Auftragsverarbeiter
Auch: Processor · AV
Ein Auftragsverarbeiter ist ein Dienstleister, der personenbezogene Daten im Auftrag des Maklers verarbeitet, ohne eigene Entscheidungsbefugnis über Zweck und Mittel der Verarbeitung. Der Makler bleibt als "Verantwortlicher" datenschutzrechtlich verantwortlich.
Ausführliche Erklärung
Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter, wer personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Makler selbst ist gegenüber seinen Kunden und Interessenten "Verantwortlicher" (Art. 4 Nr. 7 DSGVO) – er entscheidet über Zwecke und Mittel der Datenverarbeitung. Setzt er externe Dienstleister ein, die dabei Zugriff auf personenbezogene Daten haben, sind diese in der Regel Auftragsverarbeiter.
Typische Auftragsverarbeiter im Maklergeschäft:
- CRM- und Software-Anbieter (Immobilienverwaltungssoftware, Cloud-CRM).
- Portale und Marketing-Tools, sofern sie Kundendaten im Auftrag verarbeiten (Abgrenzung zur eigenen Verantwortlichkeit ist im Einzelfall zu prüfen).
- IT-Dienstleister und Hosting-Provider, die Server, Backups oder E-Mail-Systeme betreiben.
- Steuerberater/Buchhaltungsdienstleister, soweit sie im Auftrag und nach Weisung tätig werden (bei eigener Verantwortung, z. B. bei der Steuerberatung selbst, sind sie hingegen eigene Verantwortliche).
- Reinigungs- oder Umzugsfirmen mit Zugriff auf Objekt- und Kontaktdaten im Rahmen der Objektübergabe.
Der Einsatz eines Auftragsverarbeiters entbindet den Makler nicht von seiner Verantwortung. Er muss:
1. Nur Dienstleister beauftragen, die ausreichende Garantien für DSGVO-konforme Verarbeitung bieten (Art. 28 Abs. 1 DSGVO).
2. Einen schriftlichen Auftragsverarbeitungsvertrag (AVV) abschließen, bevor Daten übermittelt werden.
3. Die Dienstleister im Rahmen einer Kontrollpflicht regelmäßig überprüfen.
4. Bei Sitz des Dienstleisters außerhalb der EU zusätzlich die Regeln zur Drittlandübermittlung beachten (Angemessenheitsbeschluss oder Standardvertragsklauseln).
Wird kein wirksamer AVV geschlossen oder wird der Dienstleister nicht sorgfältig ausgewählt, haftet der Makler als Verantwortlicher für den entstandenen Datenschutzverstoß mit – auch wenn der eigentliche Fehler beim Dienstleister lag.
Beispiel aus der Praxis
Ein Makler nutzt ein cloudbasiertes CRM-System eines externen Anbieters, um Interessenten- und Kontaktdaten zu verwalten. Der CRM-Anbieter ist Auftragsverarbeiter, der Makler bleibt Verantwortlicher. Beide müssen einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen, bevor die Daten in das System eingegeben werden.
Rechtsgrundlage
- Art. 4 Nr. 8 DSGVO – Definition des Auftragsverarbeiters.
- Art. 28 DSGVO – Pflichten bei Beauftragung eines Auftragsverarbeiters, insbesondere Vertragspflicht.
- Art. 82 DSGVO – gesamtschuldnerische Haftung von Verantwortlichem und Auftragsverarbeiter bei Schäden.