Mit dem Softwareanbieter muss er geschlossen werden, mit dem Lettershop sowieso, aber wie sieht das eigentlich mit dem Steuerberater aus? Auftragsverarbeitungsverträge (AVV) und deren Handhabung können schnell zu einem unübersichtlichen Ärgernis werden. Mit wem muss ich einen abschließen? Mit wem sollte ich keinen abschließen? Bei wem ist es egal?
Der Inhalt im Überblick
Lieber ein AVV zu viel, als einer zu wenig?
In der Hektik um die Umsetzung der DSGVO-Vorgaben bekommt man den Eindruck, dass jeder externe Dienstleister eines Unternehmens, der nicht bei drei auf den Bäumen ist, einen AVV angedreht bekommt. Es scheint das „Better safe than sorry“-Prinzip zu gelten. Lieber ein AVV zu viel, als einer zu wenig. Dabei ist der Abschluss eines Auftragsverarbeitungsvertrag nicht immer erstrebenswert. Wer als Auftraggeber einen AVV abschließt, bleibt für die personenbezogenen Daten, mit denen der Auftragnehmer in Kontakt kommt, weiter verantwortlich. Dabei kann es aus haftungsrechtlicher Sicht doch deutlich angenehmer sein, sich dieser Verantwortung zu entledigen. Doch wann ist dies der Fall? Der reflexartige Abschluss von AVV’s mit externen Dienstleistern dürfte nicht zuletzt auch daran liegen, dass die Frage welcher Art die Beziehung zum externen Dienstleister denn nun ist, aus datenschutzrechtlicher Sicht oftmals gar nicht so einfach zu beantworten ist.
Für die Weitergabe bedarf es einer separaten Rechtsgrundlage
Festzuhalten bleibt zunächst, dass sie für die Weitergabe der personenbezogenen Daten an den Dienstleister keine weitere Rechtsgrundlage benötigen als diejenige auf die sie selber die Verarbeitung stützen. Der Auftragnehmer zählt nicht als Dritter im Sinne der DSGVO, sondern als ihr verlängerter Arm. Anders verhält es sich bei „echten“ Dritten. Hier benötigen sie zum einen eine Rechtsgrundlage für die ursprüngliche Verarbeitung der Daten zum anderen eine Rechtsgrundlage um die Daten an den Dritten weiterzugeben.
Der wichtigste Faktor ist die Weisungsgebundenheit
Doch wie finden sie jetzt heraus, ob Sie einen Auftragsverarbeitungsvertrag mit Ihrem Dienstleister abschließen müssen? Die Antwort ist leider unbefriedigend: Es kommt drauf an.
Der wichtigste Faktor ist die Weisungsgebundenheit. Je weisungsgebundener ein Dienstleister ist, desto höher ist auch die Wahrscheinlichkeit, dass sie weiter für die Daten verantwortlich sind und einen AVV abschließen müssen. Je ungebundener hingegen ein Dienstleister schalten und walten darf, desto höher ist auch die Wahrscheinlichkeit, dass er selber für die Daten verantwortlich ist, die sie ihm übermittelt haben. Als weitere Kontrolle können sie sich fragen: Sage ich dem Dienstleister was zu tun ist, oder sagt / rät der Dienstleister mir was zu tun ist? Kann ich dem Dienstleister befehlen sofort alle Daten herauszugeben oder zu vernichten oder kann er mir darauf den Vogel zeigen? Was steht im Hauptvertrag?
Steuerberater und andere Ausnahmen
Sollten Sie nach all den Abwägungen noch immer zu keinem klaren Ergebnis gekommen sein, bleibt Ihnen immer noch die Möglichkeit, sich bei ihrer zuständigen Datenschutzaufsichtsbehörde zu erkundigen. Die ist sich vielleicht auch nicht sicher, aber die muss eine Meinung haben. Was jetzt eigentlich mit dem Steuerberater ist? Der ist eine fremde Fachleistung und selber für die Daten verantwortlich. Genauso wie Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer, Inkassobüros mit Forderungsübertragung, Bankinstitute für den Geldtransfer und Postdienste für den Brieftransport. Sagen zumindest die Aufsichtsbehörden.
Dass es für die Weitergabe keiner besonderen Rechtsgrundlage bedarf ist vollig umstritten und ungeklärt Auch die Abgrenzung nach der Weisungsgebundenheit ist alte BDSG Denke. Entscheidend nach der Datenschutz-Grundverordnung ist alleine wer Zwecke und Mittel festlegt. Weisungsgebundenheit mag da einer von vielen Aspekten sein. Leider ist es eben nicht so einfach, wie der Beitrag es suggerieren will.
