Auftragsverarbeitung
von Freya Wolfenstaedter
Nach Art. 4 Nr. 8 DSGVO ist der Auftragsverarbeiter eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Im letzten Blogpost wurde bereits darauf eingegangen, worin sich Auftragsverarbeiter und Verantwortlicher unterscheiden. Die Auftragsverarbeitung bezeichnet also den Vorgang, in dem personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden, wobei hier nach Art. 28 Abs. 3 DSGVO der Verantwortliche und Auftragsverarbeiter einen Auftragsverarbeitungsvertrag abschließen.
Nun stellt sich die Frage, wann eine Auftragsverarbeitung vorliegt und wann ein Auftragsverarbeitungsvertrag abgeschlossen werden muss.
Eine Datenverarbeitung im Auftrag liegt dann vor, wenn die verantwortliche Stelle Daten verwendet und die Verarbeitung dieser durch einen Dritten durchführen lässt. Dies kann beispielsweise die Speicherung oder die Erfassung durch Dritte darstellen. In der Regel liegt keine Auftragsverarbeitung vor, wenn andere Dienstleistungen Dritter, deren Inhalt der Dienstleistung selbst nicht die Datenverarbeitung ist, in Anspruch genommen werden, allerdings die Weitergabe von Daten für die Dienstleistung erforderlich ist. Dies wäre beispielsweise bei handwerklichen Tätigkeiten der Fall.
Ein Auftragsverarbeitungsvertrag muss nur dann geschlossen werden, wenn ein Auftragsverarbeitungsverhältnis vorliegt. In Art. 28 DSGVO werden die notwendigen Inhalte dieses Vertrags festgelegt, mit Art. 28. Abs. 9 wird die Form des Vertrags bestimmt. Demnach ist der Vertrag schriftlich abzufassen, allerdings kann dies auch elektronisch erfolgen, also beispielsweise per Mail.
Die Gesamtverantwortung und Nachweispflicht trägt weiterhin der Verantwortliche, da diese nach Art. 5 Abs. 2 DSGVO auch die Verarbeitung durch Auftragsverarbeiter einschließt.