Als Auftragsverarbeiter wird eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle bezeichnet, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). Wenn also z.B. ein IT-Dienstleister als "verlängerter Arm" des Anwalts tätig wird und i.R.d. Fehlerbehebung an der Anwaltssoftware notwendigerweise auch Zugriff auf die personenbezogenen Daten der Mandanten hat, dann liegt ein typisches AV-Verhältnis im datenschutzrechtlichen Sinne vor (Art. 28 DSGVO). Weitere typische Beispiele für AV-Verhältnisse sind die folgenden:
- DV-technische Arbeiten für Lohn- und Gehaltsabrechnung,
- Outsourcing mittels Cloud-Computing,
- Werbeadressenverarbeitung in einem sog. Lettershop,
- Verarbeitung von Kundendaten durch Callcenter (ohne wesentliche eigene Entscheidungsspielräume),
- Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen),
- Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,
- Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen,
- Datenträgerentsorgung durch Dienstleister,
- Prüfung oder Wartung (z.B. Fernwartung, externer Support) automatisierter Verfahren oder von EDV-Anlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann,
- Zentralisierung bestimmter "Shared-Services-Dienstleistungen" innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen,
- Apothekenrechenzentren (§ 300 SGB V),
- ärztliche bzw. zahnärztliche Verrechnungsstellen (ohne Forderungsverkauf),
- Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben,
- externe Personen, Dienstleister usw., die im Auftrag Messwerte in Mietwohnungen ablesen bzw. verarbeiten (Heizung, Strom, Wasser etc.).
Die genannten Beispiele sind nicht abschließend, dienen jedoch der Veranschaulichung der charakteristischen Züge von AV-Verhältnissen. Dagegen liegt bei folgenden Konstellationen regelmäßig kein AV-Verhältnis vor:
- Tätigkeiten von Berufsgeheimnisträgern (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer, Ärzte, Apotheker usw.),
- Inkassobüros mit Forderungsübertragung,
- Bankinstitute für den Geldtransfer,
- Postdienste für den Brief- oder Pakettransport,
- Tätigkeit als Verwalter z.B. für Eigentumswohnungen,
- Detektive (bei ihrer Observierungs-, Überwachungs- oder Ausforschungstätigkeit),
- Insolvenzverwalter,
- Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern,
- Internet-Plattformbetreiber zur Vermittlung zwischen Anbietern und Nachfragern, die sich auf der Plattform treffen können (z.B. eBay, Amazon, MyHammer),
- TKG-Dienstleistungen (z.B. Deutsche Telekom, Vodafone, Telefonica, 1&1),
- Versicherungs- oder Finanzmakler bzw. -vermittler i.R.d. Kundenvertrags,
- Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel,
- medizinische Labore, Materiallabore usw. (Materialuntersuchung im Auftrag),
- Zahlungsdienstleister für elektronische Zahlungen,
- von Reisebüros aufgrund Kundenvertrags vermittelte Leistungsanbieter, wie Hotels, Mietwagenfirmen, Fluggesellschaften, Busunternehmen, Versicherungen usw.,
- vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten,
- Sachverständige zur Begutachtung eines Kfz-Schadens,
- Personenbeförderung/Krankentransportleistungen,
- Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen,
- Druck von Prospekten, Katalogen etc. (mit Bildern von Beschäftigten oder Fotomodellen),
- Transport von Unterlagen und Waren durch Kurierdienste, Speditionen, Zeitungsausträger,
- Übersetzung von Texten in bzw. aus Fremdsprachen.
Anhand der beiden Auflistungen wird gut ersichtlich, in welchen Fällen von einem AV-Verhältnis auszugehen ist und wann nicht. Der zweite Fall, wenn also kein AV-Verhältnis vorliegt, bringt einen allerdings nur einen kleinen Schritt weiter. Denn dann muss weiter differenziert werden, und zwar zwischen gemeinsamer und getrennter Verantwortlichkeit im datenschutzrechtlichen Sinne.