07.09.2018 11:23 Kategorie: Aktuelles DE, Datenschutz, Deutschland, News, Österreich

Auftragsverarbeitung

UIMC: Wo liegt Auftragsverarbeitung vor und wo nicht?

Die Auftragsverarbeitung wurde mit der zum 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) zwar nicht fundamental verändert, doch erfordert die DSGVO oftmals eine Erneuerung der Verträge. Leider bestand insbesondere in der „heißen Phase“ kurz vor Inkrafttreten der Grundverordnung – aber aktuell noch immer – eine große Unsicherheit, was dazu führte, dass auch in vielen Fällen eine Unterzeichnung eines Vertrags zur Auftragsverarbeitung eingefordert wurde, in denen gar keine Auftragsverarbeitung vorlag, wie Datenschutzexperte Dr. Jörn Voßbein aus dem Datenschutzalltag berichtet. Die Auftragsverarbeitung wirft tatsächlich viele Fragen im täglichen Geschäftsleben auf und muss individuell betrachtet werden. Die rechtlichen Grundlagen und einige Beispiele belegen dies und können gleichzeitig hilfreich für das eigene Unternehmen sein.

Rechtliche Grundlage ist der Artikel 28 der DSGVO. Zwischen Auftraggeber und Auftragsverarbeiter muss ein Vertragsverhältnis bestehen. Der Vertrag muss einige Bestandteile enthalten, u.a.:

» Art und Zweck der Verarbeitung

» Umfang der Weisungsbefugnisse

» Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit

» Genehmigung von Unterauftragnehmern

» Sicherstellung von technischen & organisatorischen Maßnahmen

Im Rahmen von Geschäftsbeziehungen kommen immer wieder Fragen auf, ob in einer Kunden-Lieferanten-Beziehung eine Auftragsverarbeitung gemäß Artikel 28 Datenschutz-Grundverordnung (DSGVO) vorliegt. So sprechen folgende Kriterien allgemein für eine Auftragsverarbeitung:

» keine eigenen Entscheidungsbefugnisse des Auftragsverarbeiters im Hinblick auf die Datenverarbeitung;

» keine Übertragung von Nutzungsrechten an den personenbezogenen Daten;

» fehlende Beziehung des Auftragsverarbeiters zum Betroffenen;

» keine Abgabe der den bloßen Verarbeitungsvorgängen zugrunde liegenden Aufgaben oder Geschäftszwecke an den Auftragsverarbeiter;

» Kontrollmöglichkeiten des Auftraggebers.

Als klassische Beispiele für eine Auftragsverarbeitung gelten Wartung und Betrieb von IT-Systemen (Software, Hosting, Cloud-Dienste etc.), Personalabrechnung, Lettershop, externes Rechenzentrum oder Vernichtung von Datenträgern/Unterlagen. Doch wie sieht es bei Arbeitskräfteüberlassung, Personalvermittlung oder betriebsärztlichen Leistungen aus?

Arbeitskräfteüberlassung: Hierbei überlässt der Personaldienstleister dem Beschäftiger die Arbeitskräfte. Das beschäftigende Unternehmen erhält vom Personaldienstleister Daten der geeigneten Kandidaten. Da der Beschäftigte beim Personaldienstleister angestellt ist, dient Zweck der Datenverarbeitung hierbei den eigenen Geschäftszwecken. Folge: Im Rahmen der Arbeitskräfteüberlassung liegt keine Auftragsverarbeitung vor; vielmehr ist der Datentransfer zum Beschäftiger eine Datenübermittlung.

Gilt dies auch bei der Personalvermittlung? In der Regel wird hier der Personaldienstleister beauftragt, einen geeigneten Kandidaten für die ausgeschriebene Stelle zu suchen. Konkret: Der Personaldienstleister arbeitet auf Weisung des Auftraggebers mit dem Ziel personenbezogene Daten von Bewerbern bereitzustellen, um dem Auftraggeber eine fundierte Personalentscheidung zu ermöglichen. Hierbei findet also die Datenverarbeitung mit dem Ziel statt, einen Vertrag zwischen Bewerber und Auftraggeber des Personaldienstleisters anzubahnen. Fazit: Bei der Personalvermittlung liegt in der Regel eine Auftragsverarbeitung vor.

Ein weiteres Beispiel liefert der Betriebsarzt als Dienstleister. Dem Betriebsarzt werden im Rahmen der Terminvereinbarung von Untersuchungen personenbezogene Daten übermittelt. Liegt hier ein Fall gemäß Artikel 28 DSGVO vor? Die UIMC vertritt hierbei eine klare Meinung: Leistungen der ärztlichen Betreuung fallen nicht unter den Anwendungsbereich des Art. 28 DS-GVO. Folgende Gründen werden dafür angeführt: 1. Der Arzt ist an keine Weisungen durch den Auftraggeber bei der Datenverarbeitung gebunden. 2. Der Betriebsarzt tritt in direkten Kontakt zum Betroffenen (Patienten). 3. Der Arzt ist ein Berufsgeheimnisträger („ärztliche Schweigepflicht“), so dass seitens des Auftraggebers keine Kontrolle durchgeführt werden kann. Diese Auffassung wird übrigens von der Datenschutzkonferenz (der Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden) geteilt.

„Die Beispiele belegen, wie komplex das Thema Auftragsverarbeitung ist“, unterstreicht UIMC-Geschäftsführer Dr. Jörn Voßbein und appelliert: „Rücksprache mit dem Datenschutzbeauftragten oder Fachleuten ist bei dieser komplexen Fragestellung dringend zu empfehlen, um es nicht zu einem unangenehmen Thema für das eigene Unternehmen werden zu lassen.“

<- Zurück zu: News: Aktuelles aus dem Bereich Datenschutz und Informationssicherheit

Ihr Ansprechpartner

Tim Hoffmann

Fragen? Informationen? Angebot?

Kontaktdaten und Standorte

Weitere Veröffentlichungen

Mit unserem Info-Brief "UIMCommunic@tion" bieten wir Ihnen regelmäßige Informationen rund um Datenschutz und Informationssicherheit. Die bisherigen Veröffentlichungen können Sie jederzeit nachlesen:

UIMCommunication

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo
_pk_ses	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo