Auftragsverarbeitung

Auch: Datenverarbeitung im Auftrag · Data Processing

Auftragsverarbeitung liegt vor, wenn ein Makler als Verantwortlicher personenbezogene Daten (z. B. Interessenten- oder Eigentümerdaten) durch einen externen Dienstleister – etwa ein CRM-System, einen Cloud-Anbieter oder ein Callcenter – verarbeiten lässt, wobei der Dienstleister ausschließlich nach Weisung des Maklers handelt.

Ausführliche Erklärung

Für Makler ist die Auftragsverarbeitung im Tagesgeschäft allgegenwärtig, weil kaum ein Büro alle Datenverarbeitungsvorgänge vollständig selbst durchführt: CRM- und Maklersoftware, Portale mit Datenabgleich, E-Mail-Marketing-Tools, externe Buchhaltung oder IT-Dienstleister mit Fernwartungszugriff sind typische Fälle.

  • Abgrenzung zur gemeinsamen Verantwortlichkeit: Entscheidend ist, dass der Auftragsverarbeiter keine eigenen Zwecke verfolgt und strikt nach den Weisungen des Verantwortlichen (Makler) handelt. Bestimmt der Dienstleister die Zwecke der Verarbeitung selbst mit, liegt keine Auftragsverarbeitung, sondern gemeinsame Verantwortlichkeit oder eine eigenständige Verarbeitung vor.
  • Vertragspflicht: Art. 28 Abs. 3 DSGVO verlangt einen schriftlichen (auch elektronischen) Auftragsverarbeitungsvertrag (AVV), der u. a. Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen regelt.
  • Pflichten des Auftragsverarbeiters: Er muss hinreichende Garantien für geeignete technische und organisatorische Maßnahmen bieten, Weisungen befolgen, Vertraulichkeit sicherstellen, bei der Erfüllung der Betroffenenrechte unterstützen und darf Unterauftragsverarbeiter nur mit vorheriger Genehmigung des Verantwortlichen einschalten.
  • Haftungsrisiko für den Makler: Der Makler bleibt als Verantwortlicher gegenüber Betroffenen und Aufsichtsbehörden in der Pflicht – er muss seine Auftragsverarbeiter sorgfältig auswählen und den AVV lückenlos abschließen, sonst drohen Bußgelder wegen fehlender oder unzureichender Vereinbarungen.
  • Praxisrelevanz: Vor dem Einsatz jeder externen Software oder jedes Dienstleisters mit Zugriff auf Kunden- oder Objektdaten sollte geprüft werden, ob Auftragsverarbeitung vorliegt und ein AVV vorliegt bzw. abzuschließen ist.

Beispiel aus der Praxis

Ein Makler nutzt eine Cloud-basierte CRM-Software eines externen Anbieters, in der Namen, Kontaktdaten und Suchprofile von Kaufinteressenten gespeichert werden. Da der Anbieter die Daten ausschließlich nach den Vorgaben des Maklers verarbeitet und keine eigenen Zwecke verfolgt, handelt es sich um Auftragsverarbeitung – der Makler muss mit dem Anbieter einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen.

Rechtsgrundlage

  • Art. 28 DSGVO – Pflichten bei der Beauftragung eines Auftragsverarbeiters, insbesondere Abschluss eines Auftragsverarbeitungsvertrags mit den in Abs. 3 genannten Mindestinhalten.
  • Art. 4 Nr. 8 DSGVO – Legaldefinition des Auftragsverarbeiters.

Verwandte Begriffe