Auftragsverarbeitung nach DSGVO: Wann liegt sie vor?
Auftragsverarbeitung nach DSGVO: Wann liegt sie vor?
1. Was ist Auftragsverarbeitung?
Auftragsverarbeitung liegt vor, wenn ein Unternehmen eine andere Stelle hauptsächlich mit der Verarbeitung personenbezogener Daten beauftragt. Dies ist in Art. 4 Nr. 8 DSGVO definiert.
🔹 Wichtig: Die Datenverarbeitung muss im Mittelpunkt der Dienstleistung stehen – nicht nur ein Nebenaspekt sein.
2. Beispiele für typische Auftragsverarbeitung
✅ Verarbeitung personenbezogener Daten im Auftrag, z. B.:
✔ Lohn- & Gehaltsabrechnung durch externe Rechenzentren
✔ Cloud-Computing mit personenbezogenen Daten (ohne inhaltlichen Zugriff des Anbieters)
✔ Callcenter zur Kundenbetreuung (wenn es strikt nach Vorgaben arbeitet)
✔ Datenerfassung, Digitalisierung & Archivierung
✔ Externe Backup- und Datenspeicherung
✔ Fernwartung & IT-Support, wenn personenbezogene Daten sichtbar sind
✔ Messwerte-Erfassung in Mietwohnungen (z. B. Heizung, Strom, Wasser)
✔ Visabeschaffung durch externe Dienstleister (Arbeitgeber übermittelt Beschäftigtendaten)
🚨 Folge: Bei Auftragsverarbeitung muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden.
3. Wann liegt KEINE Auftragsverarbeitung vor?
🚫 Eigene Verantwortung des Dienstleisters (keine Auftragsverarbeitung):
❌ Berufsgeheimnisträger (z. B. Steuerberater, Anwälte, Ärzte)
❌ Inkassobüros (wenn Forderung übertragen wurde)
❌ Banken & Zahlungsdienstleister (z. B. für Überweisungen oder Betrugsprüfung)
❌ Post- & Paketdienste (Transport von Sendungen mit Adressen)
❌ Reisebüros & Hotelbuchungen (Direktvermittlung an Dienstleister)
❌ Internetplattformen (z. B. Airbnb, eBay)
❌ Detekteien & Sicherheitsdienste (eigene Ermittlungen, keine reine Datenverarbeitung)
💡 Regel: Wenn der Dienstleister eigenverantwortlich über die Datenverarbeitung entscheidet, handelt es sich nicht um eine Auftragsverarbeitung.
4. Grauzonen & Abgrenzung
📌 Beispiel 1: Ein IT-Dienstleister betreut die IT-Infrastruktur eines Unternehmens.
➡ AVV nötig, wenn er Zugriff auf personenbezogene Daten hat (z. B. Fernwartung, Server-Hosting).
➡ Kein AVV nötig, wenn er nur allgemeine Hardwarewartung ohne Datenzugriff durchführt.
📌 Beispiel 2: Ein Reinigungsdienst reinigt Büroräume, in denen personenbezogene Daten auf Schreibtischen liegen.
➡ Kein AVV nötig, da keine bewusste Datenverarbeitung erfolgt.
📌 Beispiel 3: Ein externer Trainer erhält Teilnehmerlisten für ein Seminar.
➡ Kein AVV nötig, da die Teilnehmerliste nur für organisatorische Zwecke genutzt wird.
5. Fazit: Wann ist ein AVV erforderlich?
🔍 Ja, wenn: Der Dienstleister wird primär mit der Verarbeitung personenbezogener Daten beauftragt.
🚫 Nein, wenn: Der Dienstleister die Daten nur hilfsweise nutzt oder eigene Entscheidungen trifft.
