Auftragsverarbeitung, Datenweitergabe an Dritte und gemeinsame Verantwortung in der Praxis
Datenschutzpraxis
07. Mai 2020

Auftragsverarbeitung, Datenweitergabe an Dritte und gemeinsame Verantwortung in der Praxis

Rechtsanwältin K. Kirchert, LL.M. Profilbild
Rechtsanwältin K. Kirchert, LL.M.

Damit Sie einfacher zwischen den Bereichen Auftragsverarbeitung, Datenweitergabe an Dritte und gemeinsamer Verantwortung unterscheiden können, haben wir von dacoto einige Beispiele für Sie zusammengestellt:

Auftragsverarbeitung

Immer dann, wenn ein Unternehmen oder ein Verein einen Dienstleister mit einer Tätigkeit beauftragt, bei der es hauptsächlich um die Verarbeitung von personenbezogenen Daten geht, für die das Unternehmen bzw. der Verein datenschutzrechtlich verantwortlich ist, handelt es sich um eine Auftragsverarbeitung nach Art. 28 DSGVO.

Unter die Kategorie Auftragsverarbeitung fallen in der Regel daher folgende Dienstleistungen:

  • Entsorgung von Papier und Datenträgern durch einen Dienstleister
  • Lohn- und Gehaltsabrechnung durch ein Lohnbüro (Ausnahme: Steuerberater)
  • Versand von Newslettern durch einen externen Anbieter
  • Verarbeiten von Adresslisten für den Ausdruck von Werbesendungen
  • Betreuung von Kundenanfragen durch ein externes Callcenter
  • Verarbeitung von personenbezogenen Daten in einer Cloud
  • Hosting und Betreuung von dynamischen Webseiten
  • Auslagerung der Datenerfassung, z. B. das Einscannen von Postsendungen
  • Übergabe von Beschäftigtendaten an Dienstleister zur Visabeschaffung
  • Erfassung von Messwerten in Mietwohnungen durch einen Dienstleister
  • Erstellung von Backups und Archivierungen durch einen Dienstleister
  • Nutzung von Dienstleistern für das Bewerbungsmanagement
  • Support und (Fern-)Wartung bei IT-Systemen durch einen Dienstleister

Falls bei Ihrem Unternehmen oder Verein ein solcher Fall vorliegt, sollten Sie umgehend einen Auftragsverarbeitungsvertrag abschließen, falls das noch nicht geschehen ist. Möglicherweise wurde zu einem früheren Zeitpunkt ein sog. Vertrag über Auftragsdatenverarbeitung geschlossen, diesen sollten Sie unbedingt überprüfen und an die nun geltende Rechtslage anpassen.

Datenweitergabe an Dritte

Wenn ein Unternehmen oder ein Verein einen Dritten mit einer fachlichen Dienstleistung beauftragt, bei der die Verarbeitung von personenbezogenen Daten nicht im Vordergrund steht und nur einen untergeordneten Nebenzweck darstellt, handelt es sich nicht um eine Auftragsverarbeitung nach Art. 28 DSGVO, sondern um eine Datenweitergabe an einen Dritten, der für die weitere Verarbeitung der Daten eigenständig verantwortlich ist.

Unter die Kategorie Datenweitergabe an Dritte fallen damit in der Regel folgende Tätigkeiten:

  • Weitergabe der Daten von Reisenden an Hotels, Fluggesellschaften etc.
  • Weitergabe von Daten an Zahlungsdienstleister für elektronische Zahlungen
  • Hinzuziehung von Bankinstituten für den Geldtransfer
  • Tätigkeiten von Berufsgeheimnisträgern, z. B. Rechtsanwälte und Steuerberater
  • Beauftragung von Dienstleistern für den Post-, Paket- und Warenversand
  • Weitergabe von Daten an Inkassobüros im Rahmen einer Forderungsübertragung
  • Weitergabe der Daten von Mietern an Handwerksunternehmen etc.

Eine schriftliche Vereinbarung betreffend die Datenübergabe an Dritte ist nicht zwingend notwendig. Die Dokumentation der Weitergabe ist jedoch trotzdem empfehlenswert, um die gesetzlichen Rechenschaftspflichten aus der DSGVO zu erfüllen, die jeder Verantwortliche hat.

Gemeinsame Verantwortung

Grundsätzlich fällt eine gemeinsame Verarbeitung von identischen personenbezogenen Daten, mit der mehrere Beteiligte ihre jeweils individuellen, aber eng zusammenhängenden Zwecke verfolgen, unter den Begriff der gemeinsamen Verantwortung. Dafür genügt es bereits, dass sich die gemeinsam Verantwortlichen in verschiedenen Phasen und Anteilen an der Verarbeitung der Daten beteiligen. Auch eine gleich große Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung für alle Beteiligten ist nicht erforderlich, um als gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO zu gelten.

Unter die Kategorie gemeinsame Verarbeitung fallen in der Regel also folgende Konstellationen:

  • Personalvermittler und Arbeitgeber bei der Verarbeitung der Daten von Bewerbern, die der Personalvermittler aus seiner eigenen Datenbank ausgewählt hat
  • Unternehmen und Anbieter sozialer Medien beim Einbinden eines Social Plugins auf der Webseite des Unternehmens (z. B. „Gefällt mir“-Button von Facebook)
  • Unternehmen und Facebook beim Betrieb einer Facebook-Fanpage durch das Unternehmen
  • zwei oder mehr Unternehmen beim Betrieb einer gemeinsamen IT-Infrastruktur mit gemeinsamer Entscheidung über Art und Umfang der dortigen Datenverarbeitung

Falls bei Ihrem Unternehmen oder Verein ein solcher Fall vorliegt, sollten Sie umgehend eine Vereinbarung nach Art. 26 DSGVO abschließen, in der geregelt wird, wer von den Beteiligten welche Pflichten aus der DSGVO übernimmt und wie die Haftung zwischen den Beteiligten untereinander aussieht.

Icon