Als Auftragsverarbeitung wird die Einschaltung von Dienstleistern bei der Verarbeitung von personenbezogenen Daten im Auftrag und nach Weisung des Verantwortlichen bezeichnet.
Auftragsverarbeitungsvereinbarung oder nicht?
Liegt Auftragsverarbeitung vor, so ist eine – den gesetzlichen Vorgaben genügende – Vereinbarung zwischen Auftragnehmer und Auftraggeber zu schließen.
Die entscheidende Frage, ob es sich aber im konkreten Fall um eine Datenverarbeitung im Auftrag handelt oder nicht, ist jedoch gerade bei Dienstleistungen im Bereich des IT-Supports nicht immer leicht zu beantworten.
Abgrenzung
Folgende Kriterien können dabei helfen zu entscheiden, ob bei Abschluss eines neuen oder Verlängerung eines bestehenden Dienstvertrages auch der Abschluss einer Auftragsverarbeitungsvereinbarung (AVV) erforderlich wird.
Klassische Beispiele
Auftragsverarbeitung liegt typischerweise vor, wenn folgende Leistungen erbracht werden sollen:
- Backup –Services, Cloud- Services, Server in externem Rechenzentrum
- Datenerfassung, Datenumsetzung, Datenarchivierung
- Löschung und Vernichtung von Datenträgern
Kontrollfragen (Bitkom)
Sofern die folgenden Fragen mit „Ja” beantwortet werden können, handelt es sich ebenfalls üblicherweise um eine Auftragsverarbeitung:
- Ist das wesentliche Element der Dienstleistung auf die Verarbeitung personenbezogener Daten für Zwecke des Auftraggebers gerichtet und besteht kein eigenes Interesse des Auftragnehmers an diesen Daten?
- Entscheidet der Auftraggeber im Wesentlichen über die Mittel und Zwecke der Datenverarbeitung?
- Ist die Funktion des Auftragnehmers ausschließlich eine (in der Regel technische) Hilfs- oder Unterstützungsfunktion?
Selbstwahrnehmung des Auftragnehmers oder in der Vergangenheit bereits geschlossene Vereinbarung
Da auch dem Auftragnehmer bei Nichtabschluss einer AVV trotz Vorliegens der Voraussetzungen ein Bußgeld droht, beurteilt dieser auch für sich selbst, ob er als Auftragsverarbeiter tätig wird oder nicht.
Auch wenn man der Selbsteinschätzung nicht in jedem Fall folgen muss, ist es jedoch durchaus ein starkes Indiz für das Vorliegen von Auftragsverarbeitung, wenn der Vertragspartner mit dem Ansinnen auf Sie zukommt, eine AVV abzuschließen.
Bei der Verlängerung von bestehenden Verträgen spricht das Bestehen einer (in der Vergangenheit noch unter dem Namen ADV-Vereinbarung) geschlossenen Vereinbarung über die Datenverarbeitung ebenso für das Vorliegen von Auftragsverarbeitung.
Abgrenzung zu Nebenleistungen
Keine Auftragsverarbeitung liegt vor, wenn es sich um reine Nebenleistungen handelt.
Nebenleistungen in diesem Sinne meint Tätigkeiten, die im eigentlichen Kern nicht die Verarbeitung von personenbezogenen Daten betreffen. Vielmehr stehen andere Tätigkeiten im Vordergrund in deren Rahmen ein Umgang mit (oder Kontakt zu) personenbezogenen Daten ggf. jedoch unvermeidbar ist. Dies gilt z.B. bei Reinigungsdienstleistungen, oder im Bereich des Wachschutzes.
Nebenleistungen sind i.d.R auch solche, die in spezielleren Gesetzen geregelt sind, wie z.B. Telekommunikations- oder Postdienstleistungen.
Auftragsverarbeitung im IT-Bereich
Im Bereich der IT-Dienstleistungen wird von Aufsichtsbehörden und Branchenverbänden derzeit noch unterschiedlich beurteilt, wann Auftragsverarbeitung vorliegt und wann nicht, so dass eine individuelle Betrachtung erfolgen muss.
Verträge, welche die Wartung oder Prüfung von IT-Systemen oder die Softwareentwicklung oder deren Anpassung betreffen, stellen häufig keine Auftragsverarbeitungen dar (es sei denn, der IT-Support betrifft z.B. gerade den Umgang mit Datensätzen die personenbezogene Daten enthalten).
Ich empfehle Ihnen daher in diesen Fällen die (frühzeitige) Einbindung des Datenschutzbeauftragten und der betroffenen Fachabteilung. Gerade wenn es darum geht zu beurteilen, ob Sie selbst als Auftragsverarbeiter tätig werden oder nicht, ist eine belastbar begründete Einordnung von ganz entscheidender Bedeutung (Aufwand, Haftung etc.).
Verschwiegenheitsverpflichtung
Auch wenn Sie zu dem Ergebnis kommen, dass der Abschluss einer AVV nicht erforderlich ist, muss die Erbringung der Leistung natürlich trotzdem so organisiert und geregelt werden, dass personenbezogene Daten dem jeweiligen Risiko entsprechend angemessen geschützt sind.
Häufig bietet sich in derartigen Konstellationen der Abschluss einer Verschwiegenheitsverpflichtung an.
