Hauptinhalt

Was ist Auftragsverarbeitung?

Die Frage, ob eine Auftragsverarbeitung vorliegt, ist wichtig für die Rechtmäßigkeit der Datenverarbeitung. Liegt eine Auftragsverarbeitung vor, dann sind für deren Rechtmäßigkeit zwingend die Vorgaben der Datenschutz-Grundverordnung zu beachten. Dabei ist es unbeachtlich, ob eine öffentliche Stelle oder eine nichtöffentliche Stelle Auftragsverarbeiter wird. Es gelten im Wesentlichen die gleichen Regelungen.

Begriff

Die Datenschutz-Grundverordnung definiert in Artikel 4 Nummer 8 den Begriff Auftragsverarbeiter. Auftragsverarbeiter ist danach eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Der Auftragsverarbeiter ist nicht „Dritter“ im Sinne der Datenschutz-Grundverordnung (vgl. Artikel 4 Nummer 10). Insofern ändert sich die bisherige Rechtslage nicht. Allerdings fällt der Auftragsverarbeiter unter den Begriff „Empfänger“ nach Artikel 4 Nummer 9 Datenschutz-Grundverordnung. Daher sind betroffene Personen z. B. bei der Erhebung von Daten auch darüber zu informieren, dass diese an einen Auftragsverarbeiter weitergegeben werden (vgl. Artikel 13 Absatz 1 Buchstabe e, Artikel 14 Absatz Buchstabe e Datenschutz-Grundverordnung).

Abgrenzung zu anderen Verarbeitungssituationen

Die Auftragsverarbeitung ist insbesondere von folgenden anderen Verarbeitungssituationen abzugrenzen:

  • Gemeinsam Verantwortliche nach Artikel 26 Datenschutz-Grundverordnung:

Wenn zwei oder mehr Verantwortliche den Zweck und die Mittel einer Verarbeitung personenbezogener Daten gemeinsam festlegen, sind sie auch gemeinsam Verantwortliche. Für die Abgrenzung zur Auftragsverarbeitung ist daher vor allem von Bedeutung, dass beide Personen/sonstige Stellen die grundlegenden Entscheidungen über die Verarbeitung der Daten gemeinsam treffen, also kein Weisungsverhältnis besteht.

  • Funktionsübertragung:

Mit Funktionsübertragung ist die klassische Übermittlung personenbezogener Daten von einer Person/sonstigen Stelle auf eine andere Person/sonstige Stelle gemeint. Sie ist dadurch gekennzeichnet, dass der Empfänger der Daten die Zwecke und die Mittel der Weiterverarbeitung selbst festlegt, die Daten insbesondere zur Erfüllung eigener Aufgaben nutzt. In diesen Fällen verarbeitet der Empfänger der Daten diese nicht im Auftrag und auf Weisung des Verantwortlichen weiter. Es liegt keine Auftragsverarbeitung vor. Für die Übermittlung der Daten und die Weiterverarbeitung durch den Empfänger bedarf es einer Rechtsgrundlage.

Speziell: Wartung und Prüfung von IT-Systemen

Die Frage, ob es sich um eine Auftragsverarbeitung handelt oder nicht, taucht oftmals im Zusammenhang mit Verträgen zur Wartung und Prüfung von IT-Systemen auf. Der bisherige § 7 Absatz 5 des Sächsischen Datenschutzgesetzes hat die Regelungen der Auftragsverarbeitung für Wartungs- und Fernwartungsaufträge als entsprechend anwendbar erklärt. Hintergrund hierfür war, dass den Wartungsfirmen bei Ausübung ihrer Tätigkeit personenbezogene Daten zur Kenntnis gelangen können, aber durch diese Firmen personenbezogene Daten gerade nicht im Sinne des Sächsischen Datenschutzgesetzes verarbeitet werden.

Artikel 28 Datenschutz-Grundverordnung enthält keine dem § 7 Absatz 5 Sächsisches Datenschutzgesetz vergleichbare Regelung. Auch in den Erwägungsgründen der Datenschutz-Grundverordnung gibt es keine Aussagen zum Umgang mit Wartungs- und Fernwartungsaufträgen. Daher stellt sich die Frage, ob Wartungs- und Fernwartungsverträge wie bisher als Auftragsverarbeitung zu behandeln sind.

Ausgangspunkt der Beurteilung ist der weite Verarbeitungsbegriff, der der Datenschutz-Grundverordnung zugrunde liegt. Zu einer Verarbeitung nach Artikel 4 Nummer 2 der Datenschutz-Grundverordnung zählen insbesondere das Anpassen oder Verändern personenbezogener Daten, deren Auslesen, Abfragen, Verwenden oder vor allem auch Offenlegen durch Verbreitung oder einer anderen Art der Bereitstellung.

Aufgrund des weiten Begriffs der „Verarbeitung“, ist davon auszugehen, dass nur bei einer reinen technischen Wartung ohne Zugriff auf personenbezogene Daten keine Auftragsdatenverarbeitung vorliegt und Artikel 28 Datenschutz-Grundverordnung nicht zu beachten ist. Besteht bei der Wartung oder Prüfung der IT-Systeme dagegen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten (z. B. bei der Prüfung von Speicher-Dumps oder Support-Arbeiten in Systemen des Auftraggebers usw.), so handelt es sich um eine Form bzw. Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Artikels 28 Datenschutz-Grundverordnung sind umzusetzen.

 

zurück zum Seitenanfang