Niedersachen klar Logo

FAQ zur Auftragsverarbeitung nach Artikel 28 DS-GVO

1. Was versteht man unter einer Auftragsverarbeitung?

2. Wann ist die beauftragte Verarbeitung personenbezogener Daten eine Auftragsverarbeitung nach Art. 28 Abs. 1 DS-GVO?

3. Ist für die vom Auftragsverarbeiter vorgenommene Verarbeitung personenbezogener Daten eine Rechtsgrundlage erforderlich?

4. Kann es besondere Konstellationen geben, in denen ausnahmsweise keine Auftragsverarbeitung vorliegt, weil die Datenverarbeitung nur ein „ungewolltes Beiwerk“ einer (Haupt-)Dienstleistung darstellt?

5. Für den Fall, dass die beabsichtigte Datenverarbeitung eine Auftragsverarbeitung nach Art. 28 DS-GVO ist: In welcher Rolle befinde ich mich?

6. Muss eine Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden?

7. Im Folgenden finden Sie Antworten zu verschiedenen Einzelfällen.

8. Müssen Behörden oder sonstige öffentliche Stellen in Niedersachsen neben Art. 28 DS-GVO Sonderregelungen zur Auftragsverarbeitung beachten?

9. Kann ein Auftragsverarbeiter seinen Sitz auch außerhalb der Europäischen Union/des Europäischen Wirtschaftraums haben?

10. Sind „Alt-Verträge“ zur Auftragsverarbeitung anzupassen?

11. Was soll ich machen, wenn ich als Verantwortlicher unsicher bin und noch keinen Auftragsverarbeitungsvertrag abgeschlossen habe?

1. Was versteht man unter einer Auftragsverarbeitung?

Bei der Auftragsverarbeitung handelt es sich um eine spezifische Form der Aufgabenübertragung bei der Verarbeitung personenbezogener Daten.

Der Verantwortliche (im Sinne der Definition des Artikels 4 Nummer 7 DS-GVO)1 lagert dabei in der Regel Teilprozesse, die er sonst selbst vornehmen müsste und bei denen personenbezogene Daten verarbeitet werden, an einen externen Dienstleister (= Auftragsverarbeiter im Sinne der Definition des Art. 4 Nr. 8 DS-GVO) aus („Outsourcing“).


Beispiel: Ein Unternehmen übernimmt im Auftrag des Verantwortlichen die datenschutzkonforme Vernichtung von Dokumenten oder Datenträgern.


1 Verantwortlicher ist die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet [weitere Ausführungen können der Antwort zu Frage 5 sowie dem „Working Paper“ (WP) 169 der Artikel-29-Gruppe entnommen werden].

2. Wann ist die beauftragte Verarbeitung personenbezogener Daten eine Auftragsverarbeitung nach Art. 28 Abs. 1 DS-GVO?

Eine Auftragsverarbeitung nach Art. 28 Abs. 1 DS-GVO liegt vor, wenn die beiden folgenden Fragen mit „Ja“ beantwortet werden können:

a) Werden bei dem Verarbeitungsprozess personenbezogene Daten verarbeitet?

Personenbezogene Daten sind zum Beispiel Informationen über

  • Kunden und
  • Beschäftigte.


Hierzu zählen insbesondere:

  • Name, Alter, Familienstand, Geburtsdatum,
  • Kontaktdaten wie postalische Anschrift, Telefonnummer, E-Mail-Adresse. Umfasst sind hier auch dienstliche Kontaktdaten, soweit sie einen Personenbezug aufweisen, wie max.mustermann@unternehmen.de oder die persönliche dienstliche Durchwahl,
  • Bankverbindungsdaten wie Konto- oder Kreditkartennummer,
  • Kraftfahrzeugnummer, Kfz-Kennzeichen,
  • Personalausweis- und Sozialversicherungsdaten, einschließlich der Ausweis- und Versicherungsnummern sowie
  • genetische Daten und Gesundheitsdaten.


Dabei ist die technische Form dieser Angaben nicht von Bedeutung. Auch Fotos, Videoaufnahmen, Röntgenbilder oder Tonbandaufnahmen können personenbezogene Daten enthalten.


b) Ist die mit der Verarbeitung personenbezogener Daten beauftragte Stelle nicht verantwortlich?

