Anzeige

Mit welchen Dienstleistern müssen Verträge zur Auftragsdatenverarbeitung geschlossen werden?

Das Datenschutzrecht erlaubt es eigentlich nur dann, Daten an andere Stellen zu übermitteln, wenn die betroffene Person vorher um Erlaubnis gefragt wurde und eingewilligt hat oder das Gesetz es erlaubt und die Person benachrichtigt wird – oder wenn es sich um Auftragsverarbeitung handelt.
Keine Bildrechte?
Anzeige

Auftragsverarbeitung ist für Unternehmen eigentlich eine super Sache, denn wenn eine Auftragsverarbeitung vorliegt, dann braucht man keine Einwilligung der betroffenen Personen und auch keine gesetzliche Erlaubnis und die Personen müssen auch nicht benachrichtigt werden. Ein Vertrag mit dem Auftragsverarbeiter genügt.
Es ist nicht ganz einfach, festzustellen, mit welchen Dienstleistern man Verträge zur Auftragsverarbeitung schließen kann und mit welchen nicht. Deshalb sollten Sie sich immer dann, wenn sie Aufgaben an andere rechtliche Einheiten übertragen und davon auch personenbezogene Daten betroffen sind, folgende Fragen stellen:

  • Von Datenverarbeitung im Auftrag spricht man, wenn sich der Verantwortliche einer Stelle bedient, die für diesen im Auftrag und weisungsbedingt personenbezogene Daten verarbeitet. Dies bedeutet, der Auftragsgegenstand muss sich auf die technische Hilfstätigkeit beziehen.
  • Die betroffene Person willigt in der Regel nur der Verarbeitung ein, wenn sie weiß, wer Zugriff auf die Daten hat. Sofern sich der Verantwortliche nunmehr technische Hilfe zur Seite holt, ist ein schriftlicher Vertrag zwischen dem Verantwortlichen und dem Beauftragten aufzusetzen. Zudem muss der Verantwortliche sicherstellen, dass der Beauftragte die Anforderungen der DS-GVO umsetzt. Hierzu eignen sich die technischen und organisatorischen Maßnahmen (TOMs) des Beauftragten bestens.
  • Keine Auftragsdatenverarbeitung liegt hingegen vor, wenn eine Funktion übertragen wird, z.B. bei der die der Verarbeitung zugrundeliegende Aufgabe mit übertragen wird (Bspl.: Mitarbeiterrekrutierung, Vertragskundenbetreuung, Finanz-, Steuer- und Unternehmensberatung, Wirtschaftsbetreuung, Inkassotätigkeit usw.). Dies geht über Hilfstätigkeiten hinaus und der Dritte handelt dort meist eigenverantwortlich. Die hierzu notwendige Weitergabe bedarf einer speziellen Rechtsgrundlage nach Art. 5 und 6 DS-GVO.

Keine Auftragsdatenverarbeitung liegt ferner vor, wenn die fremd in Anspruch genommene Tätigkeit, die im eigentlichen Kern nicht den Umgang mit personenbezogenen Daten betrifft, sondern andere Dienstleistungsschwerpunkte im Vordergrund stehen und der notwendigerweise damit verbundene Umgang mit personenbezogenen Daten nur ein unvermeidliches „Beiwerk“ oder eine Kenntnisnahme personenbezogener Daten bei der Leistungserbringung ist, z.B.: Briefsendung über einen Kurierdienst, Telekommunikationsdienst.

Entscheidend für die Abgrenzung ist daher, ob der Beauftragte lediglich eine Hilfsfunktion wahrnimmt.

Fragen Sie im Zweifel Ihren Datenschutzbeauftragten. Auch die Landesdatenschutzbehörden geben Auskunft, eine ihrer Aufgaben ist es, Unternehmen zu beraten.

Typische Fälle für eine Auftragsverarbeitung

  • externe Lohn- oder Gehaltsabrechnung
  • Newsletterversand durch eine Marketingagentur
  • Nutzung von Cloud-Diensten zur Personal- und Kundenverwaltung
  • Datenträgerentsorgung, Aktenvernichtung
  • Lettershops, die in Ihrem Auftrag Werbung an Kunden versenden
  • Webanalyse- und Trackings-Dienste wie Google Analytics
  • Kunden-Helpdesks
  • Ausgelagerte Rechenzentren
  • Callcenter, die Kundendaten ohne wesentliche eigenen Entscheidungsspielräume verarbeiten
  • Dienste, die Daten erfassen, konvertieren oder Dokumente einscannen
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen

Wenn Sie die gesamte Verarbeitung der Daten auf jemand anderen übertragen und nicht mehr selbst „Herr der Daten“ sind, dann liegt keine Auftragsverarbeitung vor. Das ist der Fall, wenn Sie beispielsweise nicht mehr selbst darüber entscheiden, wer Zugang zu den Daten hat, welche Daten gelöscht werden und wenn Sie auch nicht mehr für Auskünfte zuständig sind. Also wenn der Dienstleister eigenverantwortlich mit den ihm anvertrauten Daten umgeht. Dann spricht man von einer Funktionsübertragung.
Wenn die Dienstleistung in speziellen Gesetzen geregelt ist (zum Beispiel bei Telekommunikations- oder Postdienstleistungen), liegt ebenfalls keine Auftragsverarbeitung vor. Auch wenn es um rein technische Wartung geht, findet laut Bitkom keine Datenverarbeitung statt.

Weitere Artikel zum Thema

TheDigitalWay, Pixabay
Cyberkriminelle greifen immer häufiger die Kunden-Treueprogramme von Hotels und Restaurants an. Sie stehlen persönliche Daten und Passwörter der Kunden sowie Treuepunkte, die anschließend im Darknet eingetauscht oder verkauft werden können. Ursache sind meist Credential-Stuffing-Angriffe, deren[...]
Keine Bildrechte?
Der Oktober ist da – und damit der European Cyber Security Month, der bereits 2012 ins Leben gerufen wurde, um für den umsichtigen und verantwortungsbewussten Umgang im Cyber-Raum zu sensibilisieren. Dies gilt natürlich auch im[...]
Engin_Akyurt - pixabay.com
Ein Pop-up Restaurant mit 14-tägig wechselndem Team in Frankfurt oder Titanic in China: Hotellerie und Gastronomie setzen auf das Besondere. Außerdem: Was bedeutet Luxus heute für Hotelgäste?[...]
PeopleImages, iStockphoto
Die Arbeitszeiterfassung ist sowohl für Arbeitgeber:innen als auch Arbeitnehmer:innen ein wichtiges Tool, um die geleisteten Arbeitsstunden nachzuhalten. Die Methoden der Erfassung sind vielfältig, der neue Trend ist das Ein- und Ausloggen über biometrische Daten wie[...]
HOGA im Überblick | Unsere ausgesuchte Sammlung der relevanten Links der letzten 7 Tagerawpixel | Pixabay
Hotels stehen diese Woche im Mittelpunkt: Auf der einen Seite etablieren sich Hotels als Ausgeh-Location, auf der anderen Seite sind die einst von der Masse abgehobenen Boutique-Hotels mittlerweile kein Zeichen mehr für Individualismus. Außerdem werben[...]
Unser Newsletter

Bleiben Sie auf dem Laufenden mit regelmäßigen Informationen zum Thema Gastgewerbe. Ihre Einwilligung in den Empfang können Sie jederzeit widerrufen.