💡 Tipp: Unternehmen sollten vor einer Beauftragung genau prüfen, ob ein Auftragsverarbeitungsvertrag (AVV) notwendig ist, um Datenschutzverstöße zu vermeiden! 🚀
1. Was ist Auftragsverarbeitung?
Auftragsverarbeitung liegt vor, wenn ein Unternehmen eine andere Stelle hauptsächlich mit der Verarbeitung personenbezogener Daten beauftragt. Dies ist in Art. 4 Nr. 8 DSGVO definiert.
🔹 Wichtig: Die Datenverarbeitung muss im Mittelpunkt der Dienstleistung stehen – nicht nur ein Nebenaspekt sein.
2. Beispiele für typische Auftragsverarbeitung
✅ Verarbeitung personenbezogener Daten im Auftrag, z. B.:
✔ Lohn- & Gehaltsabrechnung durch externe Rechenzentren
✔ Cloud-Computing mit personenbezogenen Daten (ohne inhaltlichen Zugriff des Anbieters)
✔ Callcenter zur Kundenbetreuung (wenn es strikt nach Vorgaben arbeitet)
✔ Datenerfassung, Digitalisierung & Archivierung
✔ Externe Backup- und Datenspeicherung
✔ Fernwartung & IT-Support, wenn personenbezogene Daten sichtbar sind
✔ Messwerte-Erfassung in Mietwohnungen (z. B. Heizung, Strom, Wasser)
✔ Visabeschaffung durch externe Dienstleister (Arbeitgeber übermittelt Beschäftigtendaten)
🚨 Folge: Bei Auftragsverarbeitung muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden.
3. Wann liegt KEINE Auftragsverarbeitung vor?
🚫 Eigene Verantwortung des Dienstleisters (keine Auftragsverarbeitung):
❌ Berufsgeheimnisträger (z. B. Steuerberater, Anwälte, Ärzte)
❌ Inkassobüros (wenn Forderung übertragen wurde)
❌ Banken & Zahlungsdienstleister (z. B. für Überweisungen oder Betrugsprüfung)
❌ Post- & Paketdienste (Transport von Sendungen mit Adressen)
❌ Reisebüros & Hotelbuchungen (Direktvermittlung an Dienstleister)
❌ Internetplattformen (z. B. Airbnb, eBay)
❌ Detekteien & Sicherheitsdienste (eigene Ermittlungen, keine reine Datenverarbeitung)
💡 Regel: Wenn der Dienstleister eigenverantwortlich über die Datenverarbeitung entscheidet, handelt es sich nicht um eine Auftragsverarbeitung.
4. Grauzonen & Abgrenzung
📌 Beispiel 1: Ein IT-Dienstleister betreut die IT-Infrastruktur eines Unternehmens.
➡ AVV nötig, wenn er Zugriff auf personenbezogene Daten hat (z. B. Fernwartung, Server-Hosting).
➡ Kein AVV nötig, wenn er nur allgemeine Hardwarewartung ohne Datenzugriff durchführt.
📌 Beispiel 2: Ein Reinigungsdienst reinigt Büroräume, in denen personenbezogene Daten auf Schreibtischen liegen.
➡ Kein AVV nötig, da keine bewusste Datenverarbeitung erfolgt.
📌 Beispiel 3: Ein externer Trainer erhält Teilnehmerlisten für ein Seminar.
➡ Kein AVV nötig, da die Teilnehmerliste nur für organisatorische Zwecke genutzt wird.
5. Fazit: Wann ist ein AVV erforderlich?
🔍 Ja, wenn: Der Dienstleister wird primär mit der Verarbeitung personenbezogener Daten beauftragt.
🚫 Nein, wenn: Der Dienstleister die Daten nur hilfsweise nutzt oder eigene Entscheidungen trifft.
💡 Tipp: Unternehmen sollten vor einer Beauftragung genau prüfen, ob ein Auftragsverarbeitungsvertrag (AVV) notwendig ist, um Datenschutzverstöße zu vermeiden! 🚀
Aktualisiert am: 25/02/2025
Danke!