Manches in diesen Tagen ist einfach nur absurd. Nicht zuletzt der Panikmache in den Medien geschuldet, bringt die Datenschutzgrundverordnung (DSGVO) manche Sachverhalte auf den Tisch, die zum Schmunzeln führen. Ein solches „Schmankerl“ wollen wir Ihnen heute präsentieren.
Die Sachlage
Ein Unternehmen A vertreibt im B2B-Bereich Verbrauchsgüter an andere Unternehmen, allesamt juristische Personen, die diese im eigenen Namen weiterverkaufen. Nun erhält das Unternehmen A von mehreren Kunden Auftragsverarbeitungsverträge mit der Aufforderung diese schnellstmöglich zu unterzeichnen. Auch Angaben über die technisch-organisatorischen Maßnahmen sollen gemacht werden und eine Übersicht über die vom Auftragnehmer eingesetzten Unterauftragnehmer sei auszufüllen.
Zur Erinnerung
Wir bewegen uns nur im Bereich von zivilrechtlichen Verträgen. Unternehmen A liegen nur die Bestelldaten sowie die Lieferanschriften der anderen Unternehmen, allesamt juristische Personen, vor. Alleine aus diesem Grund ist die DSGVO schon gar nicht anwendbar. Nach Erwägungsgrund 14 Satz 2 gilt die DSGVO nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.
Eine Auftragsverarbeitung im Sinne des Artikels 28 DSGVO liegt erst recht nicht vor! Auftragsverarbeiter ist nach der Legaldefinition des Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Welche personenbezogenen Daten hier im Auftrag verarbeitet werden sollen ist schleierhaft. Unternehmen A verarbeitet nur die Bestell- und Lieferdaten um den schuldrechtlichen Verpflichtungen aus dem zivilrechtlichen Kaufvertrag nachzukommen. Von einem Personenbezug keine Spur.
Solche Fälle sind in unserer Beratungspraxis zurzeit kein Einzelfall. Viele Unternehmen reagieren panisch um ja nichts falsch zu machen ohne sich einen Moment Zeit zu nehmen und darüber nachzudenken, um was es eigentlich geht. Die Meinung alles unterliege nun der DSGVO und für alles brauche man Einwilligungen bzw. Auftragsverarbeitungsverträge ist leider weit verbreitet.
Nachtrag: Während wir diesen Beitrag schreiben kommt das nächste Highlight.
Ein Bäcker möchte mit einer Einrichtung einen Auftragsverarbeitungsvertrag schließen, weil er regelmäßig den Auftrag bekommt, Brötchen zu Veranstaltungen zu liefern.
Eigentlich müsste man den Vertrag schließen und gleich ein Audit durchführen.
7. Juni 2018 @ 14:15
Ich kann zwei Schmankerl jenseits von den AV beisteuern:
Wir haben unter der Überschrift „Verpflichtung zum Datenschutz“ ein Schreiben erhalten, durch das wir die andere Partei zur sofortigen Geltendmachung von Schadensersatzansprüchen berechtigt hätten. Inhaltlich ging es übrigens nicht um Datenschutz, sondern um den allgemeinen Schutz „betrieblicher Belange“ – also quasi alle Vorfälle innerhalb der Geschäftsbeziehung. Ich erhielt das nur zur Prüfung, weil die Kollegen ein gleichlautendes Schreiben an alle Kunden versenden wollten, „weil wir das doch sicher auch machen müssen!“
Der Einwilligungswahnsinn ist auch sowas, als ob das ab jetzt die einzige Rechtsgrundlage wäre. Sogar große Banken verteilen aktuell Einwilligungsformulare mit vorangekreuzten Kästchen, um Kunden und deren Kontobewegungen profilen zu dürfen. Und auf meine Auskunft „Sie müssen das nicht unterschreiben!“, erhalte ich die Aussage „Aber dann kann ich doch sicher kein Kunde bei der Bank mehr sein, oder?“ Ich finde, das ist schon fast Vertrauensmissbrauch.
Ich bin wirklich gespannt, in was alles die Kollegen in vorauseilendem Gehorsam und aus Angst eingewilligt haben. Mittlerweile denke ich, dass eine unserer Abteilungen mit der Vorgabe, alles erstmal nur auszudrucken und abzulegen, den vernünftigsten Weg gewählt hat.
7. Juni 2018 @ 11:51
Guten Tag zusammen,
nur zur Sicherheit: Auch wenn wir (Händler) einen Streckenauftrag – Lieferung direkt vom Großhandel an den Endkunden (Firma oder Privat) erteilen, und dem Großhändler in diesem Rahmen eine Lieferadresse nebst *Ansprechpartner* (nur Name) mitteilen, benötigen wir bzw. der Großhändler keinen Auftragsverarbeitungsvertrag – richtig !? Danke für die Klarstellung !
8. Juni 2018 @ 10:51
Hallo,
ja, genauso ist es!
8. Juni 2018 @ 13:38
Hallelujah!!!
Besten Dank von einem von diesen Anfragen gebeutelten Unternehmen! Bitte diese Info so schnell und so weit verbreiten wie es nur geht! 🙂
7. Juni 2018 @ 8:32
Ich würde gerne die Person finden, die die Information verbreitet hat, man würde nun auch für Streckengeschäfte einen AV-Vertrag benötigen. Uns erreichen täglich solche Schreiben von unseren Kunden (Einzelhändler, die wiederum für Ihre eigenen Kunden bestellen), vereinzelt auch von Lieferanten. Wir lehnen diese AV-Verträge ab, aber die Konsequenz ist, dass wir Gefahr laufen, Kunden zu verlieren. Alles erklären nützt in diesen Fällen nichts….
6. Juni 2018 @ 19:34
Interessant ist auch, dass die Deutsche Post AG ebenfalls solche Auftragsverarbeitungsverträge verschickt. Unabhängig davon, dass hoffentlich noch das Briefgeheimnis gilt, unterliegt die Post auch keinen Weisungen. Sie ist, wie Steuerberater, Notare etc. Geheministräger = Verantwortlicher.
6. Juni 2018 @ 12:53
Wer die GSGVO gelesen hat ist klar im Vorteil.
Die natürliche Person bezieht sich auf die sog. Betroffen.
Natürlich muss das gelesene auch verstanden werden.
6. Juni 2018 @ 10:48
Einer unserer Kunden hat, nachdem wir die Möglichkeit zur automatisierten Ausgabe einer Auskunft gem. Art. 15 geschaffen haben, diese direkt genutzt und allen Betroffenen (einige hundert) unaufgefordert postalisch einen entsprechenden Auszug zukommen lassen…