Höchstwahrscheinlich handelt es sich um eine Auftragsverarbeitung, weil der Dienstleister im Auftrag des Unternehmens arbeitet und dessen Anweisungen folgt.
-Das Unternehmen erhebt die Daten und entscheidet über deren Zweck (Ferienbetreuung). Der Dienstleister nutzt diese Daten nur zur Durchführung des Programms, was als eine Verarbeitung im Auftrag einzustufen ist.
-Ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) ist daher erforderlich, um die Pflichten des Dienstleisters festzulegen und sicherzustellen, dass er die Daten DSGVO-konform verarbeitet.
Grundlage meiner Einschätzung.
- Abgrenzung: Auftragsverarbeitung vs. eigenständige Verarbeitung
Ob es sich um eine gemeinsame Verarbeitung, eine Auftragsverarbeitung, oder eine Datenweitergabe an eigenständige Dritte handelt, hängt von der Beziehung und Verantwortlichkeit zwischen dem Unternehmen und dem externen Dienstleister ab.
Auftragsverarbeitung (Art. 28 DSGVO)
Eine Auftragsverarbeitung liegt vor, wenn der Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Beispiele:
-Der Dienstleister organisiert die Betreuung nach klaren Vorgaben des Unternehmens.
- Das Unternehmen bleibt vollständig verantwortlich für die Daten.
- Es besteht ein Vertrag zur Auftragsverarbeitung (AV-Vertrag), der die Weisungsverhältnisse regelt.
Eigenständige Datenverarbeitung als Dritter
Der Dienstleister ist eigenständig verantwortlich, wenn er die Daten für eigene Zwecke verarbeitet, z. B.:
Der Dienstleister entscheidet selbstständig, welche Daten wie verarbeitet werden.
Er übernimmt eine eigenverantwortliche Rolle, etwa bei der Organisation von Freizeitprogrammen, ohne umfassende Kontrolle durch das Unternehmen.
Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
Eine gemeinsame Verantwortlichkeit liegt vor, wenn beide Parteien gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden. Das ist hier unwahrscheinlich, da der Dienstleister nicht die Zwecke der Datenerhebung mitbestimmt.
Deshalb meine oben genannte Empfehlung.