Allerdings werden teilweise zur onlinebasierten Datenerhebung auch Werkzeuge von Dienstleistern, Lieferanten und Herstellern eingesetzt. Möglicherweise erfolgt die Datenverarbeitung dann nicht mehr im SHK-Unternehmen selbst, sondern extern, so dass ein Fall der sogenannten Auftragsdatenverarbeitung vorliegt. Ein Beispiel ist der Heizungsrechner der Firma Viessmann, der – integriert auf der Webseite des SHK-Unternehmens Kundendaten generiert, die von einem externen Dienstleister verarbeitet werden. Aber auch im sonstigen Geschäftsalltag gibt es regelmäßig Fälle von Auftragsdatenverarbeitung, bei der oben genannte Vorschrift zu beachten ist, etwa bei Einschaltung von Werbeagenturen, denen zum Versand von Werbematerial die Kundendaten des SHK-Betriebs übermittelt werden. Auch die datenverarbeitungstechnische Arbeit für die Finanzbuchhaltung durch einen Dienstleister stellt insoweit eine Auftragsdatenverarbeitung dar.
Im Rahmen der Auftragsdatenverarbeitung ist die Übermittlung zulässig erhobener Daten uneingeschränkt erlaubt. Allerdings bleibt der Auftraggeber (SHK-Unternehmer) für die Einhaltung der Datenschutzbestimmungen verantwortlich. Im Rahmen dieser Verantwortung ist insbesondere § 11 Abs. 2 Bundesdatenschutzgesetz (BDSG) wichtig. Dieser schreibt vor, dass
In all diesen Fällen muss der oben genannte schriftliche Auftrag unter Beachtung folgender inhaltlicher Anforderungen erteilt werden (§ 11 Abs. 2 BDSG):
Für Ihre Verwendung finden Sie eine allgemeine Mustervereinbarung zur Auftragsdatenverarbeitung beispielsweise hier: https://www.bfdi.bund.de/bfdi_wiki/index.php/Mustervereinbarung_Auftragsdatenverarbeitung
Außerdem steht Ihnen im Menüpunkt Recht das weiterhin aktuelle ZVSHK-Merkblatt „Datenschutz in Unternehmen“ zum Download zur Verfügung.