Auftragsverarbeitung, Art. 28 DS-GVO Abgrenzungsfragen zwischen Auftragsverarbeitung, eigener Verantwortlichkeit und gemeinsamer Verantwortlichkeit Verantwortlicher ist nach der Definition in Art. 4 Nr. 7 DS-GVO, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von pb. Daten entscheidet. Auftragsverarbeiter ist nach der Definition in Art. 4 Nr. 8 DS-GVO, wer pb. Daten im Auftrag des Verantwortlichen verarbeitet. Gemeinsam verantwortlich sind nach Art. 26 Abs. 1 Satz 1 DS-GVO Stellen, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.

Auftragsverarbeitung, Art. 28 DS-GVO Abgrenzungsfragen zwischen Auftragsverarbeitung, eigener Verantwortlichkeit und gemeinsamer Verantwortlichkeit Im Moment gibt es unter den Aufsichtsbehörden und im Schrifttum viele Diskussionen über die zutreffende Abgrenzung von Sachverhalten von Auftragsverarbeitung, eigener Verantwortlichkeit und gemeinsamer Verantwortlichkeit. Eine gewisse EU-weite Orientierung kann das bisherige WP 169, http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_de.pdf , bieten. Im übrigen stehen die DSK-KP zur Auftragsverarbeitung (Nr. 13, https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf ) und zur gemeinsamen Verantwortlichkeit (Nr. 16, https://www.lda.bayern.de/media/dsk_kpnr_16_gemeinsam_verantwortliche.pdf ) zur Verfügung.

Auftragsverarbeitung, Art. 28 DS-GVO Abgrenzungsfragen zwischen Auftragsverarbeitung, eigener Verantwortlichkeit und gemeinsamer Verantwortlichkeit Die deutschen Aufsichtsbehörden beurteilen im Moment folgende Sachverhalte als Auftragsverarbeitung im Sinne der Definition von Art. 4 Nr. 8 DS-GVO, siehe DSK-KP Nr. 13, Anhang A:  DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,  Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist,  Werbeadressenverarbeitung in einem Lettershop,  Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort,  Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen),  Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,

Auftragsverarbeitung, Art. 28 DS-GVO Abgrenzungsfragen zwischen Auftragsverarbeitung, eigener Verantwortlichkeit und gemeinsamer Verantwortlichkeit Fortsetzung der Sachverhalte von Auftragsverarbeitung:  Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen,  Datenträgerentsorgung durch Dienstleister,  Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.  Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt)

Auftragsverarbeitung, Art. 28 DS-GVO Abgrenzungsfragen zwischen Auftragsverarbeitung, eigener Verantwortlichkeit und gemeinsamer Verantwortlichkeit Darüber hinaus sind aus unserer Sicht (BayLDA) Auftragsverarbeiter im Sinne der Definition von Art. 4 Nr. 8 DS-GVO: -Apothekenrechenzentren nach § 300 SGB V; -ärztliche/zahnärztliche Verrechnungsstellen ohne Forderungsverkauf; -Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben; -externe Personen, Dienstleister, usw., die im Auftrag Messwerte in Mietwohnungen (Heizung, Strom, Wasser etc.) ablesen und/oder erfassen bzw. verarbeiten;

Auftragsverarbeitung, Art. 28 DS-GVO Abgrenzungsfragen zwischen Auftragsverarbeitung, eigener Verantwortlichkeit und gemeinsamer Verantwortlichkeit Die deutschen Aufsichtsbehörden beurteilen im Moment folgende Sachverhalte nicht als Auftragsverarbeitung im Sinne der Definition von Art. 4 Nr. 8 DS-GVO, sondern als eigenständig verantwortliche Verarbeitung nach Art. 4 Nr. 7 DS-GVO (DSK-KP Nr. 13: „Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen“): Aus DSK-KP Nr. 13, Anhang B: -Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer), -Inkassobüros mit Forderungsübertragung, -Bankinstitute für den Geldtransfer, -Postdienste für den Brief- oder Pakettransport

