Muss ich einen Auftragsverarbeitungsvertrag mit meinem Reinigungsunternehmen schließen?

Ich bekomme ungefähr 1x pro Woche folgende Anfrage von Mandanten oder Lesern dieser Internetseite:

Muss ich mit meinem Reinigungsunternehmen einen Auftragsverarbeitungsvertrag schließen?

Und die nächste Frage ist dann meist auch schon, ob das nach der DSGVO nun erforderlich ist.

Und die Beantwortung ist dann gar nicht ganz so einfach. Denn rechtlich lassen sich da mehrere Auffassungen vertreten. Das hat mit der sehr weiten Definition der Datenverarbeitung in Art. 4 Nr. 2 DSGVO zu tun. Und auch mit der leider nicht geklärten Frage, was denn überhaupt das „geschützte Rechtsgut“ beim Datenschutz ist. Das würde nämlich bei der Auslegung und Klärung der Frage etwas helfen.

Ich denke aber, dass zumindest in den Fällen, in denen die Reinigungskraft bzw. das Reinigungsunternehmen auch beauftragt ist, Papiermülleimer zu leeren und (hoffentlich) in Vernichtungssammelbehälter im Unternehmen zu werfen, eine Datenverarbeitung im Auftrag vorliegen wird. Dann wäre auch ein Auftragsverarbeitungsvertrag zu schließen.

In allen anderen Fällen halte ich es für vertretbar, nicht von einer „Datenverarbeitung“ durch die Reinigungskraft auszugehen. Und dann bleibt auch kein Raum für die Verarbeitung im Auftrag – logischerweise.

Im Podcast gehe ich die Konstellationen und die diesbezüglichen rechtlichen Möglichkeiten einmal durch.

Update, 18.03.2018: Ein wichtiger Punkt: Ich wurde zurecht darauf angesprochen, wie ich darauf komme, dass das Verbringen von Papiermüll in einen Vernichtungsbehälter oder in einen Shredder als Datenverarbeitung nach der DSGVO zu werten sei. Die Frage ist sehr berechtigt. Denn nach Art. 2 Abs. 2 DSGVO ist die DSGVO im Bereich der nichtautomatisierten Datenverarbeitung nur dann anwendbar, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Nach Erwägungsgrund 15 der DSGVO fallen z.B. Akten und Aktensammlungen nicht in den Anwendungsbereich der DSGVO. Warum also gehe ich denn davon aus, dass in dem Szenario, wenn eine Reinigungskraft am Vernichtungsprozess für Papierunterlagen beteiligt ist, eine Auftragsverarbeitung vorliegen kann?

Das hat zunächst mit dem für mich als Anwalt geltenden „Gebot der Beratung des sichersten Weges“ zu tun. Wir Anwälte sollen immer so beraten, dass der sicherste Weg für den Mandanten gewählt wird. Und da hier das Vorliegen einer Auftragsverarbeitung im Raum stehen kann, wähle ich diesen Weg.

Denn: Mal angenommen, in einen Unternehmen wurde ein Brief von einem Kunden eingescannt, weil er in das Dokumentenmanagementsystem aufgenommen werden sollte. Wenn dieser Brief gescannt wurde, besteht kein Zweifel daran, dass dessen Verarbeitung in den Anwendungsbereich der DSGVO fällt. Der Brief war dazu gedacht, dass er in einem Dateisystem verarbeitet werden soll. Damit liegt die Voraussetzung für die Anwendung der DSGVO nach Art. 2 Abs. 1 DSGVO m.E. vor.

Natürlich können auch einmal andere Briefe im Papierkorb landen, die nicht dazu gedacht waren, in ein Dateisystem überführt zu werden. Nur: Wer will das unterscheiden? Und: Ist es wirklich ausgeschlossen, dass Papierunterlagen, die in einem Dateisystem verarbeitet werden sollen, im Papierkorb landen? Wohl kaum! Daher gehe ich in diesen Szenarien davon aus, dass die DSGVO Anwendung finden kann. Und daher ist es eine gute Idee, diesen Bereich mit einem Auftragsverarbeitungsvertrag zu regeln.

Ähnliche Beiträge