Auftragsverarbeitung

Bei welchen Unternehmen, die ich für die Abwicklung eines Design-Auftrags hinzuziehe, muss ich einen Auftragsverarbeitungsvertrag vorweisen können?

RA Fabian Braches: Ein Vertrag zur Auftragsverarbeitung ist immer dann erforderlich, wenn eine natürliche oder juristische Person (zum Beispiel GmbH, KG, AG) Behörde, Einrichtung oder anderer Stelle personenbezogene Daten im Auftrag eines Verantwortlichenverarbeitet. Das bedeutet, der Verantwortliche gibt personenbezogene Daten an jemanden außerhalb seines Unternehmens oder er ermöglicht den Einblick auf die eigenen Daten (z.B. Wartung von IT-Systemen). Soweit die Auftragsverarbeiter weisungsgebunden mit personenbezogenen Daten des Auftraggebers umgehen, sind Auftragsverarbeiter in der Regel z.B.:

  • personenbezogene Datenverarbeitung im Rahmen von Cloud-Computing
  • Kontaktdatenerhebung durch ein CallCenter
  • „Mitarbeit“ durch Kooperationspartner/Freelancer
  • Werbeadressenverarbeitung in einem Lettershop
  • Die Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten, Datenträgerentsorgung, Backup-Lösungen und Archivierungen

Gilt das auch für Internet-Dienstleister wie PayPal oder cloudbasierte Software wie die Adobe-Cloud?

RA Cornelius Matutis: PayPal oder sonstige Zahlungsdienstleister erhalten von mir nicht Daten der Kunden meiner Kunden, sondern lediglich die Daten meiner Kunden. Diese werden dort wiederum nicht zur weitern Verarbeitung weitergeleitet, sondern zur reinen Abwicklung der Zahlung. Indem der Kunde hier die Zahlung via PayPal gewählt hat, liegt auch eine entsprechende Einwilligung vor bzw. der Kunde hat die Daten selbst an PayPal geleitet, so dass hier keine Auftragsdatenverarbeitung vorliegt.

Anders ist dies bei einem Cloudanbieter. Dieser hat nur mit mir einen Vertrag und sobald ich in die Cloud Daten meiner Kunden sende, erhält dieser Daten ohne, dass der Kunde selbst mit diesem eine Vereinbarung getroffen hätte. Wenn also personenbezogene Daten meiner Kunden oder gar der Kunden des Kunden von mir in die Cloud gesandt werden, muss ich vorher einen Vertrag zur Auftragsdatenverarbeitung mit dem Cloudbetreiber abgeschlossen haben.