Ihr Unternehmen übermittelt personenbezogene Daten an verschiedenste Dienstleister. Das behaupte ich einfach mal. Jeder dieser Dienstleister wird im weitesten Sinne von Ihnen beauftragt. Allerdings ist nicht jeder dieser Dienstleister ein Auftragsverarbeiter im datenschutzrechtlichen Sinne des Art. 28 DSGVO. Was anfangs verwirrend klingt, ist es auch.
Heißt aber gleichzeitig, dass Sie nicht mit jedem Dienstleister einen Auftragsverarbeitungsvertrag abschließen müssen. Puh.
Wie genau können wir aber nun Auftragsverarbeiter von Nicht-Auftragsverarbeitern unterschieden? Alles der Reihe nach…
Dienstleister auflisten
Zunächst sollten Sie alle Dienstleister auflisten, die für Ihr Unternehmen tätig sind. Wenn Sie in einem größeren Unternehmen arbeiten, ist die Buchhaltung Ihr erster Ansprechpartner. Andere Dienstleister, wie kostenlose Online-Tools oder Softwareanbieter, werden Sie hingegen nicht bei der Buchhaltung in Erfahrung bringen können. Diesbezüglich sind Ihre Kollegen in der IT-Abteilung gefragt.
Die gesammelten Informationen tragen Sie in das Muster Liste der Dienstleister ein (Musterdokument befindet sich am Ende dieser Seite im geschützten Bereich).
Geben Sie in der Excel-Tabelle auch gleichzeitig an, an welche Dienstleister personenbezogene Daten übermittelt werden bzw. welcher Dienstleister Zugriff auf personenbezogene Daten aus Ihrem Unternehmen hat. Nur diese Dienstleister sind für uns von weiterem Interesse.
Welcher Dienstleister ist Auftragsverarbeiter?
Ein Dienstleister ist gleichzeitig Auftragsverarbeiter, wenn er personenbezogene Daten im Auftrag eines anderen Unternehmens (Auftraggebers) verarbeitet. Im Auftrag bedeutet, dass ausschließlich der Auftraggeber die Zwecke und Mittel der Datenverarbeitung vorgibt. Verarbeitet der Dienstleister Daten für eigene Zwecke, liegt demnach keine Auftragsverarbeitung vor. Ebenso spricht gegen eine Auftragsverarbeitung, wenn der Dienstleister direkten Kontakt mit der betroffenen Person hat.
Da die Verarbeitungsvorgänge heutzutage sehr komplex sind, fällt eine Entscheidung für jeden konkreten Dienstleister dennoch schwer. Selbst Juristen sind nicht immer einer Meinung.
An dieser Stelle helfen die Kurzpapiere bzw. Orientierungshilfen der Datenschutzbehörden, in denen gängige Kategorien von Dienstleistern eingeordnet werden.
Typische Auftragsverarbeiter
- Hoster (z. B. Strato, All-Inkl)
- Cloud-Anbieter (z. B. Amazon Web Services, Dropbox)
- IT-Dienstleister, da diese häufig zumindest die Möglichkeit haben, auf personenbezogenen Daten zuzugreifen
- (externe) Lohnbuchhaltung
- Datenentsorgung bzw. -archivierung
- Softwareanbieter mit Datenübertragung oder Zugriffsmöglichkeit (z. B. Datev, GoToMeeting, HR-Software, Microsoft 365)
- Website-Tracking (z. B. Google Analytics, Matomo)
- Newsletter-Anbieter (z. B. GetResponse, Mailchimp)
Regelmäßig keine Auftragsverarbeiter
- Lieferanten
- Berufsgeheimnisträger (z. B. Steuerberater, Notare, Rechtsanwälte, Datenschutzbeauftragte)
- Inkassobüros
- Bankinstitute
- Postdienstleister
- Behörden
- Dienstleister, deren eigentliche Hauptleistung nicht die Datenverarbeitung ist (z. B. Reinigungsdienstleister, Wachschutz, Übersetzer)
Wenn Sie einen Ihrer Dienstleister keiner Beispielkategorie zuordnen können und auch mit der abstrakten Definition der Auftragsverarbeitung nicht weiter kommen, vertrauen Sie – auch wenn es plump klingt – Ihrem gesunden Menschenverstand. Fragen Sie auf keinen Fall bei einer Aufsichtsbehörde nach, sollte der Dienstleister bereits im Einsatz sein. Dies kann empfindliches Bußgeld nach sich ziehen.