Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Willkommen – heute zu einer wirklich langen Etappe. Artikel 28 gehört zu den Marathon-Artikeln der DS-GVO.
Er regelt ein besonderes Konstrukt – die Auftragsverarbeitung. Wer davon nie gehört hat, ist im Datenschutz nicht einmal Anfänger. Wer es vollständig verstanden hat, ist noch nicht geboren.
Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter
Der Auftragsverarbeiter wird in Artikel 4 Nr. 8 definiert als eine „Stelle, die personenbezogene Daten im Auftrag eines anderen verarbeitet“. In der Datenschutzpraxis gibt es sehr überraschende und komplizierte Zuordnungen, wann jemand als Verantwortlicher und wann als Auftragsverarbeiter gesehen wird. Dazu später mehr.
Die Auftragsverarbeitung als datenschutzrechtliche Privilegierung
Als Ausgangspunkt und wichtigste Orientierung: Die Auftragsverarbeitung sieht der Gesetzgeber als Privilegierung im Datenschutz. Normalerweise ist ja die Weitergabe von Daten an andere Rechtsträger eine Datenverarbeitung (Übermittlung), für die eine Rechtsgrundlage gebraucht wird. Sehr oft schalten Verantwortliche andere Rechtsträger für die Datenverarbeitung als Dienstleister ein (weil die Dienstleister Spezialwissen haben oder bessere Ausrüstung oder mehr Personal oder…). Der Verantwortliche lässt sich also helfen. Dafür fehlen uns aber im Datenschutz auf dem „üblichen Weg“ die Rechtsgrundlagen:
- Weitergabe der Daten vom Auftraggeber an den Dienstleister als Übermittlung – da würde vielleicht manchmal das „berechtigte Interesse“ aus
Artikel 6 Abs. 1 UAbs. 1 lit. f) eingreifen, aber auch nicht immer (z. B. selten bei öffentlichen Stellen). - Bearbeitung der Daten beim Dienstleister für den Auftraggeber – auch da bliebe hauptsächlich das „berechtigte Interesse“ und manchmal gar nichts.
Praktisches Beispiel: Eine Schule beauftragt einen IT-Dienstleister mit der EDV-Betreuung. Dann verarbeitet der Dienstleister viele Daten der Lehrer und Schüler. Wo ist dafür die Erlaubnisnorm? Mit den Lehrern und Schülern hat der Dienstleister keinen Vertrag. Von ihnen hat er auch keine Einwilligung. Die Schule dürfte die Daten verarbeiten, der Dienstleister – eigentlich – nicht.
Und der Kunstgriff der Auftragsverarbeitung ist nun: Wenn der Dienstleister nur das macht, was die Schule darf und wenn er es nur für die Schule, nach deren Weisungen tut, dann ist es erlaubt (als Auftragsverarbeitung).
Systematik der Auftragsverarbeitung
Klingt logisch und klar, ist manchmal trotzdem kompliziert. Aber fangen wir mit dem Einfachen an und laufen wir – wie schon häufiger – rückwärts, beginnend beim letzten, zehnten Absatz.
Dieser Absatz 10 enthält eine konsequente Aussage: Wenn der Auftragsverarbeiter die Weisungen seines Auftraggebers (des Verantwortlichen) missachtet, dann ist er nicht mehr Auftragsverarbeiter, sondern selbst verantwortlich. Passt.
Auch Absatz 9 ist klar und schnell abgewandert: Die Datenschutz-Regelungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter brauchen Textform. Damit man später nachlesen kann und im Streitfall jedenfalls nicht streiten muss, ob etwas geregelt war. Das passt auch zu Artikel 5 Absatz 2.
Absatz 8 hat keine Relevanz in der Praxis. (Oder kennen Sie Vertragsklauseln einer Aufsichtsbehörde? Dann bin ich für einen Hinweis dankbar.)
Absatz 7 betrifft das selbe Thema und ist sehr praxisrelevant: Die Kommission hat Klauseln „geschrieben“ (Näheres hier: Standardvertragsklauseln für Verantwortliche und Auftragsverarbeiter in der EU/im EWR). Einzelheiten „führen uns heute zu weit“ (vom Wanderweg ab).
Absatz 6 ist Streich-Potential. Gäbe es ihn nicht, würde sich nichts ändern. Und für Absatz 5 gilt dasselbe.
Bei Absatz 4 geht es um die – extrem häufigen und praxisrelevanten – Sub-Auftragsverarbeiter (und Sub-Sub- und Sub-Sub-Sub- etc.). Umständlich und unvollständig versucht Absatz 4 zu sagen: Für weitere Auftragsverarbeiter in derselben Kette gelten die Regeln nach Abs. 1 – 3 entsprechend; der jeweilige direkte Auftraggeber ist weisungsberechtigt und gegenüber seinem Auftraggeber wieder weisungsgebunden. Eigentlich gehört das zusammengefasst mit Absatz 2: Jeder Auftragsverarbeiter darf nur eigene Auftragsverarbeiter (unter-) beauftragen, wenn ihm das vom eigenen jeweiligen Auftraggeber erlaubt ist (allgemein oder für den Einzelfall). In der Praxis braucht jeder Auftragsverarbeiter eigene Dienstleister – es geht also eigentlich nie ohne die allgemeine Erlaubnis.
