Die Abgrenzung zwischen Auftragsverarbeitung, eigener Verantwortlichkeit und gemeinsamer Verantwortlichkeit ist eine der häufigsten Praxisfragen.
Auftragsverarbeitung (Art. 28 DSGVO)
Ein Auftragsverarbeiter verarbeitet Daten im Auftrag und auf Weisung des Verantwortlichen. Entscheidend: Der Auftragsverarbeiter entscheidet NICHT über Zwecke und Mittel der Verarbeitung. Typische Fälle: Cloud-Hosting, externe Lohn-/Gehaltsabrechnung, Newsletter-Versanddienst, IT-Wartung mit Datenzugriff, Lettershop, Callcenter, Datenträgerentsorgung.
Eigene Verantwortlichkeit
Keine Auftragsverarbeitung liegt vor, wenn der Dienstleister die Daten für eigene Zwecke verarbeitet oder wesentliche Entscheidungen über die Verarbeitung trifft. Keine Auftragsverarbeitung bei: Berufsgeheimnisägern (Steuerberater, Anwälte), Inkassounternehmen mit Forderungsübertragung, Banken, Postdienstleistern.
Konsequenz einer Fehleinordnung
Wird ein Verhältnis fälschlich als Auftragsverarbeitung eingestuft, obwohl eine eigene Verantwortlichkeit vorliegt, fehlt möglicherweise die Rechtsgrundlage für die Datenübermittlung. Umgekehrt: Ein Auftragsverarbeiter, der eigenmächtig Zwecke und Mittel bestimmt, wird zum Verantwortlichen (Art. 28 Abs. 10 DSGVO) - mit allen Pflichten und Bußgeldern.