Wann brauchen wir eine Vereinbarung zur Auftragsverarbeitung (DSGVO)?
Das Wichtigste vorab
Wir prüfen, welche Daten Sie uns senden, nicht welche Produkte Sie auswählen:
Reine postalische Adressen (Strasse, Hausnummer, PLZ, Ort und Land) sind nicht personenbezogen und benötigen keine Vereinbarung zur Auftragsverarbeitung. Gleiches gilt für die Umsatzsteuer-Identifkationsnummer.
Sobald aber ein Name, eine E-Mail oder eine Telefonnummer an uns übermittelt wird, verlangen wir eine Vereinbarung.
Begriffsbestimmungen , Art. 4, DSGVO
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
„Personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Quelle: https://dsgvo-gesetz.de/art-4-dsgvo/ (Auszug)
Keine Anwendung bei Anonymisierung*
Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.
Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.
Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.
Quelle: https://dsgvo-gesetz.de/art-4-dsgvo/ (Auszug)
* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.
Was bedeutet das für unsere Zusammenarbeit?
Was klar ist: Adresslabor ist Auftragnehmer einer Auftragsverarbeitung. Sie als Auftraggeber lagern die Prüfung Ihrer Daten an einen externen Dienstleister aus.
Jetzt kommt es darauf an, ob Sie uns personenbezogene Daten zur Prüfung übermitteln oder nur anonymisierte Daten. Im ersten Fall brauchen wir eine Vereinbarung zur Auftragsverarbeitung mit Ihnen. Bei anonymisierten Daten jedoch nicht unbedingt.
Entscheidend ist die Übermittlung an uns, nicht der gewählte Test. Personenbzogene Daten dürfen wir nur mit Vereinbarung verarbeiten.
Wir gehen im Moment davon aus, dass eine reiner Adress-Check (Sie übermitteln lediglich Straße, PLZ und Ort) keine personenbezogenen Daten verarbeitet. Genausowenig wie ein reiner USt.-IDNr.-Check. Hierfür benötigen wir keine Vereinbarung zur Auftragsverarbeitung.
Alles andere sind personenbezogene Daten, also E-Mail, Telefon und Name.
Unser Fazit
Zumindest uns ist im Moment nicht immer klar, wann die DSGVO anzuwenden ist und wann nicht. Deswegen werden wir im Zweifelsfall auf den Abschluss einer Vereinbarung zur Auftragsverarbeitung bestehen und unsere Leistungen für Sie sperren, solange diese nicht vorliegt.
Hierfür bitten wir Sie um Ihr Verständnis. Wir waren schon immer und werden auch zukünftig ein verlässlicher Partner für Ihre Auftragsverarbeitung sein und den Datenschutz dabei hochhalten.
Für Fragen, Anregungen, Tipps und weitere Informationen stehen wir Ihnen gerne zur Verfügung.
Ihr Adresslabor
Rolf Paschold
prof@adresslabor.de
Mobil: +49 (0) 170 3 55 22 01
Vereinbarung zur Auftragsverarbeitung jetzt abschließen
Wenn Sie jetzt unsere Vereinbarung zur Auftragsverarbeitung elektronisch abschließen möchten, können Sie das hier tun. Im Anschluß erhalten Sie eine E-Mail mit den Vertragsunterlagen inkl. unserer technisch-organisatorischen Maßnahmen (TOM). Neben der Kurzanleitung dort haben wir eine detaillierte Anleitung bereitgestellt.
Achtung: Wir hatten technische Probleme bei bestimmten Internet-Browsern. Sollte in Ihrem Fall etwas nicht funktionieren, melden Sie sich bitte bei uns. Wir erzeugen die Vereinbarung dann gerne manuell.
Alternativ können Sie uns Ihre Vertragsversion zuschicken. Wir werden diese zeitnah prüfen und unterschrieben zurücksenden. Unsere TOM könen Sie hier herunterladen, das spart Papier und Porto und ist umweltfreundlich.