Wenn die datenverarbeitende Stelle nicht als Verantwortlicher nach Art. 4 Nr. 7 DS-GVO über die Zwecke und Mittel der Datenverarbeitung entscheidet, liegt grundsätzlich eine Verarbeitung im Auftrag nach Art. 28 Abs. 1 DS-GVO vor. Dieses gilt selbst dann, wenn die datenverarbeitende Stelle in engen Grenzen über die Mittel der Datenverarbeitung (mit-)entscheidet (siehe Antwort zu Frage 5).

Eine Auftragsverarbeitung ist folglich regelmäßig bei den folgenden Dienstleistungen anzunehmen:

  • Entsorgung (Vernichtung, Löschung) von Datenträgern mit personenbezogenen Daten durch Dienstleister,
  • Speicherung von personenbezogenen Daten in der Cloud,
  • Werbeadressenverarbeitung in einem Letter-Shop,
  • Verarbeitung von Kundendaten durch ein Call-Center ohne wesentliche eigene Entscheidungsspielräume dort,
  • Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten mit personenbezogenen Daten,
  • Datenverarbeitungstechnische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
  • elektronische Rechnungserstellung.2

    2 Für Leistungserbringende im Gesundheitswesen sind in diesem Zusammenhang berufsrechtliche Voraussetzungen zu beachten. Insbesondere greift in diesen Fällen das Privileg der Auftragsverarbeitung nicht vollumfänglich; vielmehr ist eine nachweisbare Einwilligung der Patienten erforderlich (vergleiche zum Beispiel § 12 Absatz 2 der Berufsordnung der Ärztekammer Niedersachsen).

3. Ist für die vom Auftragsverarbeiter vorgenommene Verarbeitung personenbezogener Daten eine Rechtsgrundlage erforderlich?

Ja. Allerdings benötigt der Auftragsverarbeiter keine „eigene“ Rechtsgrundlage. Stattdessen stützt er sich für die Verarbeitung personenbezogener Daten „im Auftrag“ auf die dem Verantwortlichen zu-stehende Rechtsgrundlage nach Art. 6 Abs. 1 beziehungsweise Art. 9 Abs. 2 DS-GVO. Der Auftragsverarbeiter wird nicht als Dritter (Art. 4 Nr. 10 DS-GVO) angesehen, sondern „als verlängerter Arm“ des Verantwortlichen (Privilegierung).

Voraussetzung für die Privilegierung ist, dass

  • die beauftragte Verarbeitung personenbezogener Daten eine Auftragsverarbeitung nach Art. 28 Abs. 1 DS-GVO ist (siehe Frage 2),
  • der Auftragsverarbeiter ausschließlich gemäß dem Auftrag weisungsgebunden handelt (Art. 29 DS-GVO) und
  • der Verantwortliche den Auftragsverarbeiter jederzeit kontrollieren kann (Art. 28 Abs. 3 Buchstabe h DS-GVO).


Trotz der Auslagerung von Aufgaben an den Dienstleister bleibt der Verantwortliche für die Datenverarbeitung nach außen, also Betroffenen und Dritten gegenüber, in vollem Umfang verantwortlich.

In Bezug auf die Privilegierung kann sich allenfalls etwas anderes ergeben, wenn

  • eine Datenverarbeitung keine Auftragsverarbeitung nach Art. 28 DS-GVO ist oder
  • sich der Auftragsverarbeiter vertragswidrig verhalten sollte, indem er sich zum Beispiel nicht an die Weisungen des Verantwortlichen hält oder er die Auftragsdaten für eigene Zwecke nutzt (siehe Art. 28 Abs. 10 DS-GVO).

In diesen Fällen benötigen beide Seiten – Auftraggeber und Auftragnehmer – für die Verarbeitung eine „eigene“ Rechtsgrundlage nach Art. 6 Abs. 1 beziehungsweise Art. 9 Abs. 2 DS-GVO.

4. Kann es besondere Konstellationen geben, in denen ausnahmsweise keine Auftragsverarbeitung vorliegt, weil die Datenverarbeitung nur ein „ungewolltes Beiwerk“ einer (Haupt-)Dienstleistung darstellt?