Einfach ist die Abgrenzung nicht, gerade das sollte dem Artikel eigentlich zu entnehmen sein. Dass es für die Weitergabe an Auftragsverarbeiter einer weiteren gesetzlichen Rechtsgrundlage bedarf, können wir der DGSVO nicht entnehmen. Auch die Aufsichtsbehörden im Übrigen nicht.
Ich rege an, für KMU eine Art Liste zu pflegen, wo man entnehmen kann, mit wem man eine AVV -abschließen oder -nicht abschließen muss. Sonst wird hier jeder Einzelfall neu bearbeitet. Ich hätte als Frage beizusteuern: Ist ein AVV erforderlich mit dem „typischen“ Web-Hoster mit Email-Server, der die Web-Seite, den Email-Verkehr und die Verarbeitung von Kontaktformularen anbietet und realisiert.
Grundsätzlich halten wir das für eine gute Idee. Zumindest für eine erste Einteilung. Allerdings bergen solche Listen auch die Risiken, dass sie ohne weitere Nachprüfung abgearbeitet werden. So wird z.B. mit einem Web-Hoster wohl regelmäßig ein AVV abzuschließen sein. Dennoch sollte auch hier anhand der im Artikel genannten Kriterien überprüft werden, ob dies auch wirklich der Fall ist.
Dass die Abgrenzung nicht einfach ist müssen wir auch gerade feststellen. Und keiner hat bisher eine wirklich befriedigende Antwort. Situation: wir als produzierendes Gewerbe liefern normalerweise an den Fachhandel. Dieser dann weiter an seinen Endkunden. Wenn wir nun im Auftrag des Fachhandels aus irgendeinem Grund direkt an seinen Endkunden liefern sollen brauchen wir dann einen AVV mit dem Fachhandel?
Eine pauschale Aussage ist hier nicht möglich, da es auch darauf ankommt, wie genau dieser Lieferungsvertrag zwischen Ihnen und dem Fachhandel jeweils ausgestaltet ist. Wir tendieren aber zu einem Auftragsverarbeitungsverhältnis.
Sehr geehrte Damen und Herren, soviel ich mich auch informiere und wir auch einen externen Rechtsanwalt beauftragt haben, stellt sich mir folgende Frage: Wir sind Baustoffhändler und haben Bauunternehmen als Kunden. Diese Bauunternehmen haben den Bauherren als Kunden. Wenn nun der Bauunternehmer bei uns Baustoffe bestellt und uns Daten in Form von max. Name, Straße, Haus-Nr.,Plz, Ort der BAUSTELLE übermittelt, um dort die benötigten Baustoffe zu liefern, liegt hier ein typischer Fall vor, wo ein Auftragsverarbeitungsvertrag abgeschlossen werden muss. Ich bedanke mich im Voraus schon mal für Ihre Meinung/Rat/Tipp. VIELEN DANK
In Ihrem Fall bedarf es wohl keines Auftragsverarbeitungsvertrages. Vielmehr dürften Sie selber für die Daten verantwortlich sein.
Ist ein Grafiker, der für einen Auftraggeber eine Broschüre gestaltet, Layouter und teilweise textet, in der auch Werbeanzeigen von Unternehmen enthalten sind, die teilweise personenbezogenen Bezug habe, manchmal ergänzt oder neu gestaltet werden, z.B. Ansprechparter in der Annonce oder Inhabernamen oder Firmenbezeichnungen wie Musteria Mustermann Reinigungsservice, oder e-mailadressen wie musteria-mustermann[at]mustermail.de., einen AVV abschließen?
Ich bin Laie und möchte mit einer Gegenfrage antworten, die sich zwangsläufig stellt, wenn man einfach geradeaus denkt: Unterliegen Daten, die für die Öffentlichkeit bestimmt sind, wie z. B. Kontaktdaten auf einem Flyer, dem Datenschutz? Macht doch irgendwie keinen Sinn…
Daten die zur Veröffentlichung bestimmt sind, unterliegen nicht der der DSGVO.
Sehr geehrte Damen und Herren,
ich möchte nochmal Bezug nehmen auf die Frage von HEIKO am 31.05.18 und erweitere diese wie folgt: Müssen wir als Leuchten-Händler mit unseren Kunden also keine AV abschließen? Wenn wir nur Ware bestellen und liefern?
