ich bin mir beim folgenden Sachverhalt nicht sicher, ob hier ein AVV nötig ist.
Zunächst, ich arbeite bei einem KFZ- Teilelieferanten. Wir liefern Originalersatzteile an Werkstätten, welche diese für ihre Endkunden bei uns bestellen. Wir haben keinen Kontakt zu den Endkunden.
Manche dieser Ersatzteile sind kodiert (bspw. Fahrzeugschlüssel oder Steuergeräte). Um diese Teile beim Hersteller bestellen zu können, benötigen wir von den Endkunden eine Ausweiskopie zur Identifizierung, damit Diebstahl ausgeschlossen werden kann. Sonst könnte jeder mittels einer Fahrgestellnummer an kodierte Ersatzteile kommen.
Die Reihenfolge bei der Weitergabe von pb- Daten der Endkunden ist also:
Ich bin mir unsicher, ob in diesem Fall ein AVV zwischen Werkstatt und uns abgeschlossen werden muss. Ich habe natürlich gegoogled, aber da sind hauptsächlich Beispiele mit Dienstleistern, die weisungsgebunden sind, beschrieben.
Nein, das ist keine Auftragsverarbeitung. Das ist eine Datenweitergabe mit berechtigten Interessen - ggf. auch auf Basis der Vertragserfüllung.
Eine Frage an Rande: wie kann man denn anhand des Ausweises feststellen, ob dem das Auto gehört?
Diese Frage stellt sich mir auch. Im Prinzip würde es doch auch ausreichen, wenn die Werkstatt kontrolliert, ob der Kunde der Autobesitzer ist. Da braucht keine Ausweiskopie weitergereicht werden…
Danke für die Rückmeldung. Ich dachte mir sowas schon, da wir lt. meinem Verständnis auch nicht weisungsgebunden ggü. der Werkstatt sind.
Der KFZ- Schein muss ebenfalls vorliegen, damit der Abgleich stattfinden kann. Den braucht man auch, um das Fahrzeug anhand der Fahrgestellnummer identifizieren zu können, damit die Ersatzteile zum Fahrzeug passen.
So tief bin ich da im Thema nicht drin, aber die Hersteller möchten das so. Vielleicht müssen die sich auch absichern, damit Verbrechen vorgebeugt werden.
Aber im Sinne der Erforderlichkeit gebe ich Beabel recht: Es reicht aus, wenn sich einer vom Vorliegen des Kfz-Scheins und des Ausweises überzeugt und danach einfach ein “OK” weitergibt, anstatt die ganze Ausweis- und Kfz-Schein-Kopie.
Auch die Hersteller müssen sich an Recht halten und können das nicht einfach “so möchten”.
Speichert ihr die Daten der Kunden, ihr verarbeitet im auftrage der Werkstatt Kundendaten mit besonders Schützenwerte Personenbezogenen Daten ( Ausweiskopie mit Adresse Geburtsdatum , Ort usw… , KFZ Schein mit Vielleicht abweichenden Personenbezogenen Daten ) die Daten mit Bild sind nicht ohne . ich würde euch raten einen AVV Abzuschließen um auf der sicheren Seite bei einem Datenverlust zu sein. Ihr gebt die Daten ja auch weiter , ihr solltet auch mit dem Autohersteller einen AVV abschließen!
Nein es ist meiner Meinung nach kein AVV nötig, da ihr nicht als Auftragsverarbeiter der Werkstatt agiert, sondern als eigenständige Verantwortliche, ihr müsst ja eure vertragliche Verpflichtung erfüllen.
Der Hersteller ist auch als eigenst. Verantwortlicher anzusehen, da er entscheidet wie und warum er die Ausweiskopien benötigt, um kodierte Teile herzustellen.
In eurem Fall spricht vieles dafür, dass kein Auftragsverarbeitungsvertrag (AVV) zwischen eurer Firma (Lieferant) und der Werkstatt erforderlich ist. Hier sind die entscheidenden Punkte aus DSGVO-Sicht:
Liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor?
Ein AVV ist nur erforderlich, wenn ihr als Lieferant personenbezogene Daten im Auftrag der Werkstatt verarbeitet, also weisungsgebunden und ohne eigene Entscheidungsfreiheit.
Weisungsgebundenheit?→ Ihr erhaltet die Ausweiskopie zur Identitätsprüfung und leitet sie an den Hersteller weiter. Die Verarbeitung erfolgt nicht nur für die Werkstatt, sondern aus eigenem Interesse (Schutz vor Diebstahl, Vorgaben des Herstellers).
Eigene Zwecke? → Ihr handelt nicht als reiner Dienstleister der Werkstatt, sondern müsst die Daten nutzen, um eure Bestellung beim Hersteller durchzuführen.
Fazit: Keine Auftragsverarbeitung**, sondern eine eigene (gemeinsame oder eigenständige) Verantwortlichkeit.
2. Wer ist Verantwortlicher?
Die Werkstatt ist Verantwortlicher für die Erhebung der Daten beim Endkunden.
Ihr seid Verantwortlicher für die Weiterleitung an den Hersteller, da ihr die Daten für eure eigenen Zwecke benötigt.
Der Hersteller ist Verantwortlicher für die weitere Verarbeitung.
Das bedeutet: Jede Partei handelt eigenverantwortlich. Es besteht also kein Auftragsverarbeitungsverhältnis, sondern eine „Weitergabe zwischen Verantwortlichen“ (ggf. nach Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse).
3. Alternative: Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO?
Eine gemeinsame Verantwortlichkeit würde bedeuten, dass Werkstatt und Lieferant gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden.
Da ihr aber keine Entscheidungsgewalt über die Datenverarbeitung durch die Werkstatt habt, sondern erst später in der Kette eingebunden seid, spricht wenig für eine echte gemeinsame Verantwortlichkeit.
Fazit:
Kein AVV notwendig, da ihr kein Auftragsverarbeiter seid. Jede Partei handelt als eigenständiger Verantwortlicher. Eine Vereinbarung über die Datenweitergabe kann sinnvoll sein, aber kein AVV.
Kein AVV notwendig, da ihr kein Auftragsverarbeiter seid.