Wann liegt Auftragsverarbeitung vor?

Auftragsverarbeiter verarbeiten personenbezogene Daten im Auftrag des Verantwortlichen und auf Basis seiner Weisungen. Da die Leistungen eines Dienstleisters sehr vielschichtig sind, muss im Rahmen einer Einzelfallprüfung untersucht werden, ob eine Verarbeitung personenbezogener Daten im Auftrag vorliegt (GDD-Praxishilfe XII – Praxishinweise für Auftragsverarbeiter nach Art. 28 DS-GVO).

Es bestehen jedoch Kriterien (vgl. Weiterführende Hinweise der Artikel-29-Datenschutzgruppe in Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.02.2010 (WP169), die bei der Prüfung zur Einordnung als Verantwortlicher oder Auftragsverarbeiter Unterstützung leisten können. So kann eine Stelle, die über die Zwecke der Verarbeitung personenbezogener Daten entscheidet, kein Auftragsverarbeiter sein. Bei der Beurteilung dieses Kriteriums ist zu untersuchen,

• welchen Umfang der Handlungsspielraum des Dienstleisters bei der Auftragsvearbeitung hat
• wie der Dienstleister durch den Auftraggeber überwacht wird
• die Expertise des Dienstleistes bei der Auftragsvearbeitung
• die Transparenz des Dienstleisters gegenüber dem Betroffenen.

Gleiches gilt für eine Stelle, die über die wesentlichen Mittel einer Verarbeitung entscheidet.

Eine Entscheidung über „wesentliche Mittel“ einer Datenverarbeitung liegt in der Regel bei einem der folgenden Punkte vor:

• Welche Daten verarbeitet werden
• Wie lange sie verarbeitet werden
• Wer Zugang zu ihnen hat Die alleinige Entscheidung des Auftragsverarbeiters über technisch-organisatorische Mittel ist kein Ausschlussgrund für eine Auftragsverarbeitung.

Stellt sich die Bewertung, ob es sich bei der zu betrachtenden Dienstleistung um eine Auftragsverarbeitung oder um eine sonstige Outsourcing-Lösung handelt als schwierig dar, so können verschiedene Indizien (vgl. 3 Franck, Studienheft Nr. 385 – Datenschutzrecht, 2. Aufl. 2018, Bad Sooden,  S. 41.)  für eine klarere Unterscheidung herangezogen werden:

• Eine bestehende Weisungsabhängigkeit zwischen dem Auftraggeber und dem Dienstleister spricht für das Vorliegen einer Auftragsverarbeitung;
• Stellt sich die relevante Datenverarbeitung nicht als die Hauptleistung des Dienstleisters, sondern vielmehr als eine reflexartige Nebenerscheinung für die Erbringung einer davon unabhängigen Leistung dar, kann dies als Indiz für eine Übermittlung berücksichtigt werden;
• Hat der Auftragnehmer ein eigenes wirtschaftliches Interesse an den Daten oder dem Ergebnis der Datenverarbeitung kann dies als weiteres Indiz für eine Übermittlung betrachtet werden;
• Ein eigenes rechtliches Verhältnis zwischen Auftragnehmer und Betroffenen kann ebenfalls ein Anhaltspunkt dafür sein, dass keine Auftragsverarbeitung, sondern eine Übermittlung im Vordergrund steht;
• Kommt eine Haftung des Auftragsnehmers für die Richtigkeit oder Rechtmäßigkeit der Datenverarbeitung in Frage, spricht auch dies eher für das Vorliegen einer Übermittlung.

Wird der Dienstleister mit der IT-Wartung oder Fernwartung betraut und besteht hierbei die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten des Auftraggebers, soll es sich nach Meinung der hiesigen Aufsichtsbehörden um eine Form der Auftragsverarbeitung handeln und die Anforderungen des Art. 28 DS-GVO sollen für die geschuldete Tätigkeit gelten (DSK Kurzpapier Nr. 13, S. 3.).  Bei einer rein technischen Wartung ohne Zugriff auf personenbezogene Daten des Auftraggebers gelten die Vorgaben des Art. 28 DS-GVO entsprechend nicht.

Beispiele für Auftragsverarbeitungen sind:

• Cloud-Computing
• Newsletterversand
• Datenerfassung, Datenkonvertierung
• Auslagerung der Lohn- und Gehaltsabrechnung
• Backup-Auslagerung und Archivierung

Keine Auftragsverarbeitung stellen in der Regel dar:

• Tätigkeiten und damit verbundene Verarbeitungen personenbezogener Daten von Berufsgeheimnisträgern (Rechtsanwälte, Steuerberater , Wirtschaftsprüfer)
• Die Übertragung des Forderungsmanagements an ein Inkassounternehmen
• Postdienstleistungen in Form des Brieftransports

Das LDI NRW (http://t1p.de/ewvo) geht im Falle der reinen Lohn- und  Gehaltsabrechnung oder bei sonstigen, rein technischen Dienstleistungen  auch bei Steuerberatern von einer AV aus. Das BayLDA (http://t1p.de/82g6) hingegen sieht auch bei reiner Lohnbuchhaltung eine eigene Verantwortung der Steuerberater aufgrund des Steuerberaterrechts als gegeben an. Die Bundessteuerberaterkammer weist in Ihrem aktualisierten Leitfaden vom Oktober 2018 (Hinweise für den Umgang mit personenbezogenen Daten durch Steuerberater und Steuerberatungsgesellschaften, Ziffer 7.3) auf den Umstand hin, dass die Einbeziehung eines Berufsgeheimnisträgers (StB, RA, WP, externe Betriebsärzte), Inkassobüros  mit Forderungsübertragung, Bankinstituts für den Geldtransfer, Postdienstes für den Brieftransport  etc. keine Auftragsverarbeitung darstellt. Es handele sich um die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen.  Für die Verarbeitung (einschließlich Übermittlung) personenbezogener Daten müsse eine Rechtsgrundlage  gem. Art. 6 DS-GVO gegeben sein, z. B. die Einwilligung der betroffenen Person oder  die Wahrung berechtigter Interessen des Verantwortlichen (Kanzlei).