Warum muss ich wissen, ob ich Auftragsverarbeiter oder Verantwortlicher bin?
Je nachdem, welche Rolle du bei der Verarbeitung von personenbezogenen Daten einnimmst, hast du unterschiedliche Anforderungen an Vertrags- und Dokumentationspflichten. Idealerweise startest du bei deiner Datenschutzreise mit dem Verzeichnis für Verarbeitungstätigkeiten (VVT) und definierst hier, in welche Rolle du bei welcher Tätigkeit schlüpfst. Wenn du das VVT mit einem Tool wie Metasoul erstellst, hast du bereits den Grundstein gelegt, um die richtigen Pflichten der jeweiligen Rolle zu berücksichtigen.
Wie weiß ich, wann ich ein Auftragsverarbeiter oder ein für die Verarbeitung Verantwortlicher bin?
Wie bereits erwähnt kannst du entweder der für die Verarbeitung von personenbezogenen Daten Verantwortliche oder ein Auftragsverarbeiter sein.
Du bist der Verantwortliche, wenn du die volle Kontrolle hast, welche Daten du für welchen Zweck erhebst und wie diese Daten verwendet werden. Als Beispiel kann das ein kleines lokales Restaurant sein, welches eine Website betreibt, auf der Kunden Tische reservieren können. Das Restaurant entscheidet, welche personenbezogenen Daten (wie Name, Telefonnummer, E-Mail-Adresse) von den Kunden gesammelt werden und wie diese Daten verwendet werden, um Reservierungen zu bearbeiten und eventuell Werbung für zukünftige Angebote zu senden. Wenn du Verantwortlicher bist, arbeitest du meistens mit anderen Dienstleistern oder Anbietern zusammen, welche dir bei der Verarbeitung von Daten helfen. Das kann der Microsoft sein, weil du Outlook für die Kundenkommunikation nutzt oder der Hosting-Anbieter auf dem deine Webseite läuft. Diese Dienstleister oder Tool-Anbieter sind deine Auftragsverarbeiter. Du solltest zu jedem Prozess im VVT, wo du Verantwortlicher bist, wissen, wer deine Auftragsverarbeiter sind.
Du bist Auftragsverarbeiter, wenn dir ein anderes Unternehmen Daten von dessen Kunden oder Mitarbeitern mit einem klaren Auftrag, was du damit machen sollst, überlässt. Du hast keine Entscheidungsfreiheit, was du mit den Daten machst. Das kann zum Beispiel ein IT-Dienstleister sein, der von dem Restaurant beauftragt wurde, die Website zu betreiben und zu warten. Der IT-Dienstleister hat Zugang zu den personenbezogenen Daten der Kunden, die auf der Website gesammelt werden, aber er darf diese Daten nur so verarbeiten, wie es das Restaurant vorgibt, und nicht für eigene Zwecke verwenden. Wenn du Auftragsverarbeiter bist, heißt das, dass du Kunden hast, für welche du eine Dienstleistung erbringst. Du wirst vermutlich auch selbst Auftragsverarbeiter haben, welche dich bei der Leistungserbringung gegenüber deines Kunden unterstützen. Aus Sicht deines Kunden sind dies Sub-Verarbeiter. Du solltest zu jedem Prozess im VVT, wo du Auftragsverarbeiter bist, wissen, wer deine Kunden und diene Sub-Verarbeiter für den jeweiligen Prozess sind.
Wenn du ein Tool wie Metasoul nutzt, wirst du nach der Entscheidung, ob du Verantwortlicher oder Auftragsverarbeiter bist, gefragt, wer deine Auftragsverarbeiter respektive deine Kunden und die dazugehörenden Sub-Verarbeiter sind.
Eigentlich ganz einfach, oder? Es gibt noch eine dritte, eher seltene Rolle, die wir bislang nicht erwähnt haben: den Mitverantwortlichen (auf Englisch „Joint Controller“). Hier arbeitest du mit anderen Unternehmen zusammen und entscheidest gemeinsam mit den anderen, welche Daten du für welchen Zweck erhebst und wie diese Daten verwendet werden bzw. muss vereinbart werden, wer welche Datenschutzverantwortungen übernehmen muss. Das können zum Beispiel zwei unabhängige Einzelhandelsgeschäfte in derselben Stadt sein, welche sich entscheiden, eine gemeinsame Kundenkarte anzubieten, die in beiden Geschäften verwendet werden kann. Beide Geschäfte entscheiden gemeinsam, welche Daten von den Kunden gesammelt und wie diese Daten verwendet werden, um Rabatte zu gewähren und Werbung für beide Geschäfte zu senden. Sie müssen sich darauf einigen, wer welche Aufgaben übernimmt, und sie sind beide verantwortlich dafür, dass die Datenverarbeitung den Datenschutzgesetzen entspricht.
Fazit
Für die richtige Erstellung von datenschutzrelevanten Verträgen, aber auch zur richtigen Dokumentation im Verzeichnis für Verarbeitungstätigkeiten ist es wichtig zu wissen, wann man als für die Verarbeitung Verantwortlicher auftritt oder ein Auftragsverarbeiter ist. Während ein Verantwortlicher bestimmt, welche Daten zu welchem Zweck erhoben und verarbeitet werden, wird dem Auftragsverarbeiter vorgegeben, wie er welche Daten zu verarbeiten hat. Neben den beiden erwähnten Rollen existiert noch die Rolle des für die Verarbeitung „Mitverantwortlichen“.