Gemeinsame Verarbeitung oder eigenständige Verantwortliche

Hallo,
wir wollen eine Ferienbetreuung für Kinder der Mitarbeiter anbieten. Hierfür wir ein externer Dienstleister eingesetzt, der die Organisation des Ferienprogramms und Betreuung der Kinder wahrnimmt. Im Rahmen der Anmeldung wurden neben personenbezogenen Daten der Kinder und Erziehungsberechtigten auch die von Notfallkontakten und Abholberechtigten erhoben. Da der Dienstleister die Daten für die Aufgabendurchführung benötigt, sollen diese an den diesen weitergegeben werden. Ich überlege nun, ob es sich hierbei um eine gemeinsame Verarbeitung handelt oder eine Weitergabe an eigenständige Dritte? Wie seht ihr das?

Danke für euer Feedback!

Hört sich erst einmal komisch an. Was ist denn das für ein „Dienstleister“, den man da braucht?

Naja, wir sind Maschinenbauer und der Dienstleister ist eine Eventagentur, die sich professionell um Kinderbetreuung kümmert.

OK, dann verhält es sich so ähnlich wie bei einem Reisebüro - eine Weitergabe von Daten an einen selbst Verantwortlichen.

Ich denke die Antwort steckt in der Frage “es werden Daten erhoben”. Denn daraus folgt die zielführendere Frage wer macht das Projekt gesamtverantwortlich? Da sind wir beim organisatorischen Setup.

Macht der Dienstleister alles im Komplettpaket? Was für einen Maschinenbauer ja Sinn ergäbe - und die datenschutzrechtliche Frage ist dann auch klar.

Oder macht die Agentur nur Teilaspekte der Betreuung und/oder brauchen die nur ein Unter-die-Arme-greifen des betrieblichen DSB (und evtl. andere organisatorische Unterstützung, wie Büro, Netzwerk, E-Mail-Konten, etc.). Die datenschutzrechtliche Frage wird dann auf gemeinsame Verarbeitung nauslaufen.

In kurz: es läuft darauf naus, dass das Entscheidungskriterium ist, was die Agentur selbst stemmen kann/will. Bzw. konkreter: was im Betreuungsvertrag festgelegt ist/wird.

VG
Hubert

Ich würde mich der Frage von HubertD anschließen. Wenn der Maschinenbauer die Projektverantwortung hat, könnte das sogar eine Auftragsverarbeitung sein. Ohne nähere Kenntnis der vertraglichen Beziehungen, wird das aber immer nur ein stochern in trüben Wasser bleiben.

Eine Auftragsverarbeitung würde ich hier schon mal komplett ausschließen. Es geht darum, dass eine Eventagentur mit der Ferienbetreuung der Kinder beauftragen will. Die hierfür erforderliche Verarbeitung pers.-bez. Daten ist Mittel zum Zweck der Vertragserfüllung durch die Eventagentur, aber nicht doch wohl eher nicht Auftragsgegenstand.

Wir können jetzt hier viel orakeln und bei einer sehr speziellen Vertragskonstellation wäre hier ggf. eine gemeinsame Verantwortung möglich. Wobei sich auch hier für mich die Frage stellt, ob die Datenverarbeitung bei dem hier vorliegenden Sachverhalt überhaupt im Vordergrund steht.

Ausgehend vom Regelfall - Firma A beauftragt Firma B mit der Organisation und Ausrichtung einer Veranstaltung - würde ich hier allerdings immer von zwei getrennten Verantwortlichen sprechen, welche die Daten jeweils zu eigenen Zwecken verarbeiten und auch getrennt über die Mittel hierzu entscheiden. Die Weitergabe der Daten von Firma A an Firma B erfolgt zur Vertragserfüllung. Firma A muss sich Gedanken über die Rechtsgrundlage für die Übermittlung an Firma B machen - dies dürfte aber im Regelfall eine mit der Anmeldung des Kindes zusammen eingeholte Einwilligung sein.

Höchstwahrscheinlich handelt es sich um eine Auftragsverarbeitung, weil der Dienstleister im Auftrag des Unternehmens arbeitet und dessen Anweisungen folgt.
-Das Unternehmen erhebt die Daten und entscheidet über deren Zweck (Ferienbetreuung). Der Dienstleister nutzt diese Daten nur zur Durchführung des Programms, was als eine Verarbeitung im Auftrag einzustufen ist.
-Ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) ist daher erforderlich, um die Pflichten des Dienstleisters festzulegen und sicherzustellen, dass er die Daten DSGVO-konform verarbeitet.

Grundlage meiner Einschätzung.

  1. Abgrenzung: Auftragsverarbeitung vs. eigenständige Verarbeitung

Ob es sich um eine gemeinsame Verarbeitung, eine Auftragsverarbeitung, oder eine Datenweitergabe an eigenständige Dritte handelt, hängt von der Beziehung und Verantwortlichkeit zwischen dem Unternehmen und dem externen Dienstleister ab.

Auftragsverarbeitung (Art. 28 DSGVO)

Eine Auftragsverarbeitung liegt vor, wenn der Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Beispiele:

-Der Dienstleister organisiert die Betreuung nach klaren Vorgaben des Unternehmens.

  • Das Unternehmen bleibt vollständig verantwortlich für die Daten.
  • Es besteht ein Vertrag zur Auftragsverarbeitung (AV-Vertrag), der die Weisungsverhältnisse regelt.

Eigenständige Datenverarbeitung als Dritter

Der Dienstleister ist eigenständig verantwortlich, wenn er die Daten für eigene Zwecke verarbeitet, z. B.:

Der Dienstleister entscheidet selbstständig, welche Daten wie verarbeitet werden.
Er übernimmt eine eigenverantwortliche Rolle, etwa bei der Organisation von Freizeitprogrammen, ohne umfassende Kontrolle durch das Unternehmen.

Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

Eine gemeinsame Verantwortlichkeit liegt vor, wenn beide Parteien gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden. Das ist hier unwahrscheinlich, da der Dienstleister nicht die Zwecke der Datenerhebung mitbestimmt.

Deshalb meine oben genannte Empfehlung.

Das ist ein schöner Schulungsfall. Ich habe noch eine Idee zur Lösung:

Wie sieht der Vertrag zwischen A und B aus?
Event+Erhebung aller pbD Daten oder Event+Erhebung weiterer pbD Daten
Wahrscheinlich letzteres.

Schwerpunkt des Vertrages ist nicht die Datenverarbeitung. Wir haben 2 Verantwortliche und weder AV noch Art 26:

Rechtsgrundlage für die Übermittlung der pbD von A an B ist die Einwilligung nach Art 6 I a DSGVO, die A für so etwas bei den Eltern der Kindern einholen muss. (wie ukstDSB :slight_smile: )

Rechtsgrundlage für die Erhebung weiterer pbD (Notfallnummern) durch B bei den Eltern ist ebenfalls Art 6 I a DSGVO wenn es um Daten der Angefragten selbst geht und Art 6 I f DSGVO, wenn es um Daten Dritter geht. Die Erhebung muss begleitet sein von einem Hinweis nach Art 13 DSGVO gegenüber den Eltern. Zwischen Eltern und Dritten gilt Haushaltsprivileg.
.

1 „Gefällt mir“