Ja. Nach Sinn und Zweck des Art. 4 Nr. 8 in Verbindung mit Art. 28 Abs. 1 DS-GVO kann in Einzelfällen eine Auftragsverarbeitung verneint werden, wenn die Datenverarbeitung lediglich im Zusammen-hang mit der Erbringung einer (Haupt-)Dienstleistung für einen anderen erfolgt. Gemäß Erwägungsgrund 81 zur DS-GVO muss der Verantwortliche den Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten „betrauen wollen“. Dieses kann im Einzelfall verneint werden, wenn die Datenverarbeitung nicht speziell beabsichtigt ist beziehungsweise nicht den Schwerpunkt oder einen wichtigen (Kern-)Bestandteil der Leistung des Auftragnehmers darstellt.

So liegt beispielsweise keine Auftragsverarbeitung vor, wenn ein Copyshop den Auftrag erhält, einige T-Shirts mit Namen zu bedrucken. Hier bildet nicht die Verarbeitung der personenbezogenen Daten, sondern das farbliche Bedrucken der T-Shirts wie bei einem Druck mit Symbolen, Wappen, Sinnsprüchen oder Ähnlichem den Schwerpunkt der Tätigkeit. In diesen Fällen liegt keine Auftragsverarbeitung im Sinne der DS-GVO vor. Die Datenverarbeitungen sind als „unvermeidliches Beiwerk“ bei der Erfüllung der eigentlichen Dienstleistungspflicht zu betrachten. Allerdings entfällt damit die unter Frage 3 dargestellte Privilegierung für die Datenverarbeitung des Auftragnehmers. Deshalb benötigt der Auftragnehmer in diesen Fällen für seine Datenverarbeitung eine „eigene“ Rechtsgrundlage nach Art. 6 Abs. 1 beziehungsweise Art. 9 Abs. 2 DS-GVO. Im Falle des Copyshops kann sich dieser auf Art. 6 Abs. 1 Buchstabe f DS-GVO berufen, sofern nicht im Einzelfall die Interessen der Betroffenen überwiegen.


Beispiele:

  • Ein Blumen- oder Weinhändler erhält zur Versendung von Blumen- beziehungsweise Weingeschenken an dritte Personen von seinem Kunden eine Liste mit Adressdaten der Empfänger. Als Rechtsgrundlage kommt für die Verarbeitung der personenbezogenen Daten Art. 6 Abs. 1 Buchstabe f DS-GVO in Betracht. Von einem Überwiegen der Interessen der Betroffenen ist regelmäßig nicht auszugehen.
  • Bei sogenannten „Dreiecksverhältnissen“, soweit es um die Beziehung zwischen Online-Händler, Hersteller und Endkunden geht.
    Beispiel:     Der Hersteller von Produkten erhält für mit Endkunden vereinbarte Direktlieferungen vom Online-Händler die Adresse des Kunden.

Grafik: Dreiecksverhältnis zwischen Hersteller, Online-Händler und Endkunde   Bildrechte: LfD Niedersachsen

5. Für den Fall, dass die beabsichtigte Datenverarbeitung eine Auftragsverarbeitung nach Art. 28 DS-GVO ist: In welcher Rolle befinde ich mich?

5.1 Ich bin Verantwortlicher (Auftraggeber), wenn ich die personenbezogenen Daten eigenverantwortlich verarbeite und dabei über die Zwecke („ob“, „wofür“, „warum“) und Mittel („wie“) entscheide. Dabei kann sich meine Rolle als Verantwortlicher auf Grund einer gesetzlichen oder vertraglichen Regelung sowie auch aus meiner faktischen Möglichkeit zur Einflussnahme auf die Entscheidungen ergeben. Eine Verantwortlichkeit scheidet hingegen aus, wenn ich in Bezug auf die konkrete Datenverarbeitung entweder nur den Zweck oder nur die (wesentlichen) Mittel festlege.

Die Bestimmung des Verantwortlichen und des von ihm festgelegten Zwecks ist für die Frage der Rechtmäßigkeit der Datenverarbeitung von zentraler Bedeutung. Art. 5 Abs. 1 Buchstabe b DS-GVO verlangt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Auch ist eine Weiterverarbeitung dann unzulässig, wenn sie mit den ursprünglich festgelegten Zwecken nicht vereinbar ist.

Beispiele:

  • Der Arbeitgeber ist berechtigt, die Personaldaten seiner Beschäftigten zu verarbeiten, die für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sind.
  • Das Unternehmen ist berechtigt, die Daten seiner Kunden zu verarbeiten, die für die Erfüllung der Verträge mit den Kunden erforderlich sind.


