Auftragsverarbeitung und Abwicklung von Herstellergarantie
Frage des GDD-Erfa-Kreises Würzburg zur Auftragsverarbeitung:
Unternehmen B verkauft hochpreisige Produkte, wofür er Einzelteile der Firma A verarbeitet, z. B. Motoren. Diese Motoren haben eine Werksgarantie. A möchte, dass B die Käuferdaten vom Käufer C an A weitergibt, damit
a) C sich selbständig im Sachmangelfall an A wenden kann (und A den C gleich zuordnen kann).
b) Sollte sich im Sachmangelfall, z. B. Motor defekt, C an B wenden, gibt B die Daten von C auch an A, damit A direkt mit C in Verbindung treten kann.
- Ist in diesen Konstellationen ein Auftragsverarbeitungsvertrag notwendig?
Antwort BayLDA:
Auch dies stellt keinen Fall von Auftragsverarbeitung dar, da B in Fällen, in denen sich Käufer an ihn wenden, die Daten zum Zwecke der Erbringung der Leistungen aus der Herstellergarantie verarbeitet, also insoweit selbst die Zwecke der Datenverarbeitung (eben die Verarbeitung zwecks Erfüllung der Herstellergarantie) festgelegt hat.
Da B somit Verantwortlicher ist, bedarf es für die Übermittlung der Daten des Käufers von B an A einer Rechtsgrundlage nach Art. 6 DS-GVO. Zu prüfen ist zunächst, ob zwischen A und C ein Garantievertrag zustande gekommen ist (dies kann im Einzelfall durchaus sein, erfordert aber einen wirksamen zivilrechtlichen Vertragsschluss hinsichtlich der Garantie zwischen A und C – dies müsste zivilrechtlich geprüft werden, wir als Aufsichtsbehörde können grundsätzlich keine zivilrechtlichen Fragen prüfen). Sofern kein Vertragsschluss zwischen A und C vorliegt, wäre für die Übermittlung eine Einwilligung des Käufers gem. Art. 6 Abs. 1 a) DS-GVO erforderlich.
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
