Hallo,
ein externer Dienstleister bietet ein Portal an, in dem Unternehmensdaten aller Art aus öffentlichen Registern in einer Datenbank gespeichert und den Kunden zur Recherche grafisch dargestellt werden können (KYC-Prüfung).
Es findet auch eine Risikoanalyse inkl. PeP-Status und Sanktionslisten der an den Firmen beteiligten Personen statt.
Der Kunde des externen Dienstleisters gibt also im Portal den Namen der Firma oder einen Namen ein und erhält dann sämtliche Informationen zu den Unternehmensstrukturen, wirtschaftlich berechtigten und Vertretungsorganen und kann dies dann als PDF herunterladen.
Nun stellt sich die Frage, ob der externe Dienstleister ein Auftragsverarbeiter ist und eine AV-Vereinbarung geschlossen werden muss.
Der Dienstleister sieht sich selbst als Verantwortlicher. Er stellt den Kunden die Informationen weisungsfrei zur Verfügung und bestimmt Mittel und Zweck selbst.
Ich hatte mal irgendwo in den Tätigkeitsberichten von DS-Aufsichtsbehörden gelesen, dass ein Dienstleister, der von natürlichen Personen Abgleiche gegen veröffentlichte Datenbanken durchführt als Auftragsverarbeiter handelt. Ich finde das aber nicht mehr. Gibt nicht der Kunde die Weisung, die Daten der Personen abzugleichen mit dem Vertrag bzw. der Eingabe im Kundenportal?
Oder ist der Dienstleister wie eine Auskunftei zu verstehen, uns sammelt alle Daten und zeigt am Ende nur bei Sanktionsliste ok / nicht ok an?
Bekommt der Dienstleister denn überhaupt Daten von Ihnen, die er im Auftrag verarbeiten könnte? Oder ist es für Sie nur eine Informationsquelle?
Bei der Auftragsverarbeitung bekommt ein Dienstleister personenbezogene Daten übergeben, mit denen er irgendetwas im Auftrag erledigt - z. B. Briefe adressieren und versenden.
Wenn der Dienstleister nur Ihren Namen bei der Anmeldung am Portal bekommt, dann ist das noch keine Auftragsverarbeitung.
Hallo bdsb, vielen Dank für die Nachfrage.
Man bekommt einen Account, mit dem man sich anmeldet.
Im Portal kann man dann Namen von Personen und Firmen eingeben, von denen man Informationen haben möchte. Dsa System stellt die Informationenen zu Firmenstruktur etc. zur Verfügung und führt eine aktuelle Online-Abfrage / Screening bzgl. der natürlichen Personen durch.
Hallo,
vielen Dank für die Einschätzung. Ich habe jetzt noch ein wenig weitergesucht. Im Tätigkeitsbericht aus RLP 2019, Seite 45, letzter Absatz 7.5, steht zum vergleichbaren Thema „Mitarbeiterscreening“„Aufgrund der erhöhten Eingriffsintensität und um dem Grundsatz der Datenminimierung Rechnung zu tragen, ist es sinnvoll, die Listenabgleiche unternehmensintern vorzunehmen, damit ein weiterer Übermittlungsvorgang an einen das Screening durchführenden Dienstleister vermieden wird. Wird ein solcher eingeschaltet, handelt es sich um eine Auftragsverarbeitung, welche sich an den in der DS-GVO niedergelegten Anforderungen messen lassen muss.“*
und bei einem Blog zu dem Thema Terrorlistenscreening: *„Sofern die Überprüfung der Datensätze durch einen externen Dienstleister erfolgt, muss dies durch einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgesichert sein.“
Der DL ist nach meiner Einschätzung nur verlängerter Arm des Verantwortlichen ohne Entscheidungsspielraum und tritt ggü den Betroffenen nicht in Erscheinung. Er unterstützt nur die Pflichten des Verantwortlichen, wo eine robuste Rechtsgrundlage bereits vorliegt. Ich stelle mir auch nicht trivial vor, die Rechtsgrundlage aus Sicht des DL zu argumentieren und die Erfüllung von Art. 14 DSGVO zu erfüllen.
Werde ggf. noch die zuständige Aufsichtsbehörde um eine Einschätzung bitten, wenn der DL es anders sieht.
Guggst Du in Art 4 Nr 2 … Er erhebt die Daten zu den angegebenen Personen im Auftrag. Bei den Firmen wird es davon abhängen, ob es “Einzelkämpfer” sind.