Die Verarbeitung im Auftrag

Große Unsicherheit besteht zur Zeit hinsichtlich eines Konstruktes, das bereits im BDSG existierte, im Rahmen der DS-GVO jedoch einen ungeahnten Boom erlebt: Die Verarbeitung im Auftrag (AV) die, soll sie denn durchgeführt werden, ihrerseits eine Vereinbarung zur Verarbeitung im Auftrag (VVA) oder einen Auftragsverarbeitung-Vertrag (AVV) nach sich zieht. Beide letztgenannten Begriffe meinen das Gleiche.

Ehe wir genauer auf die vertragliche Ausgestaltung eingehen, ist jedoch zuerst zu klären, bei welchen Vorgängen es sich überhaupt um eine AV handelt: Folgendes sind die Notwendigkeiten für das Vorliegen einer AV:

  • Der Auftraggeber gibt Daten zur Bearbeitung an einen Auftragnehmer weiter, jedoch nicht, weil dies unabdingbar ist, sondern weil es in seinem Interesse liegt. Also obwohl er die Verarbeitung auch selbst durchführen könnte.
  • Der Auftraggeber hat aufgrund der tatsächlichen Umstände die Möglichkeit, die wesentlichen Entscheidungen über Zweck und Mittel der Verarbeitung zu treffen, der Auftragnehmer muss also ganz klar weisungsabhängig arbeiten. Handelt er dagegen eigenständig aufgrund eigener Expertise, so liegt keine AV vor.

Das bedeutet: Sobald ein Dritter Daten übermittelt bekommt und mit diesen eigenverantwortlich arbeitet (Steuerberater, Betriebsarzt, etc.), so liegt keine AV vor. Ebenfalls liegt keine AV vor, wenn die Verarbeitung überhaupt nicht innerhalb der Verantwortung des Verarbeiters durchgeführt werden kann und sich die Datenweitergabe an einen Dritten nicht freiwilliger-, sondern notwendigerweise ergibt. In diesen Fällen ist die Datenweitergabe aus einem Erlaubnistatbestand des Art. 6 Abs. 1 DS-GVO heraus zu begründen und die Verantwortung für die Datenverarbeitung geht auf den Dritten über.

Liegt dagegen tatsächlich eine AV vor, weil die Verarbeitung aus freien Stücken an einen Dritten übergeben wird, der nicht eigenverantwortlich, sondern weisungsgebunden vorgeht, so wird eine VVA (auch AVV genannt) notwendig. In dieser Vereinbarung schreibt der Auftraggeber (AG) dem Auftragnehmer (AN) detailliert Zwecke und Mittel der Verarbeitung vor.

Dies führt dazu, dass die Verantwortung nicht auf den Dritten übergeht, sondern beim AG verbleibt. Hieraus speist sich eine Privilegierung der Datenübertragung: Für diese wird nun kein Erlaubnistatbestand aus Art. 6 Abs. 1 DS-GVO mehr benötigt.

WICHTIG: Der AG schreibt die Mittel vor. Das ist wesentlicher Bestandteil des Konstruktes (s.o.). Deswegen müssen die TOMs vom AG festgelegt werden, nicht, wie häufig zu sehen, vom AN.b Das gleiche gilt für die gesamte Vereinbarung: Der AG bestimmt Zwecke und Mittel.