Wann ist eine Dienstleistung eine vertragspflichtige Auftragsverarbeitung?

Kaum ein Betrieb kommt ohne „Outsourcing“ von Dienstleistungen aus: Aktenvernichtung, Lohnbuchhaltung, Web-Hosting, IT-Services und Mailing-Aktionen sind wohl die häufigsten Arbeiten, die von Dritten erledigt werden. Diese sogenannte Auftragsverarbeitung wirft in der Praxis immer wieder Fragen auf. Selbst gestandene Fachleute haben damit ihre Probleme.  

Die Frage ist immer wieder: handelt es sich im Sinne der DS-GVO bei einer Vergabe von Dienstleistungen an Dritte immer um eine Auftragsverarbeitung und braucht es dann immer einen Verarbeitungsvertrag? 

Die Funktion eines Auftragsverarbeiters (AV) besteht grundsätzlich darin, personenbezogene Daten im Auftrag eines Unternehmens zu verarbeiten. Der AV hat dabei keine Entscheidungskompetenz, wie und wo er seine Arbeit verrichtet. Die Weisungsbefugnis und damit Verantwortung (auch für die Datensicherheit) bleibt beim Auftraggeber.  

Im Umkehrschluss heißt das, dass es sich nicht um eine Auftragsverarbeitung handelt, wenn der AV in eigener Verantwortung handelt. In diesem Fall ist der Auftragnehmer selbst dafür verantwortlich, die datenschutzrechtlichen Vorgaben einzuhalten, wie z.B. die technischen und organisatorischen Maßnahmen. Das ist z.B. der Fall, wenn die Steuerbuchhaltung an einen selbstständigen Steuerberater übergeben wird.

Das ist sehr vereinfacht dargestellt, mag aber immerhin als Faustregel gelten.

Die folgende Tabelle zeigt einige Beispiele.