Zur Navigation springen Zum Inhalt springen Zum Footer springen

Art. 28 DSGVO: Auftragsverarbeitung durch Logistikunternehmen?

Rechtstipp vom 27.08.2018
(25)
Rechtstipp vom 27.08.2018
(25)

Viele Logistikunternehmen fragen sich nach der Einführung der DSGVO, ob sie mit ihren (Logistik-)Dienstleistern einen Vertrag zur Auftragsverarbeitung schließen müssen. Diese kann immer dann vorliegen, wenn personenbezogene Daten (z. B. Namen, Lieferadressen) von einer verantwortlichen Stelle, z. B. dem Auftraggeber (AG), weitergegeben werden.

Vorliegen einer Auftragsverarbeitung

Die Auftragsverarbeitung wird auch als „verlängerte Werkbank“ des AG bezeichnet. Sie liegt vor, wenn der AG die Verarbeitung von personenbezogenen Daten selbst vornehmen könnte. Er gibt diese Daten aber an eine Stelle weiter, die sie für ihn weisungsgemäß verarbeitet, ohne selbst über Zweck und Mittel der Verarbeitung zu entscheiden.

Beispiel: Der AG beauftragt seinen Logistik-Dienstleister auch mit dem weisungsgemäßen Rechnungsmanagement, unter anderem der Prüfung des Zahlungsflusses und der Auswertung des Zahlungsverhaltens der Endkunden.

Eine rechtmäßige Auftragsverarbeitung setzt – neben den allgemeinen Voraussetzungen zur Verarbeitung personenbezogener Daten – insbesondere einen schriftlichen Vertrag voraus, der den inhaltlichen Mindestanforderungen von Art. 28 Abs. 3 DSGVO entspricht.

Bestehen im Logistikunternehmen Altverträge zur Auftragsbearbeitung, so sollte unbedingt überprüft werden, ob sie den neuen Anforderungen der DSGVO entsprechen.

Beteiligung mehrerer Verantwortlicher

Sind an der Verarbeitung personenbezogener Daten hingegen mehrere Verantwortliche beteiligt, so liegt keine Auftragsverarbeitung im Sinne des Art. 28 DSGVO vor, sondern ein sogenanntes Joint Controllership nach Art. 26 DSGVO.

Beispiel: Ein Logistikkonzern greift mit seinen Unternehmen auf eine gemeinsame Kundendatei zu.

Weitergabe von Daten als reine Nebensächlichkeit 

Gibt der verantwortliche AG personenbezogene Daten nicht zum Zweck der Verarbeitung weiter, sondern nur als Mittel für die Durchführung anderer Leistungen, so ist ebenfalls keine Auftragsverarbeitung gegeben.

Beispiel: Der AG entscheidet sich für das Dropshipping und der Logistikdienstleister entscheidet selbst über die logistischen Prozesse und die Speicherung der Kundendaten.

Der Logistik-Dienstleister führt die Leistung und die Verarbeitung personenbezogener Daten eigenverantwortlich durch und wird damit selbst zum Verantwortlichen, der sämtliche Anforderungen der DSGVO erfüllen muss.


Rechtstipp aus der Themenwelt Verträge anpassen und beenden und den Rechtsgebieten Allgemeines Vertragsrecht, Transportrecht & Speditionsrecht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors