Wann ist ein externer Berater bzw. externe Beratungsunternehmen ein Auftragsverarbeiter?  

Bevor ein externer Berater oder eine Agentur sollte diese Frage geklärt sein. Ob es um Unterstützung im Marketing, in der Finanzierung, Steuern oder Rechtsthemen geht, Führung oder ein Prozess digitalisiert werden soll, diese Frage ist elementar für die Zusammenarbeit. Auch wenn es schnell gehen muss, wer vorab kurz einen Check macht, wird sich gegenüber dem Geschäftspartner anders verhalten und das Bußgeldrisiko senken. 

Ist bei der Durchführung der Tätigkeit des Vertragspartners das Verarbeiten personenbezogener Daten Kern der Leistung?

Denkt hier auch Speicherdienste (z. B. Webseiten-Hosting, Cloud-Speicher) oder die Fehlersuche in einer Datenbank mit personenbezogenen Daten. Hier steht das Datenverarbeiten im Vordergrund. Auch im Bereich Marketing, beim Community-Management auf diversen Kanälen, bei der Schaltung von Ads (kann der Ausführende Insights sehen?) oder bei der Produktion von Videos kann es zu einer Auftragsverarbeitung kommen. Leistungen im Bereich Buchhaltung sind ebenfalls eine Auftragsverarbeitung. 

Steht das Beraten oder das Erbringen einer, über die Verarbeitung personenbezogener Daten hinausgehende Dienstleistung nicht im Vordergrund?

Unternehmensberatern, Rechtsanwälten, Steuerberatern oder Insolvenzverwaltern geht es in erster Linie um das Beraten. Auch die reine Beratung, das Training oder Coaching z.B. im Bereich Marketing fällt nicht unter eine Auftragsverarbeitung. Dass ggf. personenbezogene Daten verarbeitet werden müssen, ist von untergeordneter Bedeutung und eher ein „notwendiges Übel“ zur Erbringung der eigentlichen Kernleistung. 

Entscheidet Ihr und nicht der Vertragspartner,

  • ob überhaupt personenbezogen Daten verarbeitet werden?

  • wessen personenbezogene Daten verarbeitet werden?

  • welche personenbezogenen Daten verarbeitet werden?

  • für welchen Zweck die Daten verarbeitet werden?

  • wie die Verarbeitung erfolgt?

  • ob Daten an eine andere Stelle weitergegeben werden dürfen?

  • wie lange Daten verarbeitet werden dürfen?

Trifft der Vertragspartner diese Entscheidung oder fordert er von Euch eine Verarbeitung bestimmter Informationen? Er arbeitet dann weisungsunabhängig. Das schließt eine Auftragsverarbeitung aus. Es kommt hier zu einer Übermittlung von Daten zwischen Verantwortlichen. Ihr braucht für diese Übermittlung eine Rechtsgrundlage (z. B. Art. 6 Abs. 1 Buchst. f DSGVO Berechtigtes Interesse). Diese Rechtsgrundlage erfordert immer eine dokumentierte Abwägung zwischen dem Risiko der Verarbeitungstätigkeit anhand des Schutzniveaus der Daten. 

Verbleibt beim Vertragspartner nur eine untergeordnete Entscheidungsbefugnis, kann er z. B. nur bedingt die technische Umsetzung beeinflussen?

Kann der Vertragspartner über die Mittel der Verarbeitung Entscheidungen treffen (z. B. welches System für die Verarbeitung verwendet oder wie die tatsächliche Löschung umgesetzt wird), spricht dies nicht zwangsläufig gegen eine Auftragsverarbeitung und die Rolle des Dienstleisters als Auftragsverarbeiter.

Schreibt Ihr dem Vertragspartner vor, wie zu arbeiten und wie vorzugehen ist?

Wer bei der Verarbeitung personenbezogener Daten den Ton angibt, ist oft das entscheidende Kriterium. Macht Ihr das, ist der Vertragspartner wohl Auftragsverarbeiter.

Kurz gesagt: 

  • Überprüft das Verhältnis zu Euren Geschäftspartnern vorweg. 
  • Bezieht Euren Datenschutzbeauftragten, also mich, mit ein. Denn eine Auftragsverarbeitung ohne Auftragsverarbeitungsvertrag kann zu einem Bußgeld führen. 
  • Eine Auftragsverarbeitung entsteht nicht dadurch, dass Ihr als Verantwortlicher, dass einfach bestimmt. 
  • Für eine Auftragsverarbeitung müssen die Kriterien nach Art. 28 DSGVO erfüllt sein. 
  • Bei allen anderen Tätigkeiten mit personenbezogenen Daten durch Externe braucht es eine Rechtsgrundlage. 
  • Das Übermitteln von personenbezogenen Daten ohne Rechtsgrundlage wird auf jeden Fall mit einem Bußgeld geahndet, falls es natürlich bekannt wird. 
  • Die Verpflichtung, zu prüfen in welchem Verhältnis (Verantwortlicher/Verantwortlicher, Verantwortlicher/Auftragsverarbeiter oder gemeinsame Verantwortung) obliegt dem Verantwortlichen also Euch.

Es gibt noch Fragen zu dem Thema? Schreibt gerne eine Email an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

Lang lebe das Passwort – oder nicht?! 

 

Löschverlangen – Die Pflicht zur Datenlöschung im Unternehmen

Cookies – müssen wir sie immer annehmen?