Sind Distributoren Auftragsverarbeiter?

Eine Stelle gilt als Auftragsverarbeiter gemäß der Datenschutz-Grundverordnung (DSGVO), wenn sie personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Die wichtigsten Merkmale sind: 1. **Verarbeitung im Auftrag**: Der Auftragsverarbeiter handelt nur auf Weisung des Verantwortlichen und nicht in eigenem Interesse. 2. **Verarbeitung personenbezogener Daten**: Die Stelle muss Daten verarbeiten, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. 3. **Vertragliche Regelung**: Es muss ein schriftlicher Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter bestehen, der die Bedingungen der Datenverarbeitung festlegt. Auftragsverarbeiter können Unternehmen oder Einzelpersonen sein, die Dienstleistungen anbieten, die eine Datenverarbeitung erfordern, wie z.B. Cloud-Dienste, IT-Dienstleister oder Marketingagenturen.

Hier sind einige einfache Ja/Nein-Fragen zum DSGVO-Datenlebenszyklus: 1. Werden personenbezogene Daten erhoben? 2. Werden die betroffenen Personen über die Datenerhebung informiert? 3. Gibt es eine Einwilligung zur Datenverarbeitung? 4. Werden die Daten sicher gespeichert? 5. Werden die Daten regelmäßig aktualisiert? 6. Haben die betroffenen Personen Zugriff auf ihre Daten? 7. Können die Daten auf Anfrage gelöscht werden? 8. Werden die Daten an Dritte weitergegeben? 9. Gibt es eine Dokumentation der Datenverarbeitung? 10. Werden die Daten nach Ablauf der Aufbewahrungsfrist gelöscht?

Der besondere Schutz von Gesundheitsdaten ist in der Datenschutz-Grundverordnung (DSGVO) in **Artikel 9** geregelt. Dort werden „besondere Kategorien personenbezogener Daten“ aufgeführt, zu denen auch Gesundheitsdaten gehören. **Artikel 9 Absatz 1 DSGVO** lautet: > Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, **Gesundheitsdaten** oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. **Gesundheitsdaten** werden in **Erwägungsgrund 35** und in **Artikel 4 Nr. 15 DSGVO** näher definiert. Weitere Informationen findest du direkt im Gesetzestext: [DSGVO – Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e1882-1-1)

Nach der Datenschutz-Grundverordnung (DSGVO) kann ein immaterieller Schaden grundsätzlich ersatzfähig sein. Artikel 82 DSGVO sieht vor, dass jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz hat. Der Begriff des „immateriellen Schadens“ ist in der DSGVO nicht abschließend definiert. Der sogenannte „Kontrollverlust“ über personenbezogene Daten wird in der juristischen Diskussion und Rechtsprechung häufig als möglicher immaterieller Schaden angesehen. Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 4. Mai 2023 (C-300/21) klargestellt, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, sofern die betroffene Person tatsächlich einen Nachteil erlitten hat. Allerdings reicht allein der Verstoß gegen die DSGVO nicht aus; es muss ein konkreter Schaden (z. B. ein erlebter Kontrollverlust mit nachweisbaren negativen Folgen) vorliegen. Die Gerichte prüfen im Einzelfall, ob und in welchem Umfang ein solcher Schaden tatsächlich entstanden ist. Zusammengefasst: Ja, Kontrollverlust kann als immaterieller Schaden nach DSGVO ersatzfähig sein, wenn er zu einem tatsächlichen Nachteil für die betroffene Person geführt hat. Die genaue Bewertung erfolgt jedoch immer im Einzelfall durch die Gerichte. Weitere Informationen: - [Artikel 82 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [EuGH, Urteil vom 4. Mai 2023, C-300/21](https://curia.europa.eu/juris/document/document.jsf?docid=261932&doclang=DE)