Was passiert, wenn wir die bestellt Ware darüber hinaus installieren? Ist dann eine AV nötig oder muss der Kunde damit an uns herantreten?
Wir wären dankbar für Hilfe in diesem Wirrwarr, vielen Dank
In Ihrem Fall spricht ja noch weniger für eine Auftragsverarbeitungsvertrag, da Sie ja noch mehr Tätigkeiten eigenverantwortlich durchführen.
kann es so gesehen werden, dass dann ein Vertrag für das Besorgen und das Montieren mit dem Kunden erfolgte und somit Art. 6 (1) b ??!
Guten Tag,
muss ich mit einem Bankinstitut, das bei Problemen im Online Banking per Fernwartung auf unsere Rechner zugreifen kann, einen Auftragsverarbeitungsvertrag abschließen?
Vielen Dank im Voraus für Ihre Hilfe!
Wir verweisen auf das Kurzpapier Nr. 13 der Datenschutzkonferenz zur Auftragsverarbeitung:
„Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z.B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO(z. B. Auslesen, Abfragen, Verwenden)ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitungund die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen.“
Fallen Banken dann doch unter Auftragsverarbeiter und gilt das Bankinstitut hier doch nicht als Ausnahme? Greift hier nicht eher das Bankgeheimnis als die DSGVO?
Es kommt nicht darauf an, ob eine Bank eine Bank ist. In ihrer Kerntätigkeit wird eine Bank kein Auftragsverarbeiter sein. Wenn eine Bank aber Online-Banking anbietet und in diesem Bereich Fernwartung auf Ihren Rechnern von der Bank vorgenommen werden kann, dann kann auch eine Bank ein Auftragsverarbeiter sein.
Guten Tag,
wir sind Großhändler von orthopädietechnischen Hilfsmitteln und beliefern Fachhändler (Sanitätshäuser, Orthopädie-Fachgeschäfte, Apotheken) mit unseren Produkten. Diese versorgen die Patienten mit den Artikeln. Wir liefern jedoch immer nur an die Fachgeschäfte, nicht an die Patienten und kennen auch keine Patientendaten (höchstens mal einen Nachnamen als „Commissions“-Angabe ohne einen weiteren Bezug).
Wir werden nun von einigen Fachhändlern um einen AVV gebeten. Ich bin aber der Auffassung, dass hier kein AVV erforderlich ist, da wir keinerlei personenbezogene Daten der Verbraucher kennen. Liege ich damit richtig?
Das sehen wir auch so.
Sehr geehrte Damen und Herren,
ich arbeite in einem Event-Büro. Wir sind Veranstalter eines großen Festival. Wir sind VVK-Stelle und nutzen ein „externes“ Ticketsystem. Dort geben – gaben – wir bis 25.5. ganz normal die Daten der Kartenkäufer ein. Wir haben zwei Leute damit „beschäftigt“ sich die dsgvo vorzunehmen. Rausgekommen ist Folgendes: 1. der Betreiber des Ticketsystems möchte uns keine AVV geben (so wurde bei uns verbreitet), weil wir es nicht bräuchten. 2. Dadurch sind unsere beiden Leute auf die Idee gekommen: „Na, dann tragen wir in das Ticketsystem anstatt der richtigen Kundendaten, unsere Kürzel und unsere Adresse ein“. Dass das Ticketsystem daraus Adressen für Buchung und Rechnungen generiert und nun entsprechend unsere Kürzel im Adressfeld stehen, wird mit Schulterzucken abgetan, „Wir haben ja keine AVV!“. Interessant hierbei: Wir haben auch einen Ticketshop auf unserer Seite. Diese Bestellungen gehen automatisch zu einer weiteren VVK-Stelle, wo dann die richtigen Kundendaten ins Ticketsystem eingegeben werden (Keine Kürzel). Wieder Schulterzucken. 3. Dies wird dadurch noch adabsurdum geführt, indem nun Exceltabellen geführt werden, wo die richtigen Daten eingegeben und zudem noch alles zuzsammen geführt wird: Wer Wann Was bezahlt hat, inkl. Kontoseite usw. 4. Und diesen Daten liegen auf einer Netzwerkplatte, wo auch Schülerpraktikanten und andere Leute, die mal in diesen Job hineinschnuppern wollen, zugreifen können – weil NICHT Kennwortgeschützt. Ausrede: Es reiche, wenn diese Leute eine Dienstanweisung unterschreiben. Ich bin mir das nicht so sicher. Wir sind ein Verein und so befinden sich etliche ungeschützte Tabellen auf dem Netzwerkordner, für alle erreichbar.