Bleiben noch Absatz 1 und 3. Der erste klärt, dass es um die „TOM“ geht, also um ausreichende Schutzvorkehrungen. (Eine extra Rechtsgrundlage braucht der Auftragsverarbeiter für die Verarbeitung ja gerade nicht, solange er sich an die Weisungen des Verantwortlichen hält. Sonst: Siehe Absatz 10.)
Zum Herzstück des Artikel 28
Und damit sind wir endlich beim Herz-Stück des Artikel 28: Der Absatz 3 legt fest, was – zwischen Verantwortlichen und Auftragsverarbeitern – festgelegt werden muss. Die Buchstaben a bis h (und der folgende Schluss-Satz) lassen sich sehr gut in eine Checkliste verwandeln. Wer einen AV-Vertrag prüft, muss alle Punkte der Checkliste wiederfinden. Sonst ist der Vertrag noch nicht gut.
Die DS-GVO verlangt also nicht, einen bestimmten Vertragsinhalt oder ganz bestimmte Klauseln. Aber die Inhalte aus Absatz 3 müssen gesichert sein. Und in der Praxis wird natürlich oft diskutiert, ob sie im Einzelfall noch gesichert sind. Nur zwei Beispiele:
Bei Buchstabe h gibt es dieselbe Diskussion (und dieselbe Antwort). Dort wollen aber manche Auftragsverarbeiter nicht „nur“ Geld für Inspektionen, sondern anstelle der Inspektion auf irgendwelche Nachweise abstellen (beliebt: „Wir sind doch 27001-zertifiziert.“). Das geht nicht. Dokumente und Zertifikate genügen nicht, um den „Echt-Zustand“ zu prüfen; der Verantwortliche oder „von ihm beauftragte Prüfer“ müssen also hereingelassen werden. Wenn der Auftragsverarbeiter Sicherheitsbedenken hat (wer ein Rechenzentrum für zehntausende Kunden betreibt, hat ungern täglich Hunderte Prüfer zu Gast), kann er z. B. mit dem Verantwortlichen verabreden, dass eine bestimmte dritte Einrichtung die Prüfungen durchführt. Aber das darf kein Prüfer aus dem Lager des Auftragsverarbeiters sein und er muss dem Verantwortlichen gehorchen (auch beim Prüfungsumfang).
Buchstabe e verlangt, dass der Auftragsverarbeiter den Verantwortlichen unterstützt, wenn es um Betroffenenrechte geht (z. B. Auskunftsanfrage, für deren Antwort Informationen vom Auftragsverarbeiter gebraucht werden). Oft schreiben Auftragsverarbeiter in ihre Vertragsmuster „machen wir, kostet aber extra“. Manchmal behaupten Datenschützer, das sei unzulässig. Das ist ein Irrtum: Die DS-GVO verlangt vom Auftragsverarbeiter nicht, dass er seine Pflichten kostenlos erfüllt. Der Verantwortliche kann über den Preis verhandeln – aber nicht mit einem DS-GVO-Verstoß argumentieren.
Fazit
Bis hierhin war alles recht einfach, oder? Nun zum (anfangs angekündigten) „Endgegner“: Wer ist Auftragsverarbeiter? Wer Verantwortlicher? Und wer „Gemeinsam Verantwortlicher“?
Die „Mittel und Zwecke“ der Verarbeitung legt der Verantwortliche fest, sagt Art. 4 Nr. 7.
Meist reduziert sich das auf die „Zwecke“. Die Mittel bestimmt oft der Auftragsverarbeiter, den der Verantwortliche gerade deshalb beauftragt hat (besseres Know How, bessere Ressourcen). Der Auftragsverarbeiter bekommt das Ziel genannt; er verarbeitet und „liefert“.
Wenn er nebenher – sehr oft – die Daten des Verantwortlichen zur Weiterentwicklung der eigenen Produkte nutzt, sind beide „Gemeinsam Verantwortliche“. (Da hilft es gar nichts, wenn der Dienstleister á la Google in den AV-Vertrag schreibt, er sei auch zur Produktentwicklung beauftragt. Den Auftrag hat sich der Dienstleister selbst erfunden.)
Und der Betriebsarzt? „Bitte untersuchen Sie die Höhentauglichkeit unserer Monteure.“ Klassisch Auftragsverarbeitung. Aber alle Datenschützer sind einig: Nein, der Betriebsarzt ist Verantwortlicher. Das Kurzpapier Nr. 13 der Datenschutzkonferenz (also der deutschen staatlichen Aufsichtsbehörden) formuliert in Anhang B:
„Keine Auftragsverarbeitung … sind beispielsweise in der Regel die Einbeziehung eines
- Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
- Inkassobüros mit Forderungsübertragung,
- Bankinstituts für den Geldtransfer,
- Postdienstes für den Brieftransport,
und vieles mehr.“
(Besonders gelungen für die Orientierung Hilfesuchender: „beispielsweise“ und „in der Regel“ und „und vieles mehr“.)
Begründung? Fehlanzeige. Es gibt wohl auch keine juristische, jedenfalls findet man nichts davon in der DS-GVO. Und genau das ist das Schwierige an Artikel 28: Wann man ihn nicht anwendet, steht nicht im Gesetz. Wie beim Wandern braucht es also Intuition, Orientierungssinn und Erfahrung.
Wir treffen uns dann bei Etappe 29!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