Um festzustellen, ob ein neuer Vendor (Dienstleister, Lieferant) als Auftragsverarbeiter im Sinne der DSGVO (Datenschutz-Grundverordnung) agiert, sollte die Abteilung gezielte Fragen stellen, die klären, ob und wie der Vendor personenbezogene Daten im Auftrag des Unternehmens verarbeitet. Wichtige Fragen sind: 1. **Werden personenbezogene Daten im Rahmen der Dienstleistung verarbeitet?** (z. B. Kundendaten, Mitarbeiterdaten, Nutzerdaten) 2. **Verarbeitet der Vendor die Daten ausschließlich im Auftrag und nach Weisung des Unternehmens?** (Oder entscheidet der Vendor selbst über Zwecke und Mittel der Verarbeitung?) 3. **Welche Art von personenbezogenen Daten werden verarbeitet?** (z. B. Name, Adresse, Kontaktdaten, besondere Kategorien wie Gesundheitsdaten) 4. **Zu welchen Zwecken werden die Daten verarbeitet?** (z. B. Hosting, Support, Marketing, Lohnabrechnung) 5. **Hat der Vendor Zugriff auf die Daten oder werden diese nur durchgeleitet?** (z. B. Speicherung, Bearbeitung, Löschung) 6. **Findet die Verarbeitung der Daten ausschließlich im Rahmen der vertraglich vereinbarten Leistungen statt?** 7. **Werden die Daten an Dritte weitergegeben oder Subunternehmer eingesetzt?** (Wenn ja: Wer sind diese und wo sitzen sie?) 8. **Wer trägt die Verantwortung für die Einhaltung der Datenschutzvorschriften bei der Verarbeitung?** (Vendor oder das Unternehmen?) 9. **Findet eine Übermittlung der Daten in Drittländer außerhalb der EU/des EWR statt?** (Wenn ja: Welche Schutzmaßnahmen bestehen?) 10. **Besteht bereits eine Vereinbarung zur Auftragsverarbeitung (AVV) oder ist der Vendor bereit, eine solche abzuschließen?** Mit diesen Fragen kann die Abteilung einschätzen, ob der Vendor als Auftragsverarbeiter im Sinne von Art. 28 DSGVO einzustufen ist und ob entsprechende vertragliche und organisatorische Maßnahmen erforderlich sind.

Nach Artikel 7 der DSGVO (Datenschutz-Grundverordnung) hat eine betroffene Person nach Abgabe ihrer Einwilligung insbesondere folgende Rechte: 1. **Widerrufsrecht**: Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der Verarbeitung, die aufgrund der Einwilligung bis zum Widerruf erfolgt ist (Artikel 7 Absatz 3 DSGVO). 2. **Information über das Widerrufsrecht**: Die betroffene Person muss vor Abgabe der Einwilligung darüber informiert werden, dass sie das Recht hat, die Einwilligung jederzeit zu widerrufen (Artikel 7 Absatz 3 Satz 2 DSGVO). 3. **Freiwilligkeit der Einwilligung**: Die Einwilligung muss freiwillig erfolgen. Die Erbringung einer Dienstleistung darf grundsätzlich nicht von einer Einwilligung abhängig gemacht werden, wenn die Einwilligung für die Erbringung der Dienstleistung nicht erforderlich ist (Artikel 7 Absatz 4 DSGVO). Weitere Informationen findest du direkt im Gesetzestext: [Artikel 7 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2207-1-1)

