Die HWR ist verantwortlich für die unter ihrer Schirmherrschaft stattfinden Verarbeitungsvorgänge. Die anfallenden personenbezogenen Daten müssen nicht selbst verarbeitet werden. Sie können auch von einem Auftragsverarbeiter (=Dienstleister) verarbeitet werden. Das kommt beispielsweise vor, wenn
- Befragungen von einer Firma durchgeführt werden,
- eine Tagung durch einen kommerziellen Anbieter organisiert wird (Teilnehmeranmeldung, Abrechnung, …)
- die Webseite der HWR gewartet und aktualisiert wird oder
- eine Datenverarbeitung mit Hilfe eines externen Cloud-Dienstes stattfindet.
Die Hochschule benötigt in solchen Fällen für die Weitergabe der personenbezogenen Daten an den Auftragsverarbeiter keine gesonderte Rechtsgrundlage, sondern lediglich einen Vertrag zur Auftragsverarbeitung. Der externe Dienstleister ist dann ein Auftragsverarbeiter. Er verarbeitet personenbezogene Daten im Auftrag der HWR. Die Verarbeitung durch den Auftragsverarbeiter wird jedoch grundsätzlich der Hochschule zugerechnet. Dies gilt insbesondere bei Datenschutzvorfällen.
Nicht immer handelt es sich um eine Auftragsverarbeitung. Gestaltet sich eine Abgrenzung im Einzelfall schwierig, kann auf Positionspapiere des Berliner bzw. des Bayrischen Datenschutzbeauftragten zurückgegriffen werden.
Ein Auftragsverarbeiter ist
- an Weisungen der HWR gebunden
- verfolgt keine eigenen Zwecke
- tritt nicht eigenständig ggü. Betroffenen auf
- von der HWR unabhängige juristische Person
- es besteht eine Rechtsbeziehung zwischen Verantwortlichem und Betroffenen
- es besteht eine Rechtsbeziehung zwischen Verantwortlichem und Dienstleister – Dienstleistungsvertrag und Auftragsverarbeitungsvertrag
Der Einbezug eines Auftragsverarbeiters in HWR-Prozesse bedarf einer datenschutzrechtlichen Prüfung und Freigabe durch den behördlichen Datenschutzbeauftragten, da lediglich „nur mit Auftragsverarbeitern [gearbeitet werden darf], die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“ §48 BlnDSG
Da Auswahlprozess und datenschutzrechtliche Prüfung komplex sind, kann die Prüfung zwischen einem und 6 Monaten in Anspruch nehmen. Wir bitten Sie in diesen Fällen um etwas Geduld und rechtzeitige Anfrage an den Datenschutzbeauftragten.
Sonderfall Fernwartung und Support
Eine Auftragsverarbeitung liegt auch dann vor, wenn bereits die Möglichkeit eines Zugriffs auf personenbezogene Daten besteht, insb. bei der Administration oder Fernwartung von IT-Systemen durch Firmen per Remote Desktop (z.B. Teamviewer / Anydesk). Schalten sich Wartungsmitarbeiter auf Systeme der HWR auf, bestehen erhöhte Risiken für gespeicherte Informationen und personenbezogene Daten.