5.2 Ich bin zusammen mit einer oder mehreren anderen Stelle/-n gemeinsam Verantwortlicher und kann Auftraggeber sein, wenn ich mit dieser/diesen gemeinsam nach Art. 26 DS-GVO über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheide. Ich verfüge dabei genauso wie die weiteren Verantwortlichen über die wesentliche Entscheidungsbefugnis hinsichtlich der konkreten Datenverarbeitung. Daneben besteht eine gewollte und bewusste Zusammenarbeit zwischen den weiteren Verantwortlichen und mir bezüglich der konkreten Datenverarbeitung. Dabei genügt es, wenn die wei-teren Verantwortlichen und ich einen maßgeblichen und entscheidungserheblichen Beitrag zur Datenverarbeitung leisten. Außerdem muss die Verantwortlichkeit bei den anderen Beteiligten und mir nicht gleichwertig sein – eine Einbeziehung in verschiedenen Phasen der Verarbeitung und in unterschiedlichem Ausmaß ist möglich, sofern die Beiträge entscheidungserheblich bleiben. Es ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit jeder Zugang zu den betreffenden personenbezogenen Daten hat.


5.3 Ich bin Auftragsverarbeiter (Auftragnehmer, Dienstleister, Leistungserbringer), wenn ich eine Aufgabe (konkrete Dienstleistung zur Verarbeitung von personenbezogenen Daten) übertragen bekomme, bei der ausschließlich mein Auftraggeber über die Zwecke der Datenverarbeitung entscheidet. Über die Mittel der Datenverarbeitung entscheidet ebenfalls mein Auftraggeber, sofern mir nicht im Einzelfall ein Handlungsspielraum eingeräumt ist, über die Mittel der Datenverarbeitung („wie“) beziehungsweise über technische und organisatorische Fragen (mit) zu entscheiden. Dieses kann zum Beispiel die Entscheidung über die eingesetzte Soft- und Hardware zur Durchführung meines Auftrags sein. Inhaltliche Fragen, die den Kern der Rechtmäßigkeit der Verarbeitung der Daten betreffen sind allerdings meinem Auftraggeber vorbehalten (zum Beispiel: Welche Daten werden wie lange verarbeitet? Wer hat Zugang zu den Daten?).

Beispiele:

  • Ein Lohnbuchhaltungsbüro führt für Kunden oder Mandanten die (reine) Lohn- und Gehaltsabrechnung durch;
  • ein Callcenter übernimmt bei der Kundenbetreuung eines Unternehmens nur Aufgaben ohne eigenen Handlungsspielraum, wie
    Weitervermittlung der Kunden an die jeweils zuständige Stelle innerhalb des Unternehmens,
    Aufnahme von Kontaktdaten oder sonstigen Informationen zur Weitergabe an die zuständige Stelle;
  • ein Dienstleister führt rein technische Dienstleistungen wie zum Beispiel Services zur Auswertung und Analyse von Webseiten oder zum Versenden von Newslettern durch, bei denen Nutzerdaten verarbeitet werden;
  • ein Dienstleister führt Wartungsarbeiten an technischen Geräten mit der Möglichkeit des Zugangs zu personenbezogenen Daten durch (Für weitere Hinweise siehe Antwort zu Frage 7 Buchstabe a).

6. Muss eine Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden?

Ja. Für die Auftragsverarbeitung ist ein konkreter Rahmen festzulegen. Dafür müssen der Verantwortliche und der Auftragsverarbeiter in der Regel einen Vertrag zur Auftragsverarbeitung schließen. Alternativ kann sich der Auftragsverarbeiter zum Beispiel auch einseitig gegenüber dem Verantwortlichen verpflichten.

Art. 28 DS-GVO enthält für die Ausgestaltung des Verhältnisses zwischen Verantwortlichem und Auftragsverarbeiter einzelne Vorgaben. Der Verantwortliche muss insbesondere einen Auftragsverarbeiter auswählen, der hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 Abs. 1 DS-GVO).

