Welche Informationen unterscheiden einen Unterauftragsverarbeiter von einem Subunternehmen?

Question

Welche Informationen unterscheiden einen Unterauftragsverarbeiter von einem Subunternehmen?

Antwort

Verwandte Fragen

Reicht die Formulierung 'Projektmanagement, Kollaboration und Dokumentationsspeicherung' zur Genehmigung von Unterauftragsverarbeitern aus?

Reicht die Formulierung 'Verarbeitung personenbezogener Daten gem. Gegenstand des Basisdienstleistungsvertrages' zur Genehmigung von Unterauftragsverarbeitern aus?

Accepted Answer

Um einen Unterauftragsverarbeiter (auch Subunternehmer im Sinne der DSGVO) von einem sonstigen Subunternehmen zu unterscheiden, sind folgende Informationen entscheidend: 1. **Art der Tätigkeit**: Ein Unterauftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen (oder eines Auftragsverarbeiters) gemäß Art. 28 DSGVO. Ein sonstiges Subunternehmen erbringt Leistungen, die nicht mit der Verarbeitung personenbezogener Daten im Auftrag zusammenhängen (z. B. Gebäudereinigung, Wartung ohne Zugriff auf Daten). 2. **Zugriff auf personenbezogene Daten**: Der Unterauftragsverarbeiter erhält Zugang zu personenbezogenen Daten, um diese im Rahmen des Hauptauftrags zu verarbeiten. Ein sonstiges Subunternehmen hat entweder keinen Zugriff auf personenbezogene Daten oder verarbeitet diese nicht im Auftrag des Verantwortlichen. 3. **Vertragliche Einbindung**: Für Unterauftragsverarbeiter ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO zwingend erforderlich. Für sonstige Subunternehmen gelten allgemeine zivilrechtliche Verträge, aber keine speziellen datenschutzrechtlichen Anforderungen. 4. **Weisungsgebundenheit**: Unterauftragsverarbeiter handeln ausschließlich auf Weisung des Verantwortlichen oder des Hauptauftragsverarbeiters. Sonstige Subunternehmen handeln eigenverantwortlich im Rahmen ihres Auftrags. **Zusammengefasst:** Entscheidend ist, ob das Subunternehmen im Auftrag personenbezogene Daten verarbeitet (dann Unterauftragsverarbeiter) oder ob es Leistungen erbringt, die keinen Bezug zur Datenverarbeitung im Auftrag haben (dann sonstiges Subunternehmen). Weitere Informationen zur Abgrenzung findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf) (DSK) und im [Leitfaden der BayLDA](https://www.lda.bayern.de/media/baylda_dsfa_leitfaden.pdf).

Accepted Answer

Die Formulierung „Projektmanagement und Kollaboration und Dokumentationsspeicherung“ ist im Kontext der Genehmigung von Unterauftragsverarbeitern (z. B. im Rahmen eines Auftragsverarbeitun... [mehr]

Accepted Answer

Die Formulierung „Projektmanagement und Kollaboration und Dokumentationsspeicherung“ ist im Kontext der Genehmigung von Unterauftragsverarbeitern (z. B. im Rahmen eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO) **nicht optimal** und in der Regel **nicht ausreichend präzise**. **Begründung:** - Die DSGVO verlangt, dass der Verantwortliche über die Art und den Umfang der Verarbeitung durch Unteraufnehmer informiert wird. - Die Beschreibung der Verarbeitungstätigkeiten muss so konkret sein, dass der Verantwortliche beurteilen kann, ob die Datenverarbeitung durch den Unterauftragsverarbeiter im Rahmen des Hauptvertrags erfolgt. - Allgemeine Begriffe wie „Projektmanagement“, „Kollaboration“ und „Dokumentationsspeicherung“ sind sehr weit gefasst und lassen viele Interpretationsspielräume offen. **Empfehlung:** - Die Beschreibung sollte spezifischer sein, z. B.: - „Bereitstellung einer Cloud-basierten Projektmanagement-Software zur Aufgabenverwaltung und Zusammenarbeit von Projektbeteiligten, einschließlich Speicherung und Verwaltung von Projektdokumenten.“ - Es sollte klar werden, welche Datenarten betroffen sind, zu welchem Zweck sie verarbeitet werden und welche Funktionen der Unterauftragsverarbeiter konkret übernimmt. **Fazit:** Die Formulierung ist zu allgemein. Es empfiehlt sich, die Tätigkeiten des Unterauftragsverarbeiters genauer und verständlicher zu beschreiben, um den Anforderungen der DSGVO zu genügen. Weitere Informationen zur Auftragsverarbeitung findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_hinweise_auftragsverarbeitung.pdf) oder beim [BayLDA](https://www.lda.bayern.de/de/thema_auftragsverarbeitung.html).

Accepted Answer

Nein, die Angabe "Verarbeitung personenbezogener Daten gem. Gegenstand des Basisdienstleistungsvertrages" reicht in der Regel nicht aus, um den Anforderungen der Datenschutz-Grundverordnung... [mehr]

Accepted Answer

Nein, die Angabe "Verarbeitung personenbezogener Daten gem. Gegenstand des Basisdienstleistungsvertrages" reicht in der Regel nicht aus, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) an die Genehmigung von Unterauftragsverarbeitern (Subunternehmern) zu genügen. **Begründung:** Nach Art. 28 Abs. 2 und 4 DSGVO muss der Verantwortliche dem Einsatz von Unterauftragsverarbeitern ausdrücklich zustimmen. Die Genehmigung muss sich dabei auf konkrete Unternehmen und deren konkrete Tätigkeiten beziehen. Die bloße Bezugnahme auf den "Gegenstand des Basisdienstleistungsvertrages" ist zu unbestimmt, da sie nicht erkennen lässt, welche Daten, welche Kategorien von Daten und welche Verarbeitungsvorgänge konkret betroffen sind. **Erforderlich sind insbesondere:** - Die eindeutige Benennung des Unterauftragsverarbeiters (Name, Anschrift, ggf. Kontaktdaten). - Die Beschreibung der konkreten Verarbeitungstätigkeiten, die der Unterauftragsverarbeiter übernimmt. - Die Angabe, welche Arten personenbezogener Daten und welche Kategorien betroffener Personen betroffen sind. **Fazit:** Eine pauschale Formulierung wie "gem. Gegenstand des Basisdienstleistungsvertrages" genügt nicht den Transparenz- und Informationspflichten der DSGVO. Es ist eine spezifische und nachvollziehbare Beschreibung erforderlich. **Weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [BfDI: Hinweise zu Auftragsverarbeitung](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html)