Das typische Beispiel für einen Auftragsverarbeiter sind Eventagenturen, die Zugriff auf die Daten der Teilnehmer erhalten oder diese für den Auftraggeber erfassen.
Auch Invitario ist ein typischer Auftragsverarbeiter: Unsere Software wird für das Verwalten von Teilnehmerdaten, die E-Mail-Kommunikation mit den Teilnehmern sowie für die Umsetzung des Check-ins der Veranstaltung mittels digitaler Gästeliste genutzt.
Bitte beachten Sie, dass Auftragsverarbeiter alle Subunternehmen, die unter Umständen personenbezogene Daten nutzen werden (siehe dazu Subunternehmen), gegenüber ihrem Auftraggeber offenlegen und genehmigen lassen müssen.
Setzt der Veranstalter ein Event vollkommen in Eigenregie um oder kommt kein externes Unternehmen mit den Daten der Teilnehmer in Kontakt, dann gibt es auch keinen Auftragsverarbeiter.
Tipp
Erstellen Sie zusammen mit einem auf Datenschutz spezialisierten Rechtsanwalt eine Auftragsverarbeitervereinbarung, in der bereits alle für Ihre Leistungen relevanten Punkte abgehandelt werden. Nur wenige Auftraggeber verfügen über eine eigene Vereinbarung bzw. beharren auf der Umsetzung der eigenen Auftragsverarbeiterbereinbarung.
Subunternehmer von Auftragsverarbeitern sind Subauftragsverarbeiter
Der Begriff des Subauftragsverarbeiters findet sich zwar nicht wortwörtlich in der DSGVO, jedoch wird von Subauftragsunternehmen generell dann gesprochen, wenn ein Auftragnehmer zur Erfüllung seiner Leistungen weitere Unternehmen beauftragt.
Dies muss im Fall der DSGVO gegenüber dem Auftraggeber – im Idealfall bereits im Rahmen des Auftragsverarbeiter-Vertrages – bekanntgegeben und durch diesen schriftlich genehmigt werden. Der Zweck der Datenverarbeitung ist für jeden Subunternehmer im Detail zu beschreiben. Der Letztverantwortliche muss zu jedem Zeitpunkt wissen, wo die von ihm bereitgestellten Daten gespeichert sind und wer die Datenverarbeitung durchführt. Dies gilt natürlich immer nur dann, wenn ein Subunternehmen zur Erfüllung seiner Leistungen personenbezogene Daten verarbeitet.
Die Möglichkeit, weitere Subunternehmen zur Auftragserfüllung hinzuzuziehen, kann vom Auftraggeber auf bestimmte Unternehmen oder Leistungen beschränkt, ausgeschlossen oder nach schriftlicher Genehmigung vereinbart werden. Die Praxis zeigt, dass einige Verantwortliche nicht nur die Bekanntgabe von Subunternehmen der ersten, sondern auch der zweiten Ebene einfordern.
Ein typisches Beispiel für ein Subunternehmen ist der von der Eventagentur (Auftragsverarbeiter) als Subunternehmen beauftragte Personaldienstleister, der die Mitarbeiter für den Check-in der Teilnehmer auf der Veranstaltung bereitstellen wird. Die Check-in-Mitarbeiter müssen die personenbezogenen Daten der Teilnehmer einsehen sowie gegebenenfalls bearbeiten und erweitern können, um den Empfang abwickeln zu können.
Für den in der Kette letztverantwortlichen Veranstalter ist es ebenfalls ratsam, sich davon zu vergewissern, dass der Personaldienstleister im Innenverhältnis in den einzelnen Werk- und Dienstverträgen der Mitarbeiter, die tatsächlich den Check-in betreuen werden, dementsprechende Geheimhaltungsvereinbarungen und datenschutzrechtliche Bestimmungen inkludiert oder gesondert abschließt.
Tipp
Übertragen Sie als Veranstalter die Haftung soweit zulässig für die Erfüllung aller Anforderungen von Subunternehmen an die beauftragenden Auftragsverarbeiter. Dies lässt sich im Rahmen der Auftragsverarbeiter-Vereinbarung eindeutig regeln.