Das kann doch nicht korrekt sein.
Großes Thema. Vielleicht finden Sie Zeit. Sie können mir auch gern auf meine Mail antworten.
Herzlichen Dank dafür.
Personenbezogene Daten müssen vor Unbefugten geschützt werden. Der Schutz der Daten erfolgt durch geeignete Maßnahmen. Grundsätzlich können u.a. die Verwendung eines Passworts und Pseudonymisierung (Art.4 Nr.5 DSGVO) solche Schutzmaßnahmen darstellen.
Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare Person (betroffene Person) beziehen“, Art. 4 Nr. 1 DSGVO. Ein „Verstecken“ von personenbezogenen Daten hinter anderen personenbezogenen Daten ist daher nicht zielführend.
Ob in Ihrem Fall eine Auftragsverarbeitung vorliegt oder welche Datenschutzmaßnahmen konkret erforderlich sind, kann im Rahmen des Blogs leider nicht beantwortet werden.
Hallo, ich betreibe den „Arbeitgeberservice für Privathaushalte“ im Rahmen meines Internet-Angebots caremaid.net (seit dem 25.5. nicht mehr erreichbar, es wird am Relaunch gearbeitet). Die Dienstleistung richtet sich an Pflege-Haushalte, in denen eine pflegebedürftige Person von einer angestellten Pflegehilfe, meist aus dem osteuropäischen Ausland, betreut wird. Die Dienstleistung besteht im Wesentlichen in der Erstellung von Lohnabrechnungen und entsprechenden Meldungen bei Krankenkassen, Finanzämtern etc.. Wohlgemerkt sind meine Auftraggeber private Haushalte und keine Unternehmen. Ich gehe davon aus, dass ich mit denen einen AVV abschließen muss, da sie über die Daten ihrer Arbeitnehmer verfügen. Richtig gedacht? Danke!
Ihre Frage ist relativ komplex, bedarf weiterer Informationen und kann im Rahmen dieses Blogs leider nicht beantwortet werden. Wir sehen in Ihrer Konstellation nicht zwangsläufig ein Auftragsverarbeitungsverhältnis.
Guten Tag,
wie sieht es in dem Fall aus, wenn ein Hotel einen Dienstleistungsvertrag mit einem Unternehmen abschließt, welches einen externen Rezeptionsdienst anbietet? Das Weisungsrecht ggü. der MA hat das dienstleistende Unternehmen. Die MA haben dabei mit personenbezogenen Daten zu tun. Ist dies vom Arbeitsvertrag/Dienstleistungsvertrag abgedeckt oder müsste zusätzlich noch ein AVV abgeschlossen werden?
Danke!
Auch hier können wir leider keine abschließende Beurteilung vornehmen. Hört sich aber ein bisschen nach der Inanspruchnahme fremder Fachleistungen an…
Guten Morgen,
wie ist die Sachlage, wenn wir bereits vom Dienstleister einen Auftragsverarbeitungsvertrag erhalten haben, müssen wir denen auch unseren eigenen zusenden, oder reicht es, wenn wir den von denen unterschrieben haben?
Vielen Dank
Sie möchten ja sicherstellen, dass bei Ihrem Dienstleister mindestens das gleiche Datenschutzniveau herrscht wie bei Ihnen. Wenn Sie also mit den technischen und organisatorischen Maßnahmen einverstanden sind und der Vertrag auch sonst Ihren Vorstellungen entspricht, können Sie diesen Vertrag eingehen. Sie sollten aber nicht zwei Verträge, die sich im Zweifel widersprechen, abschließen.
