Auftragsverarbeitung

Die bisherige Trennung zwischen Funktionsübertragung (hier benötigt man keine Vereinbarung zur Auftragsdatenverarbeitung) und Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz wird unter der EU-DSGVO obsolet. Funktionsübertragung liegt immer dann vor, wenn der Empfänger der Daten diese eigenverantwortlich verarbeitet.

Nach der EU-DS-GVO ist verantwortliche Stelle, die „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 Ziffer 7 EU DSGVO). Auftragsverarbeiters ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag („on behalf“) des Verantwortlichen verarbeitet” (Art. 4 Ziffer 8 EU-DSGVO). Eigenverantwortliches Handeln des Auftragsverarbeiters wird damit nicht mehr ausgeschlossen. Es geht letztlich nur noch darum, ob ein Auftrag zur Verarbeitung personenbezogener Daten vorliegt. Das erweitert den Kreis der Auftragsverarbeiter.

Inkassoaufträge dürften damit zukünftig als Auftragsverarbeitungen eingestuft werden, was bisher strittig war. Die Privilegierung von Rechtsanwälten oder Steuerberatern wird wohl auch weiterhin bestehen bleiben, da hier kein klassischer Auftrag vorliegt, sondern Beratungsleistungen und ein Mandatsverhältnis. Freie Mitarbeiter werden zukünftig wohl auch im Rahmen der Auftragsverarbeitung tätig werden. Die Archivierung verschlüsselter Daten wird dagegen auch in Zukunft keine Auftragsverarbeitung darstellen, da keine Personenbeziehbarkeit vorliegt. Und das Thema „Wartung“ wird wohl unter der EU-DS-GVO keine Auftragsverarbeitung darstellen, da es nicht um den Auftrag der Verarbeitung personenbezogener Daten geht, sondern um Wartung der Systeme. Die Ausstattung von Mitarbeitern mit Kreditkarten oder Tankkarten bleibt weiterhin Controller-Controller-Verhältnis. Das Anbieten von online-Schulungen für Mitarbeiter von Unternehmen ist zukünftig auch kein Auftragsverhältnis, da die Dienstleistung im Vordergrund steht.

Eine besondere Frage stellt sich, wie das Auftragsverhältnis zu bewerten ist, wenn nur eine Nebentätigkeit des Dienstleisters Auftragsverarbeitung darstellt, z.B. Anbietung von online-Schulungen und gleichzeitig Auftrag zur Verwaltung der Teilnehmer (Versenden von Erinnerungs-Mails, Zertifikaten, etc.).

(Stephanie Iraschko-Luscher)

MGDS – Ihre Unternehmensberatung für Datenschutz