Manches in diesen Tagen ist einfach nur absurd. Nicht zuletzt der Panikmache in den Medien geschuldet, bringt die Datenschutzgrundverordnung (DSGVO) manche Sachverhalte auf den Tisch, die zum Schmunzeln führen. Ein solches „Schmankerl“ wollen wir Ihnen heute präsentieren.

Die Sachlage

Ein Unternehmen A vertreibt im B2B-Bereich Verbrauchsgüter an andere Unternehmen, allesamt juristische Personen, die diese im eigenen Namen weiterverkaufen. Nun erhält das Unternehmen A von mehreren Kunden Auftragsverarbeitungsverträge mit der Aufforderung diese schnellstmöglich zu unterzeichnen. Auch Angaben über die technisch-organisatorischen Maßnahmen sollen gemacht werden und eine Übersicht über die vom Auftragnehmer eingesetzten Unterauftragnehmer sei auszufüllen.

Zur Erinnerung

Wir bewegen uns nur im Bereich von zivilrechtlichen Verträgen. Unternehmen A liegen nur die Bestelldaten sowie die Lieferanschriften der anderen Unternehmen, allesamt juristische Personen, vor. Alleine aus diesem Grund ist die DSGVO schon gar nicht anwendbar. Nach Erwägungsgrund 14 Satz 2 gilt die DSGVO nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.

Eine Auftragsverarbeitung im Sinne des Artikels 28 DSGVO liegt erst recht nicht vor! Auftragsverarbeiter ist nach der Legaldefinition des Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Welche personenbezogenen Daten hier im Auftrag verarbeitet werden sollen ist schleierhaft. Unternehmen A verarbeitet nur die Bestell- und Lieferdaten um den schuldrechtlichen Verpflichtungen aus dem zivilrechtlichen Kaufvertrag nachzukommen. Von einem Personenbezug keine Spur.

Solche Fälle sind in unserer Beratungspraxis zurzeit kein Einzelfall. Viele Unternehmen reagieren panisch um ja nichts falsch zu machen ohne sich einen Moment Zeit zu nehmen und darüber nachzudenken, um was es eigentlich geht. Die Meinung alles unterliege nun der DSGVO und für alles brauche man Einwilligungen bzw. Auftragsverarbeitungsverträge ist leider weit verbreitet.

 

Nachtrag: Während wir diesen Beitrag schreiben kommt das nächste Highlight.

Ein Bäcker möchte mit einer Einrichtung einen Auftragsverarbeitungsvertrag schließen, weil er regelmäßig den Auftrag bekommt, Brötchen zu Veranstaltungen zu liefern.

Eigentlich müsste man den Vertrag schließen und gleich ein Audit durchführen.