beide demselben Unternehmen angehören und keine voneinander getrennten Stellen sind.
Beschäftigte des Verantwortlichen sind keine Auftragsverarbeiter
Verarbeitet der Verantwortliche selbst Daten und nutzt dafür in seiner Organisation eigene Ressourcen – etwa die eigenen Mitarbeitenden – handelt es sich nicht um Auftragsverarbeitung: Beschäftigte der Organisation, aber auch andere, die direkt unter der Aufsicht von Verantwortlichen stehen, sind keine Auftragsverarbeiter. Der Grund dafür ist, dass die Verarbeitung der personenbezogenen Daten im Bereich der Zuständigkeit der Verantwortlichen stattfindet und dass die Beschäftigten dabei an deren Weisungen gebunden sind.
Zudem setzt die Datenverarbeitung durch die Auftragsverarbeiter voraus, dass die personenbezogenen Daten von der getrennten Stelle für den Verantwortlichen – aber eben in dessen Auftrag – verarbeitet werden. Bei der Verarbeitung kann es sich vom Erheben über das Speichern und Abfragen bis zum Verwenden, Verbreiten sowie Bereitstellen und schließlich bis zur Vernichtung der Daten um eine große Bandbreite an Aufgaben handeln. Damit sind wir beim nächsten Punkt:
Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen
Die zweite zentrale Voraussetzung einer Auftragsverarbeitung ist, dass die Verarbeitung im Auftrag des Verantwortlichen erfolgt, aber keinesfalls von diesem unmittelbar kontrolliert oder beaufsichtigt werden darf. Im Auftrag zu handeln heißt, dem Interesse des Beauftragenden, hier des Verantwortlichen, zu dienen. Was an das juristische Delegations-Konzept erinnert.
Weisungsgemäßes Handeln
Der Auftragsverarbeiter im Sinne des Datenschutzes muss die Anweisungen des Verantwortlichen umsetzen – wenigstens bezüglich des Verarbeitungszwecks und der wesentlichen Bestandteile der Mittel. Dabei ist die Rechtmäßigkeit der Verarbeitung laut Art. 6 Datenschutzgrundverordnung zu wahren, die sich aus den Aufgaben der Verantwortlichen ergibt. Handelt es sich um besondere Kategorien von personenbezogenen Daten, muss ebenfalls Art. 9 der Datenschutzgrundverordnung beachtet werden. Der Auftragsverarbeiter wiederum hat die Daten entsprechend den Anweisungen des Verantwortlichen zu verarbeiten. Allerdings gibt es einen Spielraum, in dem der Auftragsverarbeiter selbst ermessen kann, wie er den Interessen des Verantwortlichen am besten gerecht wird. Im Rahmen dieses Spielraums kann der Auftragsverarbeiter die organisatorischen und technischen Mittel einsetzen, die ihm hierzu als am besten geeignet erscheinen.
Keine eigenen Zwecke des Auftragsverarbeiters
Dass der Auftragsverarbeiter im Auftrag des Verantwortlichen handelt, heißt auch, dass er die personenbezogenen Daten nicht für eigene Zwecke verarbeiten darf. Überschreitet der Auftragsverarbeiter die Weisungen der Verantwortlichen und definiert selbst die Zwecke und die Mittel der Verarbeitung, verstößt er laut Art. 28, Abs. 10 gegen die Datenschutzgrundverordnung und kann dafür belangt werden: Er gilt dann – in genau diesem Fall – selbst als Verantwortlicher und kann sanktioniert werden.
Wann ist ein Dienstleister Auftragsdatenverarbeiter?
Der Europäische Datenschutzausschuss erklärt zu diesem Thema, dass nicht jeder, der eine Dienstleistung erbringt, in deren Rahmen er personenbezogene Daten zu verarbeiten hat, Auftragsverarbeiter nach den Buchstaben des Gesetzes ist. Wobei hier die Datenschutzgrundverordnung die Grundlage wäre. Auch aus einer bestimmten Art der Stelle, von der personenbezogene Daten verarbeitet werden, ergibt sich noch lange nicht, dass diese als Auftragsverarbeiter fungiert. Diese Rollenzuweisung ergibt sich erst aus der Art der in einem bestimmten Zusammenhang ausgeführten Tätigkeiten. Während eine Stelle also bei manchen Verarbeitungsvorgängen als Auftragsverarbeiter agiert, kann sie bei anderen die Rolle des Verantwortlichen übernehmen. Die jeweilige Beurteilung der Situation muss aber immer im Einzelfall unter Beachtung der betroffenen Vorgänge und Daten erfolgen. Kurzum: Es ist die Art und Weise, in der die Dienstleistung ausgeführt wird, die darüber entscheidet, ob eine Verarbeitung von personenbezogenen Daten eine Verarbeitungstätigkeit ist, bei der es sich nach den Regeln der Datenschutzgrundverordnung um eine Auftragsverarbeitung handelt, die vom Verantwortlichen beauftragt wurde.
Verarbeitung personenbezogener Daten nicht zentrales Element
Ist die Verarbeitung personenbezogener Daten nicht das zentrale Element einer Dienstleistung und ist diese Dienstleistung auch nicht auf diese Datenverarbeitung ausgerichtet, kann der Diensteanbieter in die Situation kommen, dass er die Zwecke und die Mittel der Verarbeitung bestimmt – sofern sie nötig sind, um die Dienstleistung zu erbringen. Der Diensteanbieter ist dann nicht der Auftragsverarbeiter, sondern eigenständig verantwortlich. Nichtsdestotrotz ist auch in diesem Fall eine Analyse des Einzelfalls unverzichtbar, will man feststellen, inwieweit die jeweiligen Stellen die Zwecke und die Mittel der Verarbeitung wirklich beeinflussen.
Ein Diensteanbieter kann selbst dann Auftragsverarbeiter sein, wenn es sich bei der Dienstleistung nicht vorrangig oder hauptsächlich um die Verarbeitung von personenbezogenen Daten handelt, so der Europäische Datenschutzausschuss. Entscheidend ist dabei allerdings, dass der Empfänger der Dienstleistung in der Praxis trotzdem über die Zwecke und die Mittel der Datenverarbeitung entscheidet. Wird geprüft, welcher Diensteanbieter damit beauftragt werden soll, personenbezogene Daten zu verarbeiten, sollte berücksichtigt werden, ob die Anbieter ausreichende Kontrollmöglichkeiten bieten. Dabei sollten Art, Umfang, Kontext und Zwecke der Datenverarbeitung ebenso berücksichtig werden wie die möglichen Risiken für die betroffenen Personen.
Vordefinierte Dienstleistungen
Selbstverständlich kann der Auftragsverarbeiter eine im Vorfeld definierte Dienstleistung anbieten. Allerdings müssen die verantwortlichen Auftraggeber abschließend entscheiden, ob diese Art der Verarbeitung gewünscht wird – wenigstens in Bezug auf die als wesentlich zu betrachtenden Mittel der Datenverarbeitung. Was die nicht als wesentlich zu betrachtenden Mittel angeht, hat der Auftragsverarbeiter einen gewissen Handlungsspielraum.
Mehr Infos zum Thema Auftragsverarbeiter?
Sie wünschen sich mehr Informationen zu den Voraussetzungen und Bedingungen für Auftragsverarbeiter? Dann nehmen Sie unter Telefon 09122 6937302 Kontakt zu uns auf oder senden uns einfach eine Nachricht. Wir beraten Sie sehr gern und ebenso fundiert!
Ihr Team von Datenschutz Prinz
Mehr zum Thema Auftragsverarbeitung:
Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.
Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
