Follow

Meine Streitfrage des Tages: Kann es eine Auftragsverarbeitung geben, bei der der Verantwortliche keine Möglichkeit hat auf die pbD zuzugreifen? M.E. beißt es sich u.a. mit dem Recht des Verantwortlichen, über die pdB nach Auftragsende zu bestimmen (Art. 28 Abs. 3 S. 2 lit. g). Aber gut, ich lasse mich eines Besseren belehren. :)

@thsch Wie immer: Ohne konkretere Sachverhaltsbeschreibung schwer zu beantworten. Welcher Verantwortliche lässt denn Daten verarbeiten, auf die er selbst keinen Zugriff hat?

@malteengeler Ein Listeigner wird mit dem Versand von Mailings mit Werbung eines Unternehmens beauftragt, wobei nur der Listeigner auf die E-Mailadressen vertraglich und tatsächlich Zugriff hat. Ist der Listeigner ein Auftragsverarbeiter?

@thsch @malteengeler Schwerpunkt dürfte hier wohl mE der Versand von Werbung (Mailings) sein und kein ‚Datacrunching‘. Also: ich sehe Listeigner hier nicht als Auftragsverarbeiter. Ähnlich wie klassischer (Waren-) Versandienstleister...

@thsch @malteengeler Siehe auch: delegedata.de/2019/03/hessisch

„Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“ 1/2

@thsch @malteengeler

Dr. Carlo Piltz: "Hier scheint sich der HBDI der bereits vom BayLDA veröffentlichten Ansicht anzunähern und den Anwendungsbereich der Auftragsverarbeitung recht eng zu ziehen, nämlich nur auf solche Fälle, in denen tatsächlich ein Dritter mit der Verarbeitung von Daten beauftragt wird."

@luenemaeck @thsch Hmm... ich kann diese Versuche, das pragmatisch einzuengen ja durchaus verstehen, aber in der VO finde ich für derartige Einschränkungen null Anhaltspunkte. Eher anders herum: "processing on behalf" ist ja denkbar weit.

@malteengeler
Sehe ich genauso. Und ich denke das ist auch so gewollt um eine möglichst flexible Anwendung von Auftragsverarbeitung zuzulassen.
@luenemaeck @thsch

@malteengeler @thsch @e_schlehahn Hier in diesem konkreten Fallbeispiel verhält es sich mE so: Listeigner (Unternehmen
B) nutzt seinen eigenen Adressdatenbestand (pbD) zur Übersendung von fremderstellten Werbunterlagen (keine pbD) des Unternehmens A. So wie ich es verstehe, werden hier noch nicht einmal pbD von A nach B weitergegeben. Bleibe dabei: Listeigner ist in Bezug auf Adressdaten und Versand Verantwortlicher und nicht Auftragsverarbeiter.

@malteengeler @thsch @e_schlehahn Der Schwerpunkt ist mE die Versanddienstleistung des Listeigners (und dann auch noch an eigenen Datenbestand) und nicht die Verarbeitung von pbD im Auftrag.

@malteengeler @thsch @e_schlehahn
Wieso eigentlich Einschränkung? Es geht hier mE doch eher um eine Frage der Abgrenzung. Je eindeutiger ich diese vornehmen kann, um so freier bin ich doch in der weiteren Gestaltung der Verhältnisse. Sei es Verantwortlicher/Auftragsverarbeiter, gemeinsam Verantwortliche oder C2C. Übrigens könnte man, meine ich, durchaus vertreten, dass wir es im vorliegenden Fall mit einer gemeinsamen Verantwortlichkeit zu tun haben.

@thsch Ich gehe mit und erhöhe zunächst um ein „es kommt drauf an“.

@thsch Aber für den Fall, dass es grundsätzlich dem AV überlassen werden sollte, den AVV zu stellen, liegt es wohl mindestens im Bereich des Möglichen. Siehe auch: 👇

twitter.com/luenemaeck/status/

@luenemaeck In diesem Fall wurden mW pbDaten dem Dienstleister anvertraut, oder?

@thsch Das wird wohl so gewesen sein. Mir persönlich sträubte sich spontan jedoch alles, daraus den Regelfall abzuleiten, dass AV den AVV stellt. Ist man beratend für Verantwortliche tätig, sollte man mE nicht grundsätzlich, sondern nur im Einzelfall dazu raten...

@thsch Bin kein Jurist, aber in dem Fall ist der Knackpunkt doch, dass der Listeigner offenbar bereits vor dem Vertrag die Daten hat. Entweder er muss zu diesem Zeitpunkt Verantwortlicher sein oder er darf die Daten nicht haben. Ebensowenig kann er nach der Vertragsausführung die Daten behalten, ohne Verantwortlicher zu sein. Wenn er die Daten hingegen nur für den Vertrag im Auftrag beschafft, beißt sich auch nichts mit dem Recht des Verantwortlichen, nach Auftragsende darüber zu bestimmen.

@rufposten Ja, in einer solchen Konstellation könnte man auch ohne Zugang zu denen pbD an AV denken, obwohl im 28 (3) S. 2 g. immer noch von der "Herausgabe der Daten" als Wahlrecht des Auftraggebers die Rede ist.

Sign in to participate in the conversation
legal.social

Legal.social is the Mastodon instance for legal debate.

Run by (but not only for) legal professionals.

May the best argument win.