Auftragsverarbeiter und Berufsgeheimnisträger
Frage 1: Was ist ein Auftragsverarbeiter und welche Rolle spielt er in der DS-GVO?
Antwort:
Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die rechtliche Grundlage hierfür findet sich in Art. 4 Nr. 8 und Art. 28 der DS-GVO. Der Auftragsverarbeiter handelt weisungsgebunden und entscheidet nicht über die Zwecke und Mittel der Verarbeitung. Er ist verpflichtet, die Daten schützen und die Anweisungen des Verantwortlichen zu befolgen.
Frage 2: Sind Ärzte, Steuerberater oder Wirtschaftsprüfer als Auftragsverarbeiter einzustufen?
Antwort:
Nein, Ärzte, Steuerberater und Wirtschaftsprüfer sind in der Regel nicht als Auftragsverarbeiter einzustufen. Sie sind als Berufsgeheimnisträger tätig und handeln eigenständig sowie weisungsunabhängig. Ihre Tätigkeit fällt unter das Berufsgeheimnis und ist nicht als Auftragsverarbeitung im Sinne der DS-GVO zu betrachten. Dies bedeutet, dass in der Regel kein Auftragsverarbeitungsvertrag erforderlich ist.
Frage 3: Wann ist ein Auftragsverarbeitungsvertrag erforderlich?
Antwort:
Ein Auftragsverarbeitungsvertrag ist erforderlich, wenn ein externer Dienstleister personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und dabei weisungsgebunden handelt. Dies gilt insbesondere für technische Dienstleistungen, bei denen der Auftragnehmer keine eigenständige Verantwortung für die Verarbeitungszwecke trägt. Beispiele hierfür sind IT-Dienstleister, die personenbezogene Daten speichern oder verarbeiten, oder externe Lohnbuchhaltungen, die Mitarbeiterdaten verarbeiten.
Frage 4: Gibt es Ausnahmen, in denen ein Auftragsverarbeitungsvertrag auch mit Berufsgeheimnisträgern geschlossen werden muss?
Antwort:
Ja, in Ausnahmefällen kann ein Auftragsverarbeitungsvertrag auch mit Berufsgeheimnisträgern erforderlich sein. Dies ist insbesondere dann der Fall, wenn die Tätigkeit des Berufsgeheimnisträgers vorwiegend technische Unterstützung umfasst, die eine Verarbeitung personenbezogener Daten erfordert. Beispiele hierfür sind:
- Wirtschaftsprüfer, die eine technische Plattform zur Verfügung stellen.
- Steuerberater, die externe Lohn- und Gehaltsabrechnungen durchführen.
- Ärzte, die in Ausnahmefällen personenbezogene Daten im Auftrag eines Dritten verarbeiten.
Frage 5: Was ist die Rolle des Berufsgeheimnisträgers in der DS-GVO?
Antwort:
Berufsgeheimnisträger wie Ärzte, Steuerberater und Wirtschaftsprüfer unterliegen besonderen beruflichen Geheimhaltungspflichten. Sie sind eigenständig tätig und nicht weisungsgebunden. In der DS-GVO fallen sie nicht unter den Begriff des Auftragsverarbeiters, da sie die Verarbeitung personenbezogener Daten in eigener Verantwortung durchführen. Dennoch müssen sie die Vorgaben der DS-GVO einhalten und personenbezogene Daten schützen.
Frage 6: Muss ein Arzt oder ein Labor mit einem Auftragsverarbeitungsvertrag arbeiten?
Antwort:
Nein, in der Zusammenarbeit zwischen einem Arzt und einem Labor liegt in der Regel keine Auftragsverarbeitung vor. Der Arzt bestimmt die Zwecke und Mittel der Verarbeitung, während das Labor als eigenständiger Verantwortlicher handelt. In diesem Fall liegt eine gemeinsame Verantwortlichkeit vor, die in der DS-GVO geregelt ist. Ein Auftragsverarbeitungsvertrag ist hier nicht erforderlich.
Frage 7: Welche Anforderungen müssen gemeinsam Verantwortliche beachten?
Antwort:
Gemeinsam Verantwortliche müssen eine Vereinbarung treffen, in der die Aufgaben und Verpflichtungen im Umgang mit personenbezogenen Daten geregelt sind. Art. 26 DS-GVO schreibt vor, dass die Betroffenenrechte und Informationspflichten klar definiert werden müssen. Betroffene können sich an jeden der Verantwortlichen wenden, um ihre Rechte geltend zu machen. Die Vereinbarung muss den Betroffenen zugänglich gemacht werden.
Frage 8: Welche Form muss ein Auftragsverarbeitungsvertrag haben?
Antwort:
Ein Auftragsverarbeitungsvertrag muss schriftlich abgefasst sein. Die DS-GVO verlangt nicht die strengen Anforderungen der Schriftform nach § 126 BGB, sondern akzeptiert auch elektronische Formen. Wichtig ist, dass der Vertrag die wesentlichen Pflichten und Anforderungen der DS-GVO umfasst und von beiden Parteien akzeptiert wird.
Fazit:
Die Einordnung von Auftragsverarbeitern und Berufsgeheimnisträgern ist in der DS-GVO klar geregelt. Während Auftragsverarbeiter weisungsgebunden handeln und einen schriftlichen Vertrag erfordern, fallen Berufsgeheimnisträger in der Regel nicht unter diese Kategorie. Dennoch müssen alle Beteiligten die Vorgaben der DS-GVO einhalten, um den Schutz personenbezogener Daten zu gewährleisten.
