Ich habe das hier im Podcast schon einmal erläutert. Da nicht jeder die Zeit hat, sich einen Podcast anzuhören, habe ich die Gründe hier noch einmal in Textform ausgeführt. Zumal einige Aufsichtsbehörde das mittlerweile anders sehen. Steuerberater als Auftragsverarbeiter bei der Lohnbuchhaltung? Um diese Frage zu beantworten, ist juristisches Handwerkszeug gefragt. Denn die Beantwortung der […]
Auftragsverarbeitung
Warum die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung ist
Die schriftliche, ausführliche Begründung kannst du hier nachlesen: Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung? Aus aktuellem Anlass (dazu mehr im Podcast) gibt es jetzt im Oktober doch noch eine Podcastfolge. In dem Podcast möchte ich die Begründung dafür liefern, warum die Lohnbuchhaltung durch Steuerberater keine Auftragsverarbeitung ist. Eine Begründung in Textform […]
Auftragsverarbeitung bei Übermittlung von Daten von Reisenden
Vor einiger Zeit erreichte mich folgende Frage: Wir als Reiseveranstalter verschicken (SEHR) häufig (manchmal auch einmalig) Namenslisten an Hotels , Tourismus -Verbände und Lift-Gesellschaften. Ist es wirklich notwendig mit allen einen Auftragsverarbeitungsvertrag abzuschließen? Klare Antwort: Nein Die Weitergabe von Daten von Reisenden an z.B. Hotels oder Lift-Gesellschaften stellt keine Verarbeitung von Daten im Auftrag dar. […]
Unzulässige Klausel in Auftragsverarbeitungsverträgen
Ich bin seit 03.09.2018 zurück in der Kanzlei. Und natürlich häufen sich jetzt schon wieder die Prüfanfragen von Mandanten zu Auftragsverarbeitungsverträgen. Auch wenn mittlerweile in Sachen DSGVO ein wenig Ruhe eingekehrt ist und es insgesamt „besonnener“ und weniger hektisch zugeht, treffe ich doch immer wieder auf ähnliche Probleme in Auftragsverarbeitungsverträgen. Heute möchte ich gerne mal […]
Kontrolle des Auftragsverarbeiters nur gegen Zahlung eines Entgelts?
Der Bayerische Landesdatenschutzbeauftragte Dr. Thomas Petri hat dieses Thema im Sommer in einer Mitteilung aufgegriffen: „Aktuelle Kurz-Information 6 – Keine gesonderte Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung“ Dort wird die Auffassung vertreten, dass ein Auftragsverarbeiter eine Vor-Ort-Kontrolle grundsätzlich einräumen muss und kein Entgelt dafür verlangt werden darf. Möglich sei aber, dies „einzupreisen“. Aber: Ist das […]
Webinaraufzeichnung: Auftragsverarbeitung oder nicht?
Wann liegt denn nun eigentlich eine Auftragsverarbeitung vor und wann nicht? Die DSGVO ist da (genau wie das alte BDSG) alles andere als deutlich. Es gibt auch jetzt wieder neue Ansätze einer Auslegung unter den Juristen. Einige wollen einfach die bisherigen Abgrenzungslehren (Funktionsübertragung etc.) anwenden. Das geht natürlich nicht bzw. nur, soweit es europarechtlich passt.
Andere wollen jetzt jede Weitergabe von Daten oder jede Teilnahme eines Geschäftspartners an einem bestimmten Prozess als Auftragsverarbeitung einordnen.
Diese Ansicht verkennt allerdings den Sinn und Zweck des „Rechtsfigur“ der Auftragsverarbeitung und vor allem auch, dass die Auftragsverarbeitung systematisch im Lichte anderer Grundrechte und Grundfreiheiten der Grundrechtecharta der EU (GrCH) auszulegen ist. Und da ist vor allem Art. 16 GrCH zu nennen: Die unternehmerische Freiheit
Denn wenn ein Unternehmer nur durch bloße Kooperation zu einem Auftragsverarbeiter wird, unterliegt er wesentlichen Einwirkungs- und Kontrollrechten des Auftraggeber einer Auftragsverarbeitung. Das ist mit einer freien Berufsausübung nicht bzw. nur unter bestimmten Voraussetzungen zu vereinbaren. Denken wir nur einmal an das Szenario, dass ein Auftraggeber z.B. mindestens ein Widerspruchsrecht gegenüber neuen Unterauftragnehmern hat. Oder auch die Einräumung von Kontrollrechten gegenüber Unterauftragnehmern. Und auch der Gleichklang der Pflichten des Auftraggebers gegenüber dem Auftragnehmer, die dieser auch an den Unterauftragnehmer weiterreichen müsste. Ihr merkt schon: Das passt alles nicht mehr zusammen. Ich nenne es Auftragsverarbeitungsexzess.
Um den Anforderungen des Ausgleichs der Grundrechte zum Datenschutz in Art. 8 GrCH und Art. 7 GrCH und aber auch den Rechten der Unternehmen bzw. allgemein „Verantwortlichen“ Rechnung zu tragen, ist die Frage, ob eine Auftragsverarbeitung vorliegt oder nicht, ganz gut nach der „GM-Methode“, also mit gesundem Menschenverstand zu beantworten. Und daraus ist bei mir die Schwerpunkttheorie entstanden, die ich einfach mal so nenne. Mit der Schwerpunkttheorie dürften sich die meisten Fragen, ob eine Auftragsverarbeitung vorliegt oder nicht sachgerecht – und unter Berücksichtigung der einschlägigen Grundrechte und Grundfreiheiten der Beteiligten (Betroffene, Verantwortliche, Auftragsverarbeiter) – lösen lassen. Die Schwerpunkttheorie benötigt sicher noch einen Feinschliff (daran und an einem Fachbeitrag dazu arbeite ich gerade), aber für einen ersten Aufschlag passt das m.E. ganz gut. Ich bekomme damit jedenfalls einen Großteil der Abgrenzungen gut gelöst.
In der Aufzeichnung des Webinars vom 12.06.2018 mit dem Titel „Auftragsverarbeitung oder nicht“ stelle ich die Grundlagen der Auftragsverarbeitung dar und erklären meinen Ansatz für die Schwerpunkttheorie.
Das in dem Webinar häufig angesprochene Arbeitspapier der damaligen Art. 29 Gruppe findet ihr hier:
Und hier finden Datenschutz-Coaching-Mitglieder die Aufzeichnung des Webinars:
Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate), Datenschutz-Coaching Basic (Schnupperzugang) oder Datenschutz-Coaching BASIC (ABO).
Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden
Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden
Neue Tendenz bei „TOM“ in Auftragsverarbeitungsverträgen
In diesem Podcast geht es um eine Änderung der Tendenz, wie technische und organisatorische Maßnahmen zur Datensicherheit (TOM) in Auftragsverarbeitungsverträgen geregelt werden. Weg von langen Anlagen mit TOM im Detail hin zu kurzen Klauseln? Ich denke, da ist eine Entwicklung erkennbar. Aber hört selbst.
Muss ich einen Auftragsverarbeitungsvertrag mit meinem Reinigungsunternehmen schließen?
Ich bekomme ungefähr 1x pro Woche folgende Anfrage von Mandanten oder Lesern dieser Internetseite: Muss ich mit meinem Reinigungsunternehmen einen Auftragsverarbeitungsvertrag schließen? Und die nächste Frage ist dann meist auch schon, ob das nach der DSGVO nun erforderlich ist. Und die Beantwortung ist dann gar nicht ganz so einfach. Denn rechtlich lassen sich da mehrere […]