Guten Tag, nach intensiver Beratung zum Thema Datenschutz wurde mir in der Tat der Abschluss von AVVs nahegelegt. Je mehr ich diesem Rat folge, desto mehr bin (und bleibe ich) der Überzeugung, dass dies für einen freiberuflichen Unternehmensberater, der für Unternehmen aller Art (u. a.) Vergütungsanalysen (für einzelne oder alle Mitarbeiter des Kunden) samt Marktvergleichen durchführt, keinen Sinn macht. Schwierig erscheint mir auch die Speicherung und Auswertung von Daten für die statistische Auswertung („Markt“), dienur dann in Analysen einfließen können, wenn man – branchenüblich – entsprechende Datenbanken mit (anonymisierten) Kundendaten (= Gehaltsdaten) pflegt. Die Formulierungen in AV-Verträgen passen m. E. eher auf enge Verarbeitungsvorgaben, als auf arbeitswissenschaftliche und statistische Methoden, Marktdatenbanken und Vergütungsberatung und Unternehmensberatung. Es handelt sich nicht um eine 1:1-Verarbeitung mit strenger Weisungsgebundenheit, sondern um fachliche Verarbeitung und Beratung. Bei pseudonymisierten Daten (Schlüssel, die nur der Kunde kennt), ist das dann noch klarer, wie ich finde. Dennoch pochen ja viele auf die Aufhebung der Funktionsübertragung / Weisungsgebundenheit mit DS-GVO und meinen es wäre notwendig (oder zumindest besser) AV-Verträge abzuschließen. Sicher ist sicher. Ich wundere mich über die Meinungsvielfalt und niemand wagt eine klare Meinung hierzu zu vertreten. Die große Rechtsunsicherheit ist mir deshalb unverständlich (und unzumutbar), weil wir ja Rechtsprechung auf Grundlage von möglichst klaren Gesetzen haben und kein Richterrecht. Wenn ich nun Ihren Ausführungen folge, dann komme ich – bestätigend – zum Schluss: Ja, löschen müsste ich die personenbezogenen Daten auf Verlangen sicherlich schon, aber arbeiten kann / muss / soll / darf ich damit fast gänzlich ohne Weisung (bzw. im Rahmen der vertraglich beschriebenen Leistungserbringung). Aber ist das jetzt ein gültiges Kriterium oder nicht? Gefühlt müsste in meinem Fall m. M. n. eine Geheimhaltungsvereinbarung genügen.
Eine Auftragsverarbeitung im datenschutzrechtlichen Sinn liegt grundsätzlich nur dann vor, wenn eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird. Dies ist liegt regelmäßig nicht vor, wenn fremde Fachleistungen bei einem eigenständigen Verantwortlichen in Anspruch genommen werden.
Wie Sie zurecht anmerken, bestehen bezüglich der Annahme einer Auftragsverarbeitung teilweise Verunsicherungen. Manchen Aufgabenverlagerungen liegt eine klassische Datenübermittlung zugrunde und keine Auftragsverarbeitung. Insoweit möchten wir Sie auf unseren Blogbeitrag „Wann ist eine Vereinbarung zur Aufgabenverlagerung erforderlich?“ verweisen.
Leider dürfen wir im Rahmen unseres Blogs keine Rechtsberatung leisten. Für eine konkrete Prüfung des Sachverhalts sollten Sie sich daher an einen fachkundigen Rechtsanwalt wenden.
Guten Tag, wir sind Dienstleister für verschiedene Unternehmen, z.B. EVU oder Banken. Die EVU oder Banken schenken ihren Endkunden z.B. eine Versicherung gegen Hochwasser oder einen Schlüsselnotdienst. Diese „Policen“ haben wir entwickelt und gestaltet. Wir nehmen auch die 1st Level Anrufe entgegen.
Hinter dieser Dienstleistung stehen für den Schadensfall natürlich wieder Rückversicherer, an die die Schadensabwicklung im Schadensfall übertragen wird. Erst im Schadensfall erhält der RV die personenbezogenen Daten. Er wird zur verantwortlichen Stelle und ist im Grunde nicht weisungsgebunden, da er selbst den Fall bearbeitet und Entscheidungen fällt. Wir haben da nichts mit zu tun und erhalten ggf. noch nichtmal eine Info über eine Schadensregulierung oder eine Ablehnung.
Ich bin mir recht sicher, dass wir in diesem Fall keinen AVV mit der Versicherung benötigen, lasse mich aber gern eines Besseren belehren. Über eine fachkundige Antwort freue ich mich. Also kurz: Brauchen wir in diesem Fall einen AVV?
Vielen Dank :)
Bitte haben Sie Verständnis dafür, dass wir im Rahmen des Blogs keine Beratung im Einzelfall vornehmen können und dürfen. Grundsätzlich ist jedoch zu sagen, dass bei Versicherungsverhältnissen aufgrund der von Ihnen vorgebrachten Argumente (Nutzung der personenbezogenen Daten zu eigenen Zwecken; zugrundeliegende fachliche Aufgabe wird vollständig auf den (Rück)Versicherer übertragen; weder entscheidenden Einfluss auf die Datenverarbeitung durch die Versicherung noch umfassende Informationsrechte gegenüber dieser; die Versicherung entscheidet selbst, auf welche Weise wann welche Daten verarbeitet werden…) regelmäßig kein AVV vorliegt, sondern zumeist eine Übermittlung an einen (anderen) Verantwortlichen stattfindet. Je nach Ausgestaltung ist aber auch ein Fall der gemeinsamen Verantwortlichkeit denkbar. Eine gute Orientierungshilfe bieten hier die Positiv- bzw. Negativ-Listen der Aufsichtsbehörden (z.B. des BayLDA).
