Wann benötige ich einen Auftragsverarbeitungsvertrag?

Unternehmen, Unternehmer und Freiberufler arbeiten oft mit externen Dienstleistern oder Subunternehmern zusammen. Dabei kommt es fast immer auch zum Austausch personenbezogener Daten. Regelmäßig kommt die Frage auf: brauche ich jetzt einen Auftragsverarbeitungsvertrag?

Wann liegt also eine Auftragsverarbeitung vor?

Wenn ein externer Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt wird und dieser Zugriff auf die erhobenen personenbezogenen Daten der verantwortlichen Stelle erhält, handelt es sich um eine Auftragsverarbeitung. Der externe Dienstleister muss dabei weisungsgebunden tätig werden, d.h. er darf nur unterstützend für den Auftraggeber tätig werden. Man spricht hierbei vom „verlängertem Arm“ des Auftragsgebers, denn die Verantwortung für die ordnungsgemäße Datenverarbeitung und den Schutz der Daten verbleibt beim Auftraggeber.

Typische Auftragsverarbeitungen sind: Kundendatenverarbeitung im Callcenter; Datenverarbeitungsdienste wie Scandienste und Datenerfassungen; Cloud-Computing-Dienste.

Der Auftragsverarbeiter benötigt für seine Tätigkeit keine (eigene) Einwilligung der Betroffenen.

Besteht keine Weisungsbefugnis innerhalb des Vertragsverhältnisses, handelt es sich nicht um eine Auftragsverarbeitung und ein eigene Rechtsgrundlage für die Datenverarbeitung ist erforderlich.

Ist jede Auftragstätigkeit, bei der personenbezogene Daten im Spiel sind, eine Auftragsverarbeitung?

Aus dem Gesetzeswortlaut in Art. 28 DSGVO „..die personenbezogenen Daten im Auftrag […] verarbeitet“, lässt sich ableiten, dass die Verarbeitung selbst Gegenstand und Schwerpunkt des Auftrags seien muss (z. B. Speicherung, Aggregation, Analyse oder Darstellung) und nicht lediglich der Erfüllung des „inhaltlichen Auftrages (z. B. Beratung) dienen darf („Schwerpunkttheorie“). Tätigkeiten, bei denen die eigentliche Datenverarbeitung in den Hintergrund tritt, wie etwa qualifizierte oder gutachterliche Bewertungen, werden nicht als Auftragsverarbeitung angesehen.

Fachliche Dienstleistungen eigener Art sind keine Auftragsverarbeitung

Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.

Keine Auftragsverarbeitung sind regelmäßig z.B. Rechts- und Steuerberatung, Tätigkeiten von Inkassobüros, Wohnungsverwaltung, Personalvermittlung, Zahlungsdienstleistungen).

Kurz zusammengefasst:

Eine Auftragsverarbeitung liegt vor, wenn  

• der Auftraggeber als Verantwortlicher die Zwecke und Mittel der Verarbeitung hinreichend präzise bestimmt hat und weisungsberechtigt ist,
• die Verarbeitung personenbezogener Daten einen Schwerpunkt des Auftrags darstellt und
• der Auftragnehmer als Auftragsverarbeiter die zur Verfügung gestellten Daten nur zu diesen Zwecken verarbeitet.

In diesem Fall ist ein Auftragsverarbeitungsvertrag zu schließen.