Muss der Makler eine Auftragsdatenverarbeitung mit Maklerpools schließen?

Berater Recht & Haftung Top News Meistgeklickt von Sebastian Karch und Stephan Michaelis (Kanzlei Michaelis)

Die Datenschutzgrundverordnung (DSGVO) wirft in der Praxis einige Fragen auf. Etwa, ob Makler mit Pools einen Vertrag über Auftragsverarbeitung schließen müssen. Die Fachanwälte Sebastian Karch und Stephan Michaelis von der Kanzlei Michaelis beantworten diese Frage im Gastbeitrag.

Datenschutz Datenverarbeitung DSGVO Michaelis

Fachanwalt Stephan Michaelis auf der Fachtagung der Kanzlei Michaelis. Bild: procontra-Archiv

„Nein, der Makler muss in der Regel keinen Vertrag über Auftragsverarbeitung mit Maklerpools schließen, jedenfalls nicht mit den allermeisten“, sagt Rechtsanwalt Stephan Michaelis (Fachanwalt für Versicherungsrecht, Handels- und Gesellschaftsrecht).
Viele Makler fragen sich daraufhin: „Wie kann das sein? Der Pool erhält doch von mir personenbezogene Daten meiner Kunden zur Verarbeitung.“

Diese einfach anmutende Fragestellung, welche derzeit in der Branche heiß diskutiert wird, weil viele Pools jetzt eine AVV anbieten, sollte man sich datenschutzrechtlich Stück für Stück nähern, um die Abgrenzung von Auftragsverarbeitung zu eigener Verantwortlichkeit des Pools nachvollziehen zu können.

Wer ist Auftragsverarbeiter?

Ein Vertrag über Auftragsdatenverarbeitung (im Folgenden „AVV“ genannt) ist zwischen einem Verantwortlichen und einem (oder mehreren) Auftragsverarbeiter(n) gemäß Art. 28 DSGVO zu schließen. Folglich ist die entscheidende Frage, ob ein Maklerpool als Auftragsverarbeiter anzusehen ist. Denn nur dann wäre eine AVV mit dem Makler als Verantwortlichen abzuschließen.

Ob eine Auftragsverarbeitung vorliegt, ist mittels einer sachbezogenen, funktionalen Betrachtung der tatsächlichen Verhältnisse zwischen Verantwortlichem und Auftragsverarbeiter festzustellen.
Die Datenverarbeitung muss selbstverständlich im Auftrag des Verantwortlichen stattfinden. Das zentrale Element der AVV ist darüber hinaus die Weisungsgebundenheit des Auftragsverarbeiters. Der Verantwortliche legt allein Zwecke und Mittel der Verarbeitung fest und gibt dem Auftragsverarbeiter weisungsgebunden die von diesem vorzunehmenden Verarbeitungen vor. Davon darf nicht abgewichen werden. Fehlt es an der strengen Weisungsgebundenheit, so liegt keine Auftragsverarbeitung vor. Typisches Beispiel für eine Auftragsverarbeitung ist die Auslagerung der Datenspeicherung bei einem Maklerverwaltungsprogramm (MVP). Typische Beispielsfälle für das Nichtvorliegen einer erforderlichen Auftragsverarbeitung sind auch die Datenübertragung an Rechtsanwälte, Steuerberater, weil hier eine gesetzliche Schweigepflicht besteht.

Seite 1: Wer ist Auftragsverarbeiter?
Seite 2: Abgrenzung: Auftragsverarbeitung oder eigene Verantwortlichkeit?
Seite 3: Pool kein Auftragsverarbeiter
Seite 4: Maklerpool in Einwilligungserklärung benennen

  • Facebook Kommentare
  • Disqus Kommentare