Vielen Dank für die ausführliche Antwort.
Sehr geehrter Herr Dr. Datenschutz,
wir betreiben einen Copy-Shop. Bei uns werden täglich kleinere Dokumente von Laufkunden als PDF gescannt. (Lohnunterlagen, Ausweise, Anmeldungen etc.), welche unser Kunde meistens auf seinen USB-Stick erhält, oder wir diese per Mail verschicken.
Müssten wir denn dann bei jedem kleinen Auftrag gleich einen AAV machen?
Vielen lieben Dank für Ihr Feedback.
Es kommt natürlich auch hier immer auf den Einzelfall an, aber da Sie ja in solchen Fällen auch personenbezogene Daten im Auftrag eines Anderen verarbeiten, müsste eigentlich auch immer ein AVV abgeschlossen werden. Es muss aber nicht für jeden Verarbeitungsvorgang ein einzelner Vertrag abgeschlossen werden. Für jeden Vertragspartner kann ein AVV, der alle Verarbeitungsvorgänge erfasst, abgeschlossen werden.
Sehr geehrte Damen und Herr,
für mich als Nutzer eines Geschäftsfahrzeuges sind die Bedingungen für die Nutzung in unserer „Geschäftsfahrzeug-Regelung “ zusammengefasst. Hier ist auch die Vorgehensweise bei Verkehrsverstöße wie folgt geregelt:
Verkehrsverstöße:
Der AG behält sich vor, Ihren Namen und Ihre Privatadresse, ggf. durch einen Dritten, bekannt zu geben, falls bei dem AG behördliche Ermittlungen wegen Verkehrsverstößen Ihres GF durchgeführt werden.
Bei der praktischen Umsetzung dieser Regel werden meine persönlichen Daten von meinem AG, gegen meinen Willen, an einen Dienstleister übermittelt, der wiederum diese Daten bei einem Verkehrsverstoß an die ermittelnde Behörde oder privat Unternehmen weiterleitet. Es gibt eine AVV (Auftragsverarbeitungsvereinbarung) nach DSGVO zwischen dem AG und dem Dienstleister. Muss ich als AN der Weitergabe zustimmen oder kann mein AG dies ohne mein Einverständnis tun?
Besten Dank
Der für die Datenverarbeitung Verantwortliche (auch der Arbeitgeber) kann die Mittel der Verarbeitung bestimmen. Eine Weitergabe von Daten im Wege der Auftragsverarbeitung bedarf keiner zusätzlichen Ermächtigungsgrundlage. Der EU-Gesetzgeber hat sich zu einer Privilegierung der Auftragsverarbeitung entschieden.
Auch eine Einwilligung zur Übermittlung ist daher nicht notwendig. Die betroffene Person ist lediglich nach Art. 12 ff DSGVO darüber zu informieren an wen die Daten übermittelt werden.
Daneben sollte (wie im Beitrag dargestellt) bei jedem Einsatz eines Dienstleisters geprüft werden, ob eine Auftragsverarbeitung gegeben ist oder ob der Dienstleister, mangels ausreichender Weisungsgebundenheit, selbst als Verantwortlicher handelt. Auch bei der Herausgabe von Daten an eine Behörde ist zudem immer zu prüfen, ob diese Behörde die Daten aufgrund einer Ermächtigungsgrundlage überhaupt erheben darf.
Leider dürfen wir im Rahmen des Blogs keine Rechtsberatung im Einzelfall durchführen. Sie können sich dazu an einen spezialisierten Rechtsanwalt oder den Datenschutzbeauftragten Ihres Arbeitgebers wenden.
Guten Tag,
muss ich als Apotheke einen Auftragsdatenverarbeitungsvertrag mit meinen Allergenlieferanten und Stützstrumpffirmen abschließen oder reicht es, wenn mir der Kunde schriftlich erlaubt, dass ich seine Daten an die entsprechende Firma weiterleiten darf?
In dem von Ihnen geschilderten Fall ist eher kein Auftragsverarbeitungsverhältnis zu sehen.
