Beispiele zur Auftragsverarbeitung

Folgendes ist ganz sicher keine Auftragsverarbeitung:

Die Datenübergabe innerhalb eines ganz normalen Handelsgeschäftes (Kunde übergibt dem Verkäufer Daten, damit dieser in der Lage ist abzurechnen). Dieser Vorgang ist einfach geschäftsnotwendig, der Erlaubnistatbestand ist Art. 6 Abs. 1 lit b DS-GVO. – Es bedarf KEINER Vereinbarung.

Folgendes ist ganz sicher eine Auftragsverarbeitung:

Kunde beauftragt eine Drittfirma mit der Vernichtung von Akten. Hier wird eine Verarbeitung aus freien Stücke außer Haus vergeben, der Kunde ist Herr der Lage und kann Zweck und Mittel bestimmen. Hier bedarf es einer Vereinbarung.

Grenzfall IT-Dienstleistung:

Wird ein IT-Unternehmen mit der Wartung eines Systems beauftragt, so schließt das normalerweise keiner Verarbeitung personenbezogener Daten ein. Wer ein System wartet, kann jedoch durchaus personenbezogene Daten sehen, obwohl er das nicht sollte. Es bedarf daher einer Regelung. Eine solche Regelung kann durchaus eine Verschwiegenheitserklärung – neudeutsch NDA – sein. Es gibt jedoch auf Meinungen, die hierin eine AV sehen und damit die Notwendigkeit zu einer entsprechenden Vereinbarung. Was ist nun richtig? Die Antwort lautet: Das kommt darauf an. Schließt die IT-Diensteistung Tätigkeiten ein, die sehr dicht an die Verarbeitung heranreichen oder eine solche sogar notwendig machen (z.B.: Entfernen von Dubletten innerhalb einer Datenbank und die Konsistenz wieder herzustellen), so ist das eine AV. überwacht das Unternehmen dagegen lediglich Systemparameter wie Temperatur oder Papierstatus der Drucker, so ist dies nicht der Fall. (Auch wenn beim Beheben eines Papierstaus vielleicht Daten offensichtlich werden.) Hier braucht es keine VVA, ein „NDA“ reicht aus. Da im Rahmen der IT-Wartung jedoch oftmals nicht genau vorausgesagt werden kann, welche Schritte nötig sind, hat sich die VVA als Mittel eingebürgert.