· 

Wann liegt Auftragsdatenverarbeitung vor, wann nicht?

Ich bin kein Jurist, ich bin kein ausgebildeter Datenschützer. Dies ist keine Rechtsberatung. Aber ich erhalte immer wieder mal Fragen nach der Auftragsdatenverarbeitung (ADV) und ich möchte einfach meinen persönlichen Wissensstand hier kund tun.

 

Wo ADV aufhört und der Status als Verantwortlicher anfängt, war mir schon immer etwas klärungsbedürftig, daher habe ich mich ein wenig informiert.

 

Der Fall, in dem zwei Verantwortliche  - Daten - einander übermitteln, weil ein Unternehmen bestimmte Tätigkeiten outgesourct hat, wird als „Funktionsverlagerung“ von der ADV abgegrenzt, wobei es diesen Begriff - soweit mein Kenntnisstand -im Bundesdatenschutzgesetz nie gab. Die Aufsichtsbehörden behelfen sich daher mit Listen „typischer“ Auftragsverarbeitungstätigkeiten und „typischer“ Fälle, in denen der Verarbeitende der Verantwortliche ist.

 

Dabei ist es wichtig zu beachten: würde kein Fall der ADV vorliegen, aber dennoch eine ADV abgeschlossen worden sein, anscheinend keine wesentlichen datenschutzrechtlichen Probleme entstehen würden.  Aber der Auftragnehmer wäre nun einmal strikt weisungsunterworfen, was eventuell mit seinem Selbstverständnis, mit dem einschlägigen Berufsrecht oder mit anderen Anforderungen nicht zu vereinbaren ist.

 

Der umgekehrte Fall, dass jemand Auftragsverarbeiter ist, aber keine Auftragsverarbeitungsvereinbarung abgeschlossen hat, ist datenschutzrechtlich wesentlich problematischer.  

 

Der letztgenannte Fall führt nämlich auf jeden Fall zu einem Problem des verantwortlichen „Auftraggebers“, aber auch – zumindest wenn kein Legitimationsgrund für eine Übermittlung vorliegt – zu einem Problem des Auftragsverarbeiters, der aber kein solcher sein will/soll.

 

Verantwortlicher und Auftragsverarbeiter werden als eine Art Einheit angesehen und der Datenaustausch zwischen ihnen ist zumeist unproblematisch möglich. Während Datenschutzbehörden daher nur dort ADV sehen möchten, wo der Auftragnehmer mechanische datenverarbeitende Tätigkeiten im Sinne einer weisungsgebundenen „verlängerten“ Werkbank ausführt, haben Vertreter der Wirtschaft den Anwendungsbereich bereits 2013 viel weiter gezogen. Eine Auftragsdatenverarbeitung konnte danach auch dann vorliegen, wenn dem Auftragnehmer weitgehende, auch über die reine Un- terstützung bei der Datenverarbeitung hinausgehende Aufgaben übertragen werden.

 

Maßgeblich sollte nur sein, dass der Auftraggeber die volle Verantwortung für die gesamte Datenverarbeitung beim Dienstleister übernimmt und der Auftragnehmer keine eigenen Ent- scheidungen trifft.

 

Die Mobile Box verarbeitet keine Daten ihrer Kunden. Unsere Apps laufen ausschließlich und eigenverantwortlich im Hoheitsbereich unserer Kunden. Daher haben wir auch keine ADV im Angebot.