Zunächst wäre hier noch die Frage zu klären, ob eine Übermittlung der Daten Ihrer Kunden an Ihre Lieferanten überhaupt erforderlich ist, oder ob eine Bestellung über Sie nicht auch anonym erfolgen könnte.
Auch wenn aus uns nicht bekannten Gründen die Übermittlung der Daten der Kunden erforderlich sein sollte, liegt der eigentliche Kern der Tätigkeit der Lieferanten nicht in der Verarbeitung der personenbezogenen Daten. Diese ist vielmehr ein unvermeidliches Beiwerk für die im Vordergrund stehenden Leistungen.
Ihre Lieferanten entscheiden selber über Zweck und Mittel der Verarbeitung der personenbezogenen Daten im Rahmen ihrer eigenen Verantwortung. Sie entscheiden eigenständig, die erhaltenen Daten für eigene Zwecke zu nutzen und sind daher als Verantwortliche anzusehen. Sie können sich bezüglich der Übermittlung der Daten an die Lieferanten darauf berufen, dass diese für die Erfüllung des Vertrages mit Ihren Kunden erforderlich ist. Ihre Lieferanten sind allerdings in den Informationen gem. Art. 13 DSGVO als Empfänger der Daten, zumindest als Kategorie, aufzuführen.
Ich versende E-Mails an Kunden mit einem unverbindlichem Angebot als PDF Datei im Anhang. Muss ich auch einen Auftragsverarbeitungsvertrag mit meinem E-Mail anbieter haben, z.B. web.de?
Nach überwiegender Ansicht der Aufsichtsbehörden (z.B. hier) gelten E-Mail-Anbieter als Telekommunikations-Dienstleister und damit nicht als Auftragsverarbeiter. Dies gilt zumindest, wenn es nur um die Übermittlung von E-Mails geht. Werden weitere Dienste des E-Mail-Anbieters wahrgenommen, wie z.B. Cloud-Speicherdienste, kann eine Auftragsverarbeitung vorliegen.
Hallo Herr Dr. Datenschutz, wir entwickeln eine Terminvergabeplattform, über den Kunden Termine im Einzelhandel reservieren. Dabei werden die Kundendaten an den jeweiligen Einzelhändler übermittelt. Ich nehme an, dass wir einen solchen Vertrag benötigen, da Kundendaten weitergegeben werden. Die Termine sind jedoch nicht verbindlich und unentgeltlich. Ist ein AAV in diesem Fall wirklich nötig?
Vielen Dank für die Informationen auf dieser Seite!
Ihre Frage ist leider etwas zu komplex um im Rahmen dieses Blogs beantwortet zu werden.
Hallo und vielen Dank für die vielen, hilfreichen Informationen auf Ihrer Webseite.
Wir sind ein Hardwarehersteller und beliefern unsere Kunden (Firmen sowie privat Personen) mit unseren Waren. Für den Versand beauftragen wir diverse Speditionen und Paketdienste. Unsere Versandabteilung möchte unser Kundenadressbuch nun in die Onlineportale der Paketdienste übertragen um dort mit einem Online-Adressbuch zu arbeiten. Teilweise wurde diese Adressbücher bereits automatisch vom Anbieter, anhand der letzten Aufträge selbst erstellt. Liegt hier eine Auftragsverarbeitung vor? Ist ein AV-Vertrag zu schließen oder „reicht eine Geheimhaltungserklärung“?
Natürlich stellt sich evtl. auch die Frage nach dem Standort der Server.
Haben Sie einen Vorschlag?
Nach weiterer Recherche gehe ich davon aus, dass ein Cloud-Adressbuch nicht für die Durchführung des Vertrags gemäß Art. 6 b DSGVO erforderlich ist. Somit wäre sicherlich eine Einwilligung des Kunden für die Aufnahme in das Adressbuch erforderlich. Dennoch stellt sich weiterhin die Frage ob zusätzlich ein Vertrag mit dem Dienstleister zu schließen ist?
Bei der Einordung, ob eine Dienstleistung eine Auftragsverarbeitung ist, können die FAQ des BayLDA – Abgrenzung Auftragsverarbeitung helfen. Leider dürfen wir im Rahmen des Blogs keine Rechtsberatung im Einzelfall durchführen. Sie können sich dazu an einen spezialisierten Rechtsanwalt oder Ihren Datenschutzbeauftragten wenden.
Guten Morgen,
erst einmal herzlichen Dank für die vielen hilfreichen Informationen, die ich bei Ihnen schon gefunden haben.
