Wissenswertes zu Auftragsverarbeitungen im Zuge der DSGVO
Immer wenn Sie Daten an ein anderes Unternehmen übermitteln oder Sie Daten von einem anderen Unternehmen erhalten, müssen Sie sich die Frage stellen, ob es sich dabei um einen Auftragsverarbeitung handelt. Nur wenn das so ist, dann aber zwingend, müssen Sie einen Auftragsverarbeitungsvertrag schließen.
Jede Übermittlung von personenbezogenen Daten zwischen zwei Unternehmen bedarf einer Rechtsgrundlage. Das gilt übrigens auch für Datenübermittlungen zwischen zwei Konzernunternehmen oder zwischen der Konzernmutter und der Konzerntochter. Es gibt auch in der DSGVO kein Konzernprivileg.
Zum Begriff der Auftragsverarbeitung
Einer Rechtsgrundlage bedarf es nur dann nicht, wenn die Datenübermittlung im Rahmen einer Auftragsverarbeitung stattfindet, weil Datenübermittlungen in diesem Rahmen privilegiert sind. Ob eine Auftragsverarbeitung vorliegt oder nicht, ist gar nicht so leicht festzustellen. Nach der Definition der DSGVO liegt eine Auftragsverarbeitung dann vor, wenn ein Unternehmen Daten eines anderen Unternehmens in dessen Auftrag verarbeitet und dabei alleine der Auftraggeber über den Verarbeitungszweck und die eingesetzten Mittel entscheidet, wobei Spielräume bei den eingesetzten Mitteln durchaus beim Auftragnehmer verbleiben dürfen.
Pflicht zum Abschluss eines Auftragsverarbeitungsvertrags
Liegt eine Auftragsverarbeitungssituation vor, muss zwischen den Unternehmen ein Auftragsverarbeitungsvertrag nach
Art. 28 DSGVO geschlossen werden. Dieser ergänzt den zusätzlich bestehenden Hauptvertrag, in dem die eigentlichen
Dienstleistungen geregelt sind, im Hinblick auf die Verarbeitung der personenbezogenen Daten.
Es ist möglich, auch im Rahmen von Auftragsverarbeitungen Sub-Unternehmer einzusetzen. Wenn der Auftragnehmer dies
beabsichtig, muss es hierzu eine Regelung im Auftragsverarbeitungsvertrag geben und der Sub-Unternehmer muss
namentlich benannt werden.
Typische Auftragsverarbeitungen können sein:
- IT-Wartung und -Pflege, insbesondere bei Fernwartung, wenn der Dienstleister dabei möglicherweise mit personenbezogenen Daten in Kontakt kommt, was regelmäßig der Fall ist.
- Cloud-Computing
- Call-Center
- Newsletter-Dienstleister
- Datenträgerentsorgung durch Dienstleister
- shared-services im Konzern
Keine Auftragsverarbeitungen sind hingegen Datenübermittlungen an eigenständig verantwortliche Anbieter von Fachleistungen. Das sind insbesondere alle Berufsgeheimnisträger wie Steuerberater, Wirtschaftsprüfer und Rechtsanwälte aber auch Banken für den Geldtransfer und Postdienstleister für die Zustellung.