Hallo! Mein Name ist Marc Dauenhauer. Ich bin Datenschutzbeauftragter und IT-Architekt. Sie befinden sich hier auf einem Blog, auf dem ich über Themen der Digitalisierung im weitesten Sinne berichte. Wenn Sie meine Dienstleistungen als Datenschutz-Experte oder IT-Spezialist suchen, klicken Sie bitte hier!

Auftragsverarbeitung

Ich bin jedesmal überrascht, wie reflexartig die Zusammenarbeit von Verantwortlichen von Datenschutzbeauftragten und Rechtsberatern als Auftragsverarbeitung gewertet wird. Sobald eine Partei einer anderen Partei personenbezogene Daten übermittelt, rufen alle sofort nach einem Auftragsverarbeitungsvertrag. Als ob dies die einzige Möglichkeit sei.

Tatsächlich ist die vertragliche Regelung für die Qualifizierung einer Verarbeitung als Auftragsverarbeitung nur von geringer Bedeutung. Es kommt vielmehr auf die tatsächlichen Verhältnisse an.

Für eine Auftragsverarbeitung benötigt es
1. einen Auftrag, dessen Gegenstand eine Datenverarbeitung personenbezogener Daten im weitesten Sinne ist. So gehören Wartungs- und IT-Dienstleistungen dazu, aber zB keine Beratungsleistungen, bei denen Datenverarbeitung nur ein Mittel zum Zweck ist und gerade kein Bestandteil des Auftrags.
2. eine Kontrolle des Auftraggebers über den Zweck und die Durchführung der Datenverarbeitung. Die Kontrolle muss nicht jedes technische Detail umfassen, sondern kann sich in einer informierten Entscheidung zur Aufnahme und Beendigung des Verarbeitungsprozesses für den vertragsgemäßen Zweck erschöpfen. Eine eigenverantwortliche Verfügungsmacht über die Daten besitzt der Auftragnehmer nicht.

Wenn nicht beide Bedingungen erfüllt sind, kann kaum von einer Auftragsverarbeitung gesprochen werden. Dies ist gerade bei Providern wie Google ein großes Problem, da sich diese immer ein Hintertürchen für die Verarbeitung der Daten zu eigenen Zwecken offenhalten. Das steht im klaren Widerspruch zu einer Auftragsverarbeitung.