Ob Affiliated Agency, Data Partner, Media Platform, Media Vendor oder Tech Partner als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gelten, hängt von ihrer konkreten Rolle und den vertraglichen sowie tatsächlichen Gegebenheiten ab. Die Begriffe selbst sind keine datenschutzrechtlichen Kategorien, sondern beschreiben Geschäftsbeziehungen oder Funktionen im digitalen Marketing und der Werbebranche. **Definition Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO):** Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. **Erläuterung zu den genannten Begriffen:** - **Affiliated Agency:** Eine Agentur, die im Auftrag eines Kunden handelt, kann Auftragsverarbeiter sein, wenn sie personenbezogene Daten ausschließlich nach Weisung des Kunden verarbeitet. Agiert sie jedoch eigenverantwortlich (z.B. als Co-Verantwortlicher), ist sie kein reiner Auftragsverarbeiter. - **Data Partner:** Ein Datenpartner kann Auftragsverarbeiter sein, wenn er Daten nur im Auftrag und nach Weisung verarbeitet. Nutzt er die Daten aber auch für eigene Zwecke, ist er (Mit-)Verantwortlicher. - **Media Platform / Media Vendor:** Plattformen oder Anbieter, die Werbeflächen bereitstellen, sind meist eigenständige Verantwortliche, da sie über die Zwecke und Mittel der Datenverarbeitung selbst entscheiden. In Einzelfällen können sie aber auch als Auftragsverarbeiter agieren, etwa wenn sie ausschließlich im Auftrag handeln. - **Tech Partner:** Technologiedienstleister (z.B. für Tracking, Analyse) sind häufig Auftragsverarbeiter, wenn sie Daten nur im Auftrag und nach Weisung des Kunden verarbeiten. Entwickeln sie aber eigene Produkte oder nutzen Daten für eigene Zwecke, sind sie (Mit-)Verantwortliche. **Fazit:** Ob eine der genannten Parteien als Auftragsverarbeiter gilt, ist keine Frage des Namens, sondern der tatsächlichen Datenverarbeitung und der vertraglichen Ausgestaltung. Entscheidend ist, ob die Partei ausschließlich im Auftrag und nach Weisung eines Verantwortlichen handelt (dann Auftragsverarbeiter) oder eigene Zwecke verfolgt (dann Verantwortlicher oder gemeinsam Verantwortlicher). **Weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit (BfDI)](https://www.bfdi.bund.de/DE/Infothek/Schlagworte/A/Auftragsverarbeitung/auftragsverarbeitung.html) Eine genaue Einordnung ist immer im Einzelfall vorzunehmen.

**Datenschutzhinweis gemäß Art. 14 DSGVO für postalische Werbung bei gekauften Adressen** Sehr geehrte Damen und Herren, im Rahmen unserer Werbemaßnahmen haben wir Ihre Adressdaten (Name, Anschrift) von einem Adressanbieter erworben. Nach Art. 14 der Datenschutz-Grundverordnung (DSGVO) sind wir verpflichtet, Sie über die Verarbeitung Ihrer personenbezogenen Daten zu informieren: **1. Verantwortlicher für die Datenverarbeitung** [Name des Unternehmens] [Adresse] [Telefonnummer] [E-Mail-Adresse] [ggf. Kontaktdaten des Datenschutzbeauftragten] **2. Zwecke und Rechtsgrundlage der Datenverarbeitung** Ihre Daten werden ausschließlich zum Zweck der postalischen Zusendung von Werbung verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Direktwerbung). **3. Herkunft der Daten** Ihre Adressdaten wurden von folgendem Adressanbieter erworben: [Name und Kontaktdaten des Adressanbieters] **4. Kategorien personenbezogener Daten** Verarbeitet werden folgende Datenkategorien: Name, Anschrift. **5. Empfänger der Daten** Ihre Daten werden nicht an Dritte weitergegeben, es sei denn, dies ist zur Durchführung der postalischen Werbung erforderlich (z.B. Druckereien, Versanddienstleister). **6. Speicherdauer** Ihre Daten werden für Werbezwecke gespeichert, solange ein berechtigtes Interesse besteht oder Sie der Nutzung widersprechen. **7. Ihre Rechte** Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit. Sie können der Verwendung Ihrer Daten für Werbezwecke jederzeit widersprechen. **8. Beschwerderecht** Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. **9. Kontakt** Für Fragen oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an: [Kontaktdaten wie oben] Weitere Informationen zum Datenschutz finden Sie unter: [Link zur Datenschutzerklärung] --- Hinweis: Bitte die eckigen Platzhalter durch die konkreten Angaben deines Unternehmens ersetzen.