Darüber hinaus ist in dem Vertrag beziehungsweise der sonstigen Verpflichtung unter anderem nach Art. 28 Abs. 3 Satz 1 DS-GVO Folgendes festzulegen:

  • Gegenstand (zum Beispiel Erhebung von Kundendaten) und die Dauer der Verarbeitung (zeitlicher Rahmen von der Erhebung bis zur Löschung),
  • Art und Zweck der Verarbeitung (zum Beispiel Vernichtung von Dokumenten),
  • Art der personenbezogenen Daten,
  • Kategorien betroffener Personen und
  • Pflichten und Rechte des Verantwortlichen (insbesondere konkrete Festlegung der Weisungs- und Kontrollbefugnis).

Zudem müssen nach Art. 28 Abs. 3 Satz 2 in Verbindung mit Art. 32 DS-GVO Regelungen über die geeigneten technischen und organisatorischen Maßnahmen getroffen werden, mit denen ein angemessenes Schutzniveau erreicht werden kann. Diesbezüglich reicht ein einfacher Hinweis auf die allgemeinen Rechtsgrundlagen nicht aus. Stattdessen sind zumindest die vom Auftragsverarbeiter anzuwendenden technischen und organisatorischen Maßnahmen, die Genehmigungspflicht des Verantwortlichen für Änderungen sowie die Pflicht des Auftragsverarbeiters zur regelmäßigen Überprüfung der Maßnahmen im Hinblick auf deren weiterhin bestehende Angemessenheit aufzunehmen. Die Angaben müssen so detailliert sein, dass es dem Verantwortlichen möglich ist, die Angemessenheit der Maßnahmen im Hinblick auf das zu erreichende Schutzniveau bewerten zu können. Inwieweit der Verantwortliche diesbezüglich konkrete Vorgaben machen muss, hängt vom Einzelfall ab. So kann es ausreichen, dass der Verantwortliche lediglich das zu erreichende Schutzniveau vorgibt. Für diesen Fall muss er jedoch die vom Auftragsverarbeiter beabsichtigten technisch-organisatorischen Maßnahmen genehmigen.

Nähere Hinweise zur Auftragsverarbeitung, zur Form des Auftragsverarbeitungsvertrages (Art. 28 Abs. 9 DS-GVO) sowie eine Formulierungshilfe für einen Auftragsverarbeitungsvertrag finden sich zudem unter:

https://t1p.de/av-art28

7. Im Folgenden finden Sie Antworten zu verschiedenen Einzelfällen:


a) Bedarf es für IT-Wartungsdienstleistungen eines Vertrags zur Auftragsverarbeitung?

Ja. Es liegt eine Auftragsverarbeitung vor. Nach der einheitlich abgestimmten Auffassung der Datenschutz-Aufsichtsbehörden des Bundes und der Länder ist dies der Fall, sofern nicht rein technische Wartungen der Infrastruktur vorgenommen werden. Denn im Rahmen der beauftragten Tätigkeit besteht für den Dienstleister zumindest die Möglichkeit des Zugriffs auf personenbezogene Da-ten der Beschäftigten des Auftraggebers oder auf Kundendaten, zum Beispiel bei Fehleranalysen, bei Remote-Zugriffen oder bei Support-Arbeiten. Auch liegt nicht die in der Antwort zu Frage 4 dargestellte Konstellation vor. Aufgrund der im Rahmen der Fernwartung bestehenden technischen Möglichkeit zur systematischen und umfassenden Verarbeitung personenbezogener Daten ist im Hinblick auf die Leistung des Auftragnehmers stets ein entsprechender Schwerpunkt in der Datenverarbeitung zu sehen.

Das auf meiner Webseite verfügbare Kurzpapier Nummer 13 der Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder (DSK) gibt die einheitliche Position der deutschen Aufsichtsbehörden zur Auftragsverarbeitung nach Art. 28 DS-GVO wieder und stellt unter dem Punkt „Wartung und Fernzugriffe“ die zu beachtenden Punkte zusammen. Dieses Papier findet sich unter:

https://t1p.de/kurzpapiere-dsk


b) Muss mit Reinigungsunternehmen, die mit der Reinigung von Büroräumen beauftragt sind, ein Vertrag zur Auftragsverarbeitung geschlossen werden?

