Die DSGVO ermöglicht es dem Verantwortlichen, sich Dritter bei der Datenverarbeitung zu bedienen. Diese Dritten werden als Auftragsverarbeiter bezeichnet.
Noch nicht abschließend festgelegt ist, wann der Dritte Auftragsverarbeiter und wann eigenverantwortlich Verarbeitender ist. Bislang werden Steuerberater, Inkassobüros, Rechtsanwälte udn auch Logistikdienstleister nicht als Auftragsverarbeiter eingeordnet. Sie verarbeiten eigenverantwortlich. Der IT-Support, der Lettershop, die externe Buchführung, der Cloud-Dienst arbeiten hingegen als Auftragsverarbeiter. Es wird wohl – wie im Wettbewerbsrecht – der Rechtsprechung, zumindest aber den Aufsichtsbehörden überlassen, weitere konkrete Fallgruppen zu bilden.
Einstweilen wird man sich mit der allgemeinen Definition helfen müssen, dass der Auftragsverarbeiter weisungsgebunden Daten im Auftrag des Verantwortlichen verarbeitet. Überlässt hingegen der Auftraggeber dem Dienstleister die Wahl und den Zweck der Datenverarbeitung und stehen ihm auch keine Weisungs- und/oder Kontrollrechte zu, dann ist von einer eigenverantwortlichen Verarbeitung des Dienstleisters auszugehen.
Um festzustellen, ob und ggf. mit welchen Dienstleistern Auftragsverarbeitungsverträge abzuschließen sind, empfiehlt es sich, eine Aufstellung über alle eingesetzten Dienstleister zu erstellen. Sodann ist zu prüfen, welche der o.g. Kriterien auf den einzelnen Dienstleister zutreffen. Liegt danach eine Auftragsverarbeitung vor, ist ein Auftragsverarbeitungsvertrag abzuschließen.
Bedenken Sie: Für den Auftragsverarbeiter ist der Verantwortliche verantwortlich. Er darf sich also nicht darauf verlassen, dass der Auftragsverarbeiter aktiv wird und seinerseits einen Vertrag vorlegt.
Brauchen Sie Unterstützung bei der Klärung oder dem Abfassen von Auftragsverarbeitungsverträgen, helfe ich Ihnen gern.