Auftragsverarbeitung, Art. 28 DS-GVO Abgrenzungsfragen zwischen Auftragsverarbeitung, eigener Verantwortlichkeit und gemeinsamer Verantwortlichkeit Darüber hinaus sind aus unserer Sicht (BayLDA) keine Auftragsverarbeiter (da dort eigenverantwortliche oder im Kern keine beauftragte Verarbeitung pb. Daten): Eigenverantwortliche Verarbeitungen - 1 - : -Tätigkeit als WEG-Verwalter; -Detektive bei ihrer Observierungs-/Überwachungs-/Ausforschungstätigkeit; -Fleurop oder Weinhändler, denen man eine Liste mit Name und Anschrift zur Versendung der Blumen bzw. Weinflaschen übergibt; -Insolvenzverwalter; -Personalvermittlung nach Auftrag von Stellensuchenden (siehe dazu auch Beispiel 6 im WP 169); -von Reisebüros aufgrund Kundenvertrags vermittelte Leistungsanbieter, wie Hotels, Mietwagenfirmen, Fluggesellschaften, Busunternehmen, Versicherungen usw. (siehe dazu auch Beispiel 8 im WP 169);

Auftragsverarbeitung, Art. 28 DS-GVO Abgrenzungsfragen zwischen Auftragsverarbeitung, eigener Verantwortlichkeit und gemeinsamer Verantwortlichkeit Eigenverantwortliche Verarbeitungen - 2 - : -Internet-Plattformbetreiber zur Vermittlung zwischen Anbietern und Nachfragern; -TKG-Dienstleistungen, es sei denn, darüber hinausgehende Zusatzdienste wie Auslagerung einer betrieblichen Telefonanlage oder Cloudspeicherlösungen usw. (siehe dazu auch Beispiel 1 im WP 169): -Versicherungs-/Finanzmakler, -vermittler im Rahmen des Kundenvertrags; -Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel; -Fertigung individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten/Kunden im Auftrag von Apotheken, Sanitätshäusern usw.; -Zahlungsdienstleister für elektronische Zahlungen (Transport von Zahlungsdaten, Geldwäsche- und Betrugsprüfung nach den Mindestanforderungen der BaFin); Je nach Sachverhalt sind vom Verantwortlichen ggfls. Zweckbindung und Vertraulichkeit zu den dabei berührten personenbezogenen Daten festzulegen.

Auftragsverarbeitung, Art. 28 DS-GVO Abgrenzungsfragen zwischen Auftragsverarbeitung, eigener Verantwortlichkeit und gemeinsamer Verantwortlichkeit Aus unserer Sicht im Kern keine beauftragte Verarbeitung pb. Daten , sondern der Auftrag zielt auf eine andere Tätigkeit: -vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten; -Sachverständige zur Begutachtung eines Kfz-Schadens; -Personenbeförderung, Krankentransportleistungen; -Bewachungsdienstleistungen; -Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen; -Reinigung von Berufskleidung mit Namensschildern; -Druck von Prospekten, Katalogen, mit Bildern von Beschäftigten oder Fotomodellen; -Transport von ausreichend geschreddertem Papiermaterial; -Transport von Unterlagen und Waren durch Kurierdienste, Speditionen. Je nach Sachverhalt sind vom Verantwortlichen ggfls. Zweckbindung und Vertraulichkeit zu den dabei berührten personenbezogenen Daten festzulegen.

Wartung/Fernwartung nach der DS-GVO, Erläuterungen Auftragsverarbeitung, Art. 28 DS-GVO Wartung/Fernwartung nach der DS-GVO, Erläuterungen Das DSK-Kurzpapier Nr. 13 führt dazu aus: „Wartung und Fernzugriffe Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen. Anders ist dies bei einer rein technischen Wartung der Infrastruktur einer IT durch Dienstleister (z. B. Arbeiten an Stromzufuhr, Kühlung, Heizung), die nicht zu einer Qualifikation des Dienst-leisters als Auftragsverarbeiter und einer Anwendung von Art. 28 DS-GVO führen.

Bayerisches Landesamt für Datenschutzaufsicht Auftragsverarbeitung, Art. 28 DS-GVO Manfred Ilgenfritz Referatsleiter Bayerisches Landesamt für Datenschutzaufsicht manfred.ilgenfritz@lda.bayern.de