Nein. Es liegt keine Auftragsverarbeitung vor. Zur beauftragten Dienstleistung gehört nicht die Verarbeitung personenbezogener Daten. Vielmehr beschränkt sich die Aufgabe auf die Reinigungstätigkeit der vereinbarten Räumlichkeiten. Es wird empfohlen, dem Dienstleister aufzugeben, seine Beschäftigten für den Fall, dass diese bei der Reinigung von Büroräumen zufällig von personenbezogenen Daten Kenntnis erlangen, zur Verschwiegenheit zu verpflichten. Weitere Hintergründe zur Verpflichtung von Beschäftigten sind im Kurzpapier Nummer 19 der DSK enthalten. Dieses Kurzpapier ist abrufbar unter:

https://t1p.de/kurzpapiere-dsk


c) Müssen innerhalb eines Konzerns Verträge zur Auftragsverarbeitung abgeschlossen werden, wenn ein Konzernunternehmen die Datenverarbeitung für andere Konzernunternehmen durchführt?

Es kommt darauf an:

Wenn die Datenverarbeitung bei konzerninternem Outsourcing zum Beispiel durch sogenannte „Shared-Services-Gesellschaften“ (Tochter-, Schwester- oder Mutterunternehmen) erfolgt, ist die konkrete Ausgestaltung des Rechtsverhältnisses zwischen den Konzernunternehmen entscheidend.

  • Sollte das datenverarbeitende Konzernunternehmen aufgrund der konkreten Auftragsregelung selbst Verantwortlicher sein (regelmäßig zum Beispiel bei weisungsfreien Personalentscheidungen für andere Konzernunternehmen), scheidet eine Auftragsverarbeitung aus. Als Rechtsgrundlage für die Datenverarbeitung durch das Konzernunternehmen kommt dann zumindest Art. 6 Abs. 1 Buchstabe f DS-GVO in Betracht, wie Erwägungsgrund 48 zur DS-GVO verdeutlicht (Anmerkung: Gegebenenfalls ist in diesen Fällen der Abschluss einer Vereinbarung im Rahmen einer gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO notwendig).
  • Sollte die Datenverarbeitung durch das Konzernunternehmen nicht als Verantwortlicher erfolgen, ist eine Auftragsverarbeitung möglich. Ein entsprechender Vertrag ist zu schließen, in welchem ausdrücklich die Weisungsgebundenheit und die Kontrollrechte für die konkreten Verarbeitungstätigkeiten geregelt sind.

Darüber hinaus gilt für das datenverarbeitenden Konzernunternehmen Folgendes:

Im Verhältnis zwischen dem datenverarbeitenden Konzernunternehmen und einer unternehmenseigenen Abteilung, bei der die Datenverarbeitung erfolgt, handelt regelmäßig nur das Konzernunternehmen als Verantwortlicher. In diesem Fall kann grundsätzlich keine Auftragsverarbeitung durch die Abteilung vorliegen. Der Auftragsverarbeiter muss immer eine andere (externe) Stelle als der Verantwortliche sein. Ein Vertrag zur Auftragsverarbeitung kommt daher nicht in Betracht.


d) Müssen Speditionsunternehmen, die sich für die Erfüllung ihrer vertraglichen Verpflichtun-gen (Auslieferung) eines Subunternehmers bedienen, mit diesem einen Vertrag zur Auf-tragsverarbeitung schließen?

Nein. Auch hier liegt keine Auftragsverarbeitung vor. Bei der beauftragten Warenzusendung handelt es sich um eine Beauftragung mit fachlichen Dienstleistungen anderer Art, das heißt: Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht, beziehungsweise bei denen die Datenverarbeitung keinen wichtigen (Kern-)Bestandteil ausmacht. Als Rechtsgrundlage kommt für die Datenverarbeitung durch die Subunternehmer Art. 6 Abs. 1 Buchstabe b DS-GVO (Erfüllung des Vertrags zwischen Auftraggeber und Speditionsunternehmen) in Frage.


e) Bedarf es eines Vertrages zur Auftragsverarbeitung, wenn eine Druckerei einen Auftrag von vorgefertigten Schriftstücken mit integrierten personenbezogenen Daten zum Druck erhält?

Nein. Die Dienstleistung der Druckerei ist keine Auftragsverarbeitung.

Die Beauftragung mit den beschriebenen fachlichen Dienstleistungen, also mit Dienstleistungen, bei denen die Datenverarbeitung nicht im Vordergrund steht, beziehungsweise bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. Als Rechtsgrundlage für die Datenverarbeitung durch die Druckerei kommt Art. 6 Abs. 1 Buchstabe f DS-GVO in Frage.

