Auftragsverarbeitung nach DSGVO: Wann liegt sie vor?

Auftragsverarbeitung nach DSGVO: Wann liegt sie vor?

1. Was ist Auftragsverarbeitung?

Auftragsverarbeitung liegt vor, wenn ein Unternehmen eine andere Stelle hauptsächlich mit der Verarbeitung personenbezogener Daten beauftragt. Dies ist in Art. 4 Nr. 8 DSGVO definiert.

🔹 Wichtig: Die Datenverarbeitung muss im Mittelpunkt der Dienstleistung stehen – nicht nur ein Nebenaspekt sein.

2. Beispiele für typische Auftragsverarbeitung

✅ Verarbeitung personenbezogener Daten im Auftrag, z. B.:

✔ Lohn- & Gehaltsabrechnung durch externe Rechenzentren

✔ Cloud-Computing mit personenbezogenen Daten (ohne inhaltlichen Zugriff des Anbieters)

✔ Callcenter zur Kundenbetreuung (wenn es strikt nach Vorgaben arbeitet)

✔ Datenerfassung, Digitalisierung & Archivierung

✔ Externe Backup- und Datenspeicherung

✔ Fernwartung & IT-Support, wenn personenbezogene Daten sichtbar sind

✔ Messwerte-Erfassung in Mietwohnungen (z. B. Heizung, Strom, Wasser)

✔ Visabeschaffung durch externe Dienstleister (Arbeitgeber übermittelt Beschäftigtendaten)

🚨 Folge: Bei Auftragsverarbeitung muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden.

3. Wann liegt KEINE Auftragsverarbeitung vor?

🚫 Eigene Verantwortung des Dienstleisters (keine Auftragsverarbeitung):

❌ Berufsgeheimnisträger (z. B. Steuerberater, Anwälte, Ärzte)

❌ Inkassobüros (wenn Forderung übertragen wurde)

❌ Banken & Zahlungsdienstleister (z. B. für Überweisungen oder Betrugsprüfung)

❌ Post- & Paketdienste (Transport von Sendungen mit Adressen)

❌ Reisebüros & Hotelbuchungen (Direktvermittlung an Dienstleister)

❌ Internetplattformen (z. B. Airbnb, eBay)

❌ Detekteien & Sicherheitsdienste (eigene Ermittlungen, keine reine Datenverarbeitung)

💡 Regel: Wenn der Dienstleister eigenverantwortlich über die Datenverarbeitung entscheidet, handelt es sich nicht um eine Auftragsverarbeitung.

4. Grauzonen & Abgrenzung

📌 Beispiel 1: Ein IT-Dienstleister betreut die IT-Infrastruktur eines Unternehmens.

➡ AVV nötig, wenn er Zugriff auf personenbezogene Daten hat (z. B. Fernwartung, Server-Hosting).

➡ Kein AVV nötig, wenn er nur allgemeine Hardwarewartung ohne Datenzugriff durchführt.

📌 Beispiel 2: Ein Reinigungsdienst reinigt Büroräume, in denen personenbezogene Daten auf Schreibtischen liegen.

➡ Kein AVV nötig, da keine bewusste Datenverarbeitung erfolgt.

📌 Beispiel 3: Ein externer Trainer erhält Teilnehmerlisten für ein Seminar.

➡ Kein AVV nötig, da die Teilnehmerliste nur für organisatorische Zwecke genutzt wird.

5. Fazit: Wann ist ein AVV erforderlich?

🔍 Ja, wenn: Der Dienstleister wird primär mit der Verarbeitung personenbezogener Daten beauftragt.

🚫 Nein, wenn: Der Dienstleister die Daten nur hilfsweise nutzt oder eigene Entscheidungen trifft.

💡 Tipp: Unternehmen sollten vor einer Beauftragung genau prüfen, ob ein Auftragsverarbeitungsvertrag (AVV) notwendig ist, um Datenschutzverstöße zu vermeiden! 🚀

Aktualisiert am: 25/02/2025