Die ständig im Raum stehende Frage, ob ein Auftragsverarbeitungsvertrag benötigt wird, beschäftigt viele Unternehmen regelmäßig. Was auf den ersten Blick einfach scheint, kann in der Praxis jedoch recht komplex sein. Hier bietet die aktualisierte Abgrenzungshilfe durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Unterstützung. Diese Neufassung resultierte aus Erfordernissen zur präzisen Abgrenzung zwischen den verschiedenen Rollen in der Datenverarbeitung.
Verantwortlicher und Auftragsverarbeiter: Wer ist wer?
Die Datenschutz-Grundverordnung (DSGVO) unterscheidet klar zwischen Verantwortlichen und Auftragsverarbeitern. Verantwortliche sind diejenigen, die die Kontrolle über den Zweck und die Mittel der Datenverarbeitung haben. Auftragsverarbeiter hingegen führen Datenverarbeitung im Auftrag der Verantwortlichen durch und handeln nicht eigenständig. Die Herausforderung im Einzelfall besteht darin, diese Rollen exakt zu bestimmen, da die Definitionslinien oft fließend sind und rechtliche Abgrenzungen erfordern.
Neue Ansätze in der Abgrenzungshilfe
Die überarbeitete Version der Abgrenzungshilfe verfolgt einen allgemeinen Ansatz, der weniger auf spezifische Dienstleistungen zielt, sondern auf eine genauere Erklärung der Kriterien zur Rollenbestimmung gemäß der DSGVO. Dadurch sollen Unternehmen besser in die Lage versetzt werden, ihre Partnerbeziehungen rechtssicher einzuordnen. An bedeutender Stelle steht dabei die Orientierung an den Leitlinien des Europäischen Datenschutzausschusses (EDSA).
Wann liegt eine Auftragsverarbeitung vor?
Nicht jede Dienstleistung ist als Auftragsverarbeitung zu werten. Das BayLDA hebt hervor, dass eine Auftragsverarbeitung typischerweise vorliegt, wenn die Dienstleistung explizit auf die Verarbeitung personenbezogener Daten abzielt oder die Verarbeitung ein zentrales Element der Dienstleistung darstellt. Beispiele sind das Hosting von Daten oder Cloud-Dienstleistungen, die im Kundenauftrag verwaltet werden. Auch bei Dienstleistungen, die Zugang zu Daten verlangen, ohne dass die Verarbeitung im Vordergrund steht, wie beim IT-Support, kann ein Auftragsverhältnis vorliegen.
Die jüngste Fassung der Abgrenzungshilfe schafft Klarheit über Verantwortlichkeiten im Datenschutz und liefert eine nützliche Grundlage zur Überprüfung und Anpassung Ihrer Unternehmenspraktiken. Nutzen Sie diese Gelegenheit, um Ihre Prozesse auf datenschutzrechtliche Konformität zu überprüfen und sicherzustellen, dass Ihre Verträge den Anforderungen der DSGVO entsprechen.