Beispiel: Ausdruck von bereits vorgefertigten Einladungsschreiben im PDF-Format inklusive Adressangaben.


Anders wäre der Fall zu beurteilen, wenn der Druckerei eine separate Datei mit Adressen zur Verfügung gestellt würde und die Einbindung dieser Adressen in das Druckwerk Bestandteil der Leistung der Druckerei wäre. Erst durch die Zusammenführung der personenbezogenen Daten (Adressdatensatz) mit dem Drucktext entsteht das zu versendende Endprodukt. In diesem Fall läge eine Auftragsverarbeitung vor.


f) Ist mit Steuerberatern ein Vertrag zur Auftragsverarbeitung zu schließen?

Nein. Steuerberater sind keine Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DS-GVO. Dies ergibt sich aus den besonderen berufsrechtlichen Vorgaben für Steuerberater. Danach haben Steuerberater ihre beruflichen Tätigkeiten weisungsfrei, eigenverantwortlich und unabhängig auszuüben [§ 11 Abs. 2 Satz 1 und Satz 2, § 32 Abs. 2 Satz 1 sowie § 57 des Steuerberatungsgesetzes (StBerG)]. Dies gilt auch, soweit sie zusätzlich Aufgaben im Rahmen der Lohn- und Gehaltsbuchhaltung wahrnehmen. Eine weisungsgebundene Tätigkeit im Sinne einer Auftragsverarbeitung nach Art. 28 DS-GVO stünde den berufsrechtlichen Regelungen entgegen. Als Rechtsgrundlage für die Datenverarbeitung durch den Steuerberater kommt Art. 6 Abs. 1 Buchstabe b DS-GVO in Verbindung mit § 11 Abs. 1 Satz 1 StBerG (gegebenenfalls für besondere Kategorien personenbezogener Daten in Verbindung mit Art. 9 Abs. 2 Buchstabe g DS-GVO in Verbindung mit § 11 Abs. 2 Satz 3 StBerG) in Betracht.


g) Muss eine Kommune mit einer anderen öffentlichen Stelle, die sie mit der Gewährung von Beihilfen für ihre Beschäftigten beauftragt hat, einen Vertrag zur Auftragsverarbeitung schließen?

Es kommt darauf an:

Nein. Es liegt keine Auftragsverarbeitung vor, wenn diese Aufgabe von der Kommune auf eine der Aufsicht des Landes unterstehende juristische Person des öffentlichen Rechts als eigene Aufgabe übertragen worden ist (sogenannte „Zuständigkeitsübertragung“, siehe § 107 Abs. 6 Satz 2 des Niedersächsischen Kommunalverfassungsgesetzes – NKomVG).


Ja. Eine Auftragsverarbeitung ist gegeben, wenn es sich hierbei nur um eine Beauftragung zur Erbringung von Verarbeitungsleistungen und nicht um eine Übertragung als eigene Aufgabe handelt. Die Kommunen sind dabei an die in § 107 Abs. 6 NKomVG gesetzten Grenzen gebunden.

8. Müssen Behörden oder sonstige öffentliche Stellen in Niedersachsen neben Art. 28 DS-GVO Sonderregelungen zur Auftragsverarbeitung beachten?

Ja. Aufgrund der Öffnungsklauseln (siehe Regelungen in Art. 6 Abs. 2 und Abs. 3 Satz 1 Buchstabe b DS-GVO beispielsweise in Verbindung mit Art. 88 DS-GVO für Beschäftigungsverhältnisse) in Verbindung mit der jeweiligen spezialgesetzlichen Regelung sind besondere Rechtsvorschriften zu Auftragsverarbeitungen zu beachten.


Beispiele:

  • § 92 a des Niedersächsischen Beamtengesetzes enthält Sonderregelungen zur Verarbeitung von Personalaktendaten im Auftrag.
  • § 80 des Zehnten Buches Sozialgesetzbuch enthält Sonderregelungen zur Verarbeitung von Sozialdaten durch Sozialleistungsträger. Hiernach hat der Verantwortliche seiner Rechts- oder Fachaufsichtsbehörde den Inhalt, Umfang und Auftragnehmer der Auftragsverarbeitung rechtzeitig vor der Auftragserteilung anzuzeigen. Die Erteilung eines Auftrags zur Verarbeitung von Sozialdaten durch nicht-öffentliche Stellen ist mit Ausnahme von Verträgen über die Prüfung oder Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen nur zulässig, wenn beim Verantwortlichen sonst Störungen im Betriebsablauf auftreten können oder die übertragenen Arbeiten beim Auftragsverarbeiter erheblich kostengünstiger besorgt werden können.


