Dipl.-Volksw. Fritz Schmidt
Werden personenbezogene Daten im Auftrag durch andere Personen oder Stellen verarbeitet, liegt eine Auftragsverarbeitung vor (Art. 8 Abs. 1 DSGVO). Voraussetzung hierfür ist, dass die andere Stelle den Weisungen des Auftraggebers unterworfen ist und keine eigene Entscheidungsbefugnis darüber besitzt, wie sie mit den zur Verfügung gestellten Daten umgeht. Dem Auftragsverarbeiter wird nur die tatsächliche Verarbeitung oder Nutzung nach Weisung und unter materieller Verantwortung des Auftraggebers übertragen. Der Auftragsverarbeiter erbringt damit lediglich eine "Hilfsfunktion" der eigentlichen Aufgabe.
Merkmale einer Auftragsverarbeitung
Merkmale einer Auftragsverarbeitung sind:
- die fehlende Entscheidungsbefugnis des Auftragsverarbeiters,
- die Tatsache, dass der Auftragsverarbeiter den Weisungen des Auftraggebers unterworfen ist,
- die fehlende (vertragliche) Beziehung des Auftragsverarbeiters zum Betroffenen,
- der Umstand, dass der Auftragsverarbeiter die personenbezogenen Daten nicht zu eigenen Zwecken nutzt.
Keine Auftragsverarbeitung
Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen liegt beispielsweise nach dem Kurzpapier Nr. 13 Auftragsverarbeitung, Art. 28 DS-GVO der DSK vom 17.12.2018 in folgenden Fällen vor:
- Beauftragung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
- Beauftragung eines Inkassobüros bei Forderungsübertragungen,
- Beauftragung eines Bankinstituts für den Geldtransfer,
- Beauftragung eines Postdienstes für den Brieftransport.
Steuerberater
Steuerberater, auch wenn sie mit der Lohn- und Gehaltsabrechnung beauftragt sind, sind keine Auftragsverarbeiter, da nach § 11 Abs. 1 StBerG zur Erfüllung der Aufgaben nach dem Steuerberatungsgesetz personenbezogene Daten verarbeitet werden dürfen. Zusätzlich wird in § 11 Abs. 2 StBerG ergänzt, dass die Verarbeitung personenbezogener Daten durch Steuerberater und Steuerberatungsgesellschaften unter Beachtung der für sie geltenden Berufspflichten weisungsfrei erfolgt. Nach der Gesetzesbegründung (BT-Drucks. 19/14909 S. 58) gilt dies auch für das "Buchen laufender Geschäftsvorfälle", die "laufende Lohnabrechnung" und das "Fertigen der Lohnsteuer-Anmeldungen". Auch in diesen Fällen umfasst die Leistung des Steuerberaters die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen und es liegt keine Auftragsverarbeitung vor. Auftragsverarbeitungen sind aber die Lohn- und Gehaltsabrechnung durch darauf spezialisierte Rechenzentren, die nicht Steuerberater oder Steuerberatungsgesellschaften sind.
Beispiele für Auftragsverarbeitungen
Folgende Dienstleistungen können regelmäßig Auftragsverarbeitungen sein:
- DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren
- Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist
- Werbeadressenverarbeitung in einem Letter-Shop y Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort
- Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Websites (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen)
- Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten y Auslagerung der Back-up-Sicherheitsspeicherung und anderer Archivierungen
- Datenträgerentsorgung durch Dienstleister
- Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann
- Zentralisierung bestimmter Shared-Services-Dienstleistungen innerhalb eines Konzerns, wie Dienstreisenplanungen oder Reisekostenabrechnungen
- Lohn- und Gehaltsabrechnung durch Personen, die nicht Berufsgeheimnisträger sind
- Web-Analysetools
- Identifizierung von Sparern durch Dritte bei Genossenschaften mit Spareinrichtung (z. B. Postident-Verfahren)
- Messdienstleistungen und Heizkostenabrechnung durch Abrechnungsunternehmen
Der Auftragsverarbeiter ist nicht Dritter, sondern sozusagen im "Innenverhältnis" für den Verantwortlichen tätig (Art. 4 Nr. 10 DSGVO). Mit der Auftragsverarbeitung sind zahlreiche zusätzliche Pflichten verbunden.
5.1 Sorgfaltspflichten bei der Auswahl der Auftragsverarbeiter
Aus Art. 28 Abs. 1 DSGVO ergibt sich zunächst die Pflicht, die Geeignetheit eines Auftragsverarbeiters zu prüfen. Der Auftraggeber muss sich also vor Auftragserteilung darüber informieren, ob der Auftragnehmer in der Lage ist, die notwendigen technischen und organisatorischen Maßnahmen in geeigneter Weise umzusetzen und auf einem ausreichenden Stand zu halten. Dabei muss der Auftraggeber sicherstellen, dass beim Auftragnehmer alle Datenschutzvorkehrungen getroffen werden, die er selbst vornehmen müsste, wenn er die Daten in eigener Regie verarbeiten würde.
Die Geeignetheit des Auftragnehmers ist dann gegeben, wenn er hinreichende Garantien dafür bietet, dass angemesse...