Webinaraufzeichnung: Auftragsverarbeitung oder nicht?

13/06/2018

Wann liegt denn nun eigentlich eine Auftragsverarbeitung vor und wann nicht? Die DSGVO ist da (genau wie das alte BDSG) alles andere als deutlich. Es gibt auch jetzt wieder neue Ansätze einer Auslegung unter den Juristen. Einige wollen einfach die bisherigen Abgrenzungslehren (Funktionsübertragung etc.) anwenden. Das geht natürlich nicht bzw. nur, soweit es europarechtlich passt.

Andere wollen jetzt jede Weitergabe von Daten oder jede Teilnahme eines Geschäftspartners an einem bestimmten Prozess als Auftragsverarbeitung einordnen.

Diese Ansicht verkennt allerdings den Sinn und Zweck des „Rechtsfigur“ der Auftragsverarbeitung und vor allem auch, dass die Auftragsverarbeitung systematisch im Lichte anderer Grundrechte und Grundfreiheiten der Grundrechtecharta der EU (GrCH) auszulegen ist. Und da ist vor allem Art. 16 GrCH zu nennen: Die unternehmerische Freiheit

Denn wenn ein Unternehmer nur durch bloße Kooperation zu einem Auftragsverarbeiter wird, unterliegt er wesentlichen Einwirkungs- und Kontrollrechten des Auftraggeber einer Auftragsverarbeitung. Das ist mit einer freien Berufsausübung nicht bzw. nur unter bestimmten Voraussetzungen zu vereinbaren. Denken wir nur einmal an das Szenario, dass ein Auftraggeber z.B. mindestens ein Widerspruchsrecht gegenüber neuen Unterauftragnehmern hat. Oder auch die Einräumung von Kontrollrechten gegenüber Unterauftragnehmern. Und auch der Gleichklang der Pflichten des Auftraggebers gegenüber dem Auftragnehmer, die dieser auch an den Unterauftragnehmer weiterreichen müsste. Ihr merkt schon: Das passt alles nicht mehr zusammen. Ich nenne es Auftragsverarbeitungsexzess.

Um den Anforderungen des Ausgleichs der Grundrechte zum Datenschutz in Art. 8 GrCH und Art. 7 GrCH und aber auch den Rechten der Unternehmen bzw. allgemein „Verantwortlichen“ Rechnung zu tragen, ist die Frage, ob eine Auftragsverarbeitung vorliegt oder nicht, ganz gut nach der „GM-Methode“, also mit gesundem Menschenverstand zu beantworten. Und daraus ist bei mir die Schwerpunkttheorie entstanden, die ich einfach mal so nenne. Mit der Schwerpunkttheorie dürften sich die meisten Fragen, ob eine Auftragsverarbeitung vorliegt oder nicht sachgerecht – und unter Berücksichtigung der einschlägigen Grundrechte und Grundfreiheiten der Beteiligten (Betroffene, Verantwortliche, Auftragsverarbeiter) – lösen lassen. Die Schwerpunkttheorie benötigt sicher noch einen Feinschliff (daran und an einem Fachbeitrag dazu arbeite ich gerade), aber für einen ersten Aufschlag passt das m.E. ganz gut. Ich bekomme damit jedenfalls einen Großteil der Abgrenzungen gut gelöst.

In der Aufzeichnung des Webinars vom 12.06.2018 mit dem Titel „Auftragsverarbeitung oder nicht“ stelle ich die Grundlagen der Auftragsverarbeitung dar und erklären meinen Ansatz für die Schwerpunkttheorie.

Das in dem Webinar häufig angesprochene Arbeitspapier der damaligen Art. 29 Gruppe findet ihr hier:

Art. 29 Gruppe, WP 169, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ (PDF)

Und hier finden Datenschutz-Coaching-Mitglieder die Aufzeichnung des Webinars:

Um auf diese Inhalte zugreifen zu können, musst Du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching oder Datenschutz-Coaching (Probemonat) [Digital] [Digital].
Wenn Du das Produkt schon gekauft hast, kannst Du dich hier anmelden: Anmelden

Neue Tendenz bei „TOM“ in Auftragsverarbeitungsverträgen

02/05/2018

In diesem Podcast geht es um eine Änderung der Tendenz, wie technische und organisatorische Maßnahmen zur Datensicherheit (TOM) in Auftragsverarbeitungsverträgen geregelt werden. Weg von langen Anlagen mit TOM im Detail hin zu kurzen Klauseln? Ich denke, da ist eine Entwicklung erkennbar. Aber hört selbst.

Muss ich einen Auftragsverarbeitungsvertrag mit meinem Reinigungsunternehmen schließen?

14/03/2018

Ich bekomme ungefähr 1x pro Woche folgende Anfrage von Mandanten oder Lesern dieser Internetseite: Muss ich mit meinem Reinigungsunternehmen einen Auftragsverarbeitungsvertrag schließen? Und die nächste Frage ist dann meist auch schon, ob das nach der DSGVO nun erforderlich ist. Und die Beantwortung ist dann gar nicht ganz so einfach. Denn rechtlich lassen sich da mehrere […]

Webinaraufzeichnung: Anpassung von ADV-Verträgen an die DSGVO

24/01/2018

Heute fand mein Webinar „Anpassung von Auftragsdatenverarbeitungsverträgen an die DSGVO“ für Datenschutz-Coaching-Mitglieder statt.

Thema war, worauf ihr achten müsst, wenn ihr bestehende Auftragsdatenverarbeitungsverträge für eure Kunden oder Dienstleister ändern wollt bzw. worauf ihr achten solltet, wenn ihr neue Auftragsverarbeitungsverträge auf Basis von Art. 28 DSGVO von euren Kunden bzw. Auftraggebern erhaltet.

Anhand einer Überarbeitung meiner alten Checkliste zur Prüfung von ADV-Verträgen gehen wir so mal die Anforderungen durch. Und ich habe eine ganze Reihe von Fragen der Datenschutz-Coaching-Mitglieder beantwortet, die sich sicherlich auch viele andere stellen.

Die neue Checkliste werde ich voraussichtlich am 30.01.2018 mit dem Newsletter am Dienstag veröffentlichen.

Hier jetzt aber erst einmal die Aufzeichnung des Videos:

Wechsel des Unterauftragnehmers bei der Auftragsverarbeitung

13/12/2017

Auftragsverarbeitung ist eine Alltagserscheinung. In einer Welt, in der immer mehr Datenverarbeitungen durch Dritte ausgeführt werden, wächst auch die Anzahl der Auftragsverarbeitungen stetig. Und da auch der Auftragsverarbeiter nicht immer alles alleine kann, bedient dieser sich wiederum Auftragsverarbeitern, also sozusagen Unterauftragnehmern (im Verhältnis zum Auftraggeber). Was aber, wenn man jetzt z.B. mal der Auftragsverarbeiter den […]

Auftragsverarbeitung

Footer CTA