Hinweis: § 45 Niedersächsisches Datenschutzgesetz ist zwar auch eine Regelung zur Auftragsverarbeitung. Diese Regelung gilt gemäß § 23 Niedersächsisches Datenschutzgesetz aber nur für

  • öffentliche Stellen, die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zuständig sind,
  • öffentliche Stellen, die für die Vollstreckung und den Vollzug von Strafen, von Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 StGB, von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes und von Geldbußen zuständig sind,
  • öffentliche Stellen, die Ordnungswidrigkeiten verfolgen und ahnden sowie Sanktionen vollstrecken.

9. Kann ein Auftragsverarbeiter seinen Sitz auch außerhalb der Europäischen Union/des Europäischen Wirtschaftraums haben?

Ja. Anders als noch im Bundesdatenschutzgesetz (BDSG) alter Fassung besteht die Privilegierung der Auftragsverarbeitung nun ausdrücklich nicht mehr nur innerhalb der Europäischen Union/des Europäischen Wirtschaftsraums. Vielmehr gelten Auftragsverarbeiter auch dann nicht als Dritte im Sinne von Art. 4 Nr. 10 DS-GVO, wenn sie in einem Drittland personenbezogene Daten im Auftrag verarbeiten. Für die Übermittlung personenbezogener Daten an einen Auftragsverarbeiter in Drittländer müssen jedoch die Besonderheiten des Kapitels V der DS-GVO berücksichtigt werden (zum Beispiel Angemessenheitsbeschluss der EU-Kommission fürs Drittland oder zusätzlich zum Auftragsverarbeitungsvertrag Abschluss von Standarddatenschutzklauseln „Controller/Processor“).

10. Sind „Alt-Verträge“ zur Auftragsverarbeitung anzupassen?

Ja. Bestehende „Alt-Verträge“ sind zu prüfen und gegebenenfalls an die Vorgaben der DS-GVO anzupassen.

Insbesondere für den Fall, dass die bestehende Geschäftsbeziehung neu gestaltet werden soll oder wenn hinsichtlich der Datenverarbeitung grundlegende Änderungen angedacht sind, wie zum Beispiel ein grenzüberschreitender Datenverkehr, bedarf es einer Vertragsanpassung. Daneben ist zu überprüfen, ob die getroffenen technisch-organisatorischen Maßnahmen noch den derzeitigen Anforderungen der DS-GVO entsprechen.

11. Was soll ich machen, wenn ich als Verantwortlicher unsicher bin und noch keinen Auftragsverarbeitungsvertrag abgeschlossen habe?

Sofern Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benannt haben, wenden Sie sich zunächst an diese oder diesen. Die oder der Datenschutzbeauftragte Ihres Hauses ist verpflichtet, Ihnen beratend zur Seite zu stehen.

Sofern eine Auftragsverarbeitung vorliegt, ist ein Auftragsverarbeitungsvertrag unverzüglich abzuschließen.

Liegt keine Auftragsverarbeitung und keine Rechtsgrundlage nach Art. 6 Abs. 1 beziehungsweise Art. 9 Abs. 2 DS-GVO vor, ist eine Datenverarbeitung in der Regel unzulässig. Bei Verstößen gegen den Grundsatz der Rechtmäßigkeit (Art. 5 Abs. 1 Buchstabe a DS-GVO) kann nach Art. 83 Abs. 5 DS-GVO ein Bußgeld verhängt werden.


Stand 24. Juni 2020


FAQ als PDF-Dokument

Drucken
Dokumente zur Auftragsverarbeitung nach der DS-GVO

 FAQ zur Auftragsverarbeitung nach Art. 28 DS-GVO

 Formulierungshilfe zur Auftragsverarbeitung nach Art. 28 DS-GVO

 DSK-Kurzpapier Nr. 13 - Auftragsverarbeitung

Artikel-Informationen

erstellt am:
24.06.2020
zuletzt aktualisiert am:
08.07.2020

Bildrechte Impressum Datenschutz Kontakt
zum Seitenanfang
zur mobilen Ansicht wechseln