Hilfsmittel zur Auftragsverarbeitung
Welche Abgrenzungs-Beispiele zur Auftragsverarbeitung gibt es? Wann ist das Hosting von Webseiten keine Auftragsverarbeitung? Unterliegen Steuerberater den Anforderungen der Auftragsverarbeitung? Das Bayerische Landesamt für Datenschutz (BayLDA) bietet in einer Neufassung seiner Infoblätter hierzu viele Informationen, die in der Praxis weiterhelfen.
Das Bayerische Landesamt für Datenschutz hat neue Infoblätter veröffentlicht. Allein vier befassen sich mit Fragen zur Auftragsverarbeitung (AV).
Formanforderung
Unter anderem führen sie hinsichtlich der Formanforderungen aus, dass keine qualifizierte elektronische Signatur erforderlich ist, um eine AV-Vereinbarung abzuschließen.
Entscheidend ist, den elektronische Vertragsabschluss (also übereinstimmende Willens-Erklärungen) hinreichend und beweiskräftig zu dokumentieren.
Webseiten-Hosting als Auftragsverarbeitung
Eine Auftragsverarbeitung liegt beim Hosting von Webseiten nicht vor,
- wenn die Webseiten rein statisch aufgebaut sind, wie bei der Selbstdarstellung von Vereinen oder Kleinunternehmen,
- wenn keine personenbezogenen Daten über die Seitenaufrufe an den Verein oder das Kleinunternehmen fließen und
- wenn kein Nutzer-Tracking erfolgt.
Die zwangläufige kurzzeitige Verarbeitung von IP-Adressen führt nicht dazu, dass der Hoster zum Auftragsverarbeiter wird.
Diese Verarbeitung sei vielmehr noch der TK-Zugangsvermittlung des Webseiten-Hosters zuzurechnen und diene den Sicherheitszwecken des Dienstleisters, so das BayLDA.
Im Umkehrschluss müssen Verantwortliche daher prüfen, ob über die Webseite des Hosters außer der technisch erforderlichen Erfassung der IP-Adresse weitere personenbezogene Daten erhoben werden. Das kann zum Beispiel ein Kontaktformular sein, das dem Interesse des Auftraggebers zuzurechnen ist.
Wird dies bejaht, sind die Anforderungen des Art. 28 DSGVO zu beachten.
Abgrenzung der Auftragsverarbeitung
Eine Auftragsverarbeitung liegt nur dann vor, wenn eine Stelle eine andere Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt.
In der Abgrenzung liegt dann keine Auftragsverarbeitung vor, wenn die Datenverarbeitung nicht im Vordergrund steht beziehungsweise wenn sie nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht.
Das BayLDA bringt für die Auftragsverarbeitung anschauliche Beispiele:
- DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren
- Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
- Auslagerung der Backup-Sicherheits-Speicherung und anderer Archivierungen
- Datenträger-Entsorgung durch Dienstleister
- Visabeschaffungs-Dienste, die hierfür vom Arbeitgeber die Beschäftigtendaten erhalten
Eine eigene Verantwortlichkeit des Dienstleisters und somit keine Auftragsverarbeitung nach Art. 4 Nr. 8 DSGVO nimmt das BayLDA an, wenn ein Verantwortlicher Fachleistungen bei einem eigenständig Verantwortlichen in Anspruch nimmt.
Das gilt etwa für
- Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
- Bankinstitute bei Geldtransfer,
- die Tätigkeit als WEG-Verwalter,
- Internet-Plattformbetreiber zur Vermittlung zwischen Anbietern und Nachfragern, die sich auf der Plattform treffen können, und
- die Übersendung von Schulungsteilnehmer-Daten, um eine Schulung durchzuführen, an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel.
Inhaltlich sollten Vereinbarungen, die solche Leistungen betreffen, laut BayLDA gegebenenfalls Zweckbindung und Vertraulichkeit der betroffenen Daten festlegen.
Das fordert das BayLDA auch in den Fällen, in denen der Auftrag auf eine andere Tätigkeit zielt und nicht auf die Verarbeitung personenbezogener Daten.
Hier nennt die Datenschutzaufsicht ebenfalls einige Beispiele:
- vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten
- Bewachungs-Dienstleistungen
- Reinigung von Berufskleidung mit Namenschildern
- Übersetzung von Texten in / aus Fremdsprachen
Neubetrachtung bei IT-Fehleranalyse?
Insbesondere die Frage, wie die IT-Fehleranalyse einzuordnen ist, wird noch zu Diskussionen anregen. Das gilt vor allem, wenn Verantwortliche externe Experten zur Fehleranalyse bei IT-Systemen hinziehen, der Auftrag auf Fehleranalyse und Fehlerbehebung zielt und sich dabei nicht verhindern lässt, dass der Auftragnehmer personenbezogene Daten wahrnimmt.
Im Kurzpapier Nr. 13 nimmt die Datenschutz-Konferenz bei der IT-Wartung oder Fernwartung im Hinblick auf eine weite Definition des Begriffs der Verarbeitung in Art. 4 Nr. 2 DSGVO eine Form der Auftragsverarbeitung an. Sie lässt auch die Fehleranalyse darunter fallen.
Sonderfall Steuerberatermandat
Die Fragestellung, inwieweit die Mandatierung eines Steuerberaters als Auftragsverarbeitung zu werten sei, wird immer wieder kontrovers diskutiert.
So hatte erst kürzlich die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalens die Lohn- und Gehaltsabrechnung durch den Steuerberater im Rahmen seiner Beratungsleistung als Auftragsverarbeitung klassifiziert.
Das BayLDA widmet diesem Thema ein eigenes Infoblatt. Darin berücksichtigt es die Merkmale der freien, weisungsfreien Berufsausübung, die in den gesetzlich fixierten Berufsregelungen festgelegt sind.
Dabei kommt es bei der Lohn- und Gehaltsabrechnung zu einem anderen Ergebnis als die Landesdatenschutzbeauftragte: Der Steuerberater erbringt auch diese im Rahmen seiner weisungsfreien Beratungstätigkeit. Es liegt keine AV durch ihn vor.
Hierzu ist eine bundesweit einheitliche Interpretation der Aufsichtsbehörden unter Berücksichtigung der gesetzlich geregelten berufsrechtlichen Vorgaben wünschenswert, bevor Berufsgeheimnisträger berufsrechtswidrigen Vereinbarungen eingehen.