Nach Art. 14 DSGVO (Datenschutz-Grundverordnung) muss die betroffene Person informiert werden, wenn personenbezogene Daten nicht direkt bei ihr erhoben werden. Zu den erforderlichen Informationen gehört nach Art. 14 Abs. 2 lit. f DSGVO: > „aus welcher Quelle die personenbezogenen Daten stammen und ggf., ob sie aus öffentlich zugänglichen Quellen stammen.“ Die DSGVO schreibt nicht ausdrücklich vor, dass der Name der Quelle genannt werden muss. Allerdings wird in Erwägungsgrund 61 der DSGVO ausgeführt, dass die betroffene Person „über die Quelle der personenbezogenen Daten und gegebenenfalls darüber, ob sie aus öffentlich zugänglichen Quellen stammen, informiert werden“ sollte. Die Datenschutzaufsichtsbehörden (z. B. [Bayerisches Landesamt für Datenschutzaufsicht](https://www.lda.bayern.de/media/dsgvo_art_14.pdf), [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_06_auslegung_hinweispflichten.pdf)) vertreten die Auffassung, dass grundsätzlich der konkrete Name der Quelle zu nennen ist, also z. B. „Firma XY GmbH“ und nicht nur die Kategorie wie „Adresshändler“. Nur in Ausnahmefällen, wenn dies unmöglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde, kann auf die Kategorie der Quelle verwiesen werden (Art. 14 Abs. 5 lit. b DSGVO). **Fazit:** In der Regel muss der Name der Quelle genannt werden. Die Angabe der Kategorie („Adresshändler“) reicht nur aus, wenn die Nennung des Namens unmöglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde.

Ob ein Verantwortlicher (im Sinne der DSGVO: die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet) direkt gegen einen Unterauftragnehmer (Subunternehmer des Auftragsverarbeiters) vorgehen kann, hängt von den vertraglichen und rechtlichen Rahmenbedingungen ab. Nach der Datenschutz-Grundverordnung (DSGVO) besteht das direkte Vertragsverhältnis in der Regel zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Der Auftragsverarbeiter darf Unterauftragnehmer (Subunternehmer) nur mit vorheriger spezifischer oder allgemeiner Genehmigung des Verantwortlichen einsetzen (Art. 28 Abs. 2 und 4 DSGVO). Der Auftragsverarbeiter muss mit dem Unterauftragnehmer einen Vertrag abschließen, der im Wesentlichen die gleichen Datenschutzpflichten enthält wie der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter. Direkte Ansprüche oder ein direktes Vorgehen des Verantwortlichen gegen den Unterauftragnehmer sind in der DSGVO nicht ausdrücklich vorgesehen. Der Verantwortliche hat in der Regel keine direkte vertragliche Beziehung zum Unterauftragnehmer, sondern nur zum Auftragsverarbeiter. Im Falle eines Datenschutzverstoßes muss sich der Verantwortliche daher in der Regel zunächst an den Auftragsverarbeiter wenden, der wiederum gegenüber seinem Unterauftragnehmer regressieren kann. Eine Ausnahme kann bestehen, wenn der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter ausdrücklich ein solches Direktanspruchsrecht vorsieht oder wenn der Unterauftragnehmer sich ausdrücklich gegenüber dem Verantwortlichen verpflichtet hat (z.B. durch einen sogenannten Vertrag zugunsten Dritter). Zusammengefasst: - Grundsätzlich kann der Verantwortliche nicht direkt gegen den Unterauftragnehmer vorgehen. - Ein direktes Vorgehen ist nur möglich, wenn dies ausdrücklich vertraglich vereinbart wurde. Weitere Informationen zur DSGVO und den Rollen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder auf der [Seite der Europäischen Kommission](https://ec.europa.eu/info/law/law-topic/data-protection_de).