Ein kleiner Aufgabenbereich unsere Firma ist die Vermietung von Ferienwohnungen an der Ostsee. Wir treten dabei nur als Vermittler mit einer Buchungs-Internetseite auf, die Verwaltung, Vermietung u.s.w. ist bei uns. Vor Ort gibt es Gästebetreuer, die für die Mieter während ihres Aufenthalts Anprechpartner sind, Schlüsselübergabe u.s.w.
Zur richtigen Betreuung der Mieter müssen wir diesen Gästebetreuern die Namen der Mieter mitteilen. Es stellt sich jetzt die Frage, ob mit den Gästebetreuern ein AV-Vertrag abgeschlossen werden muss. Ein Dienstleistungsvertrag ist natürlich abgeschlossen
Diese Frage wird bei uns im Moment kontrovers diskutiert.
Über eine Einschätzung Ihrerseits würde ich mich sehr freuen.
Vielen Dank
Leider dürfen wir im Rahmen dieses Blogs keine Rechtsberatung betreiben.
Der Papierwust der AVVerträge ist sehr aufwendig, daher würde ich gerne wissen, welche Anforderungen an den Online Abschluss eines solchen Vertrages gestellt werden. Muss der handschriftlich unterzeichnet werden, oder reicht eine gescannte Unterschrift, oder sogar das gesetzte Häkchen eines Online Formulars, wie es z. B. mit Breezing Forms erzeugt werden kann?
LG Kira
Art. 28 Abs. 9 DSGVO besagt, dass der Vertrag auch ein einem „elektronischen Format“ geschlossen werden kann. D.h., dass eine eingescannte Unterschrift ausreicht. Wichtig ist nur, dass der Rechtsbindungswille und die Vertragsparteien klar zu identifizieren sind und die Warnfunktion der Schriftform Wirkung entfaltet. Insofern könnte es wohl auch schon ausreichen, innerhalb eines Login-Bereichs durch setzen eines Hakens zum Vertragsabschluss diesen Ansprüchen zu genügen, da nur der Vertragspartner oder von ihm berechtigte Personen Zugriff haben.
Hallo Dr. Datenschutz,
zunächst vielen Dank für Ihre Informationen. Als Freelancer und Einzelunternehmer mache ich hauptsächlich Webdesign und biete zusätzlich IT-Serviceleistungen an – das alles in eigenverantworticher Tätigkeit. Ich verarbeite dabei persönliche Daten meiner Auftraggeber und habe auch zeitweise Einsicht in Daten Dritter, die von mir selbstverständlich vertraulich behandelt werden. Wenn ich Kundendaten an Dritte weitergebe, z.B. als Reseller beim Webhosting, habe ich mit dem Webhoster einen AVV abgeschlossen.
Ich bin hier gelandet, da mich die Datenschutzbeauftragte eines Kunden von mir aufgefordert hat, mit ihrem Unternehmen einen AVV abzuschließen. Sie kam frisch von der Schulung und meinte, das müsste ich. Ich bin mir nicht sicher, ob das notwendig ist – besser – ich glaube, das das generell in meinem Fall nicht notwendig ist, denn weiter oben schreiben Sie:
„Eine Auftragsverarbeitung im datenschutzrechtlichen Sinn liegt grundsätzlich nur dann vor, wenn eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird. Dies ist liegt regelmäßig nicht vor, wenn fremde Fachleistungen bei einem eigenständigen Verantwortlichen in Anspruch genommen werden.“
Das trifft gut auf mich als Einzelunternehmer in meinem Tätigkeitsspektrum zu – und ich würde gerne wissen, 1. wo das geschrieben steht bzw. wie 2. Sie meine Situation beurteilen.
Vielen Dank für Ihre Antwort,
Herzliche Grüße!
Die Definition des Auftragsverarbeiters findet sich in der DSGVO. Siehe Art. 4 DSGVO Begriffsbestimmungen. Die Bewertung und Einordnung ist aber Frage des Einzelfalls und darf leider als solche, da konkrete Rechtsberatung, im Rahmen dieses Blogs nicht erfolgen.
Mit diesem letzten Kommentar zum hiesigen Beitrag schließen wir hier den Kommentarbereich, um eine wachsende Unübersichtlichkeit und Überschneidung von Themen zu vermeiden.
Bitte beachten Sie unsere bisherigen Antworten auf die eingegangenen Kommentare.
Wir bedanken uns für die zahlreichen Beiträge.