Antwort:
Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die rechtliche Grundlage hierfür findet sich in Art. 4 Nr. 8 und Art. 28 der DS-GVO. Der Auftragsverarbeiter handelt weisungsgebunden und entscheidet nicht über die Zwecke und Mittel der Verarbeitung. Er ist verpflichtet, die Daten schützen und die Anweisungen des Verantwortlichen zu befolgen.
Frage 2: Sind Ärzte, Steuerberater oder Wirtschaftsprüfer als Auftragsverarbeiter einzustufen?
Antwort:
Nein, Ärzte, Steuerberater und Wirtschaftsprüfer sind in der Regel nicht als Auftragsverarbeiter einzustufen. Sie sind als Berufsgeheimnisträger tätig und handeln eigenständig sowie weisungsunabhängig. Ihre Tätigkeit fällt unter das Berufsgeheimnis und ist nicht als Auftragsverarbeitung im Sinne der DS-GVO zu betrachten. Dies bedeutet, dass in der Regel kein Auftragsverarbeitungsvertrag erforderlich ist.
Frage 3: Wann ist ein Auftragsverarbeitungsvertrag erforderlich?
Antwort:
Ein Auftragsverarbeitungsvertrag ist erforderlich, wenn ein externer Dienstleister personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und dabei weisungsgebunden handelt. Dies gilt insbesondere für technische Dienstleistungen, bei denen der Auftragnehmer keine eigenständige Verantwortung für die Verarbeitungszwecke trägt. Beispiele hierfür sind IT-Dienstleister, die personenbezogene Daten speichern oder verarbeiten, oder externe Lohnbuchhaltungen, die Mitarbeiterdaten verarbeiten.
Frage 4: Gibt es Ausnahmen, in denen ein Auftragsverarbeitungsvertrag auch mit Berufsgeheimnisträgern geschlossen werden muss?
Antwort:
Ja, in Ausnahmefällen kann ein Auftragsverarbeitungsvertrag auch mit Berufsgeheimnisträgern erforderlich sein. Dies ist insbesondere dann der Fall, wenn die Tätigkeit des Berufsgeheimnisträgers vorwiegend technische Unterstützung umfasst, die eine Verarbeitung personenbezogener Daten erfordert. Beispiele hierfür sind:
- Wirtschaftsprüfer, die eine technische Plattform zur Verfügung stellen.
- Steuerberater, die externe Lohn- und Gehaltsabrechnungen durchführen.
- Ärzte, die in Ausnahmefällen personenbezogene Daten im Auftrag eines Dritten verarbeiten.
Frage 5: Was ist die Rolle des Berufsgeheimnisträgers in der DS-GVO?
Antwort:
Berufsgeheimnisträger wie Ärzte, Steuerberater und Wirtschaftsprüfer unterliegen besonderen beruflichen Geheimhaltungspflichten. Sie sind eigenständig tätig und nicht weisungsgebunden. In der DS-GVO fallen sie nicht unter den Begriff des Auftragsverarbeiters, da sie die Verarbeitung personenbezogener Daten in eigener Verantwortung durchführen. Dennoch müssen sie die Vorgaben der DS-GVO einhalten und personenbezogene Daten schützen.
Frage 6: Muss ein Arzt oder ein Labor mit einem Auftragsverarbeitungsvertrag arbeiten?
Antwort:
Nein, in der Zusammenarbeit zwischen einem Arzt und einem Labor liegt in der Regel keine Auftragsverarbeitung vor. Der Arzt bestimmt die Zwecke und Mittel der Verarbeitung, während das Labor als eigenständiger Verantwortlicher handelt. In diesem Fall liegt eine gemeinsame Verantwortlichkeit vor, die in der DS-GVO geregelt ist. Ein Auftragsverarbeitungsvertrag ist hier nicht erforderlich.
Frage 7: Welche Anforderungen müssen gemeinsam Verantwortliche beachten?
Antwort:
Gemeinsam Verantwortliche müssen eine Vereinbarung treffen, in der die Aufgaben und Verpflichtungen im Umgang mit personenbezogenen Daten geregelt sind. Art. 26 DS-GVO schreibt vor, dass die Betroffenenrechte und Informationspflichten klar definiert werden müssen. Betroffene können sich an jeden der Verantwortlichen wenden, um ihre Rechte geltend zu machen. Die Vereinbarung muss den Betroffenen zugänglich gemacht werden.
Frage 8: Welche Form muss ein Auftragsverarbeitungsvertrag haben?
Antwort:
Ein Auftragsverarbeitungsvertrag muss schriftlich abgefasst sein. Die DS-GVO verlangt nicht die strengen Anforderungen der Schriftform nach § 126 BGB, sondern akzeptiert auch elektronische Formen. Wichtig ist, dass der Vertrag die wesentlichen Pflichten und Anforderungen der DS-GVO umfasst und von beiden Parteien akzeptiert wird.
Fazit:
Die Einordnung von Auftragsverarbeitern und Berufsgeheimnisträgern ist in der DS-GVO klar geregelt. Während Auftragsverarbeiter weisungsgebunden handeln und einen schriftlichen Vertrag erfordern, fallen Berufsgeheimnisträger in der Regel nicht unter diese Kategorie. Dennoch müssen alle Beteiligten die Vorgaben der DS-GVO einhalten, um den Schutz personenbezogener Daten zu gewährleisten.
Aktualisiert am: 03/03/2025
Danke!