Benötigen Logistikunternehmen einen Vertrag zur Auftragsverarbeitung?

Benötigen Logistikunternehmen einen Vertrag zur Auftragsverarbeitung?

Mit Einführung der neuen DSGVO haben sich in unserer Kanzlei die Anfragen von Logistikern gemehrt, ob sie einen Vertrag zur Auftragsverarbeitung benötigen. Ob Auftraggeber (AG) oder Logistik-Dienstleister: relevant wird die Frage, wenn personenbezogene Daten (z. B. Namen, Lieferadressen) von einer verantwortlichen Stelle weitergegeben werden.

Wann liegt eine Auftragsverarbeitung vor?

Das Vorliegen einer Auftragsbearbeitung wird bejaht, wenn die Verarbeitung von personenbezogenen Daten vom Logistiker selbst vorgenommen werden könnte. Dieser leitet die Daten aber an eine Stelle weiter, welche die Daten weisungsgemäß und ohne selbst über Zweck und Mittel der Verarbeitung für den Logistiker zu entscheiden, verarbeitet. Daher wird die Auftragsverarbeitung auch „verlängerte Werkbank“ des AG genannt.

Beispiel:

Der AG hat sein Rechenzentrum outgesourced und der DL übernimmt in Eigenregie u. a. auch das Backup personenbezogener Daten.

Neben den allgemeinen Voraussetzungen zur Verarbeitung personenbezogener Daten, muss für eine rechtmäßige Auftragsverarbeitung insbesondere ein schriftlicher Vertrag geschlossen werden, der den inhaltlichen Mindestanforderungen von Art. 28 Abs. 3 DSGVO entspricht.

Bestehen in Ihrem Logistikunternehmen Altverträge zur Auftragsbearbeitung, so sollten diese unbedingt dahingehend überprüft werden, ob sie auch den neuen Anforderungen der DSGVO entsprechen.

Datenverarbeitung von mehreren Entscheidungsträgern

Sind mehrere Verantwortliche an der Verarbeitung von personenbezogenen Daten beteiligt, dann liegt keine Auftragsverarbeitung im Sinne des Art. 28 DSGVO vor, sondern ein sogenanntes Joint Controllership nach Art. 26 DSGVO.

Beispiel:

Im Konzern gibt es eine zentrale Abteilung für die Verwaltung und Bearbeitung des Posteingangs.

Was ist, wenn die Daten nur „nebenbei“ zur Auftragsdurchführung weitergegeben werden?

Werden die personenbezogenen Daten vom verantwortlichen AG nicht zum Zwecke der Verarbeitung weitergegeben, sondern lediglich als Mittel für die Durchführung anderer Leistungen, dann liegt ebenfalls keine Auftragsverarbeitung vor.

Beispiel:

Der AG entscheidet sich für das Dropshipping und der Logistikdienstleister trifft die Entscheidungen über die logistischen Prozesse und die Speicherung der Kundendaten selbst.

Hier wird die Verarbeitung der personenbezogenen Daten vom Logistik-Dienstleister eigenverantwortlich durchgeführt. Somit wird dieser selbst zum Verantwortlichen und muss sämtliche Anforderungen der DSGVO erfüllen.