Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Willkommen – heute zu einer wirklich langen Etappe. Artikel 28 gehört zu den Marathon-Artikeln der DS-GVO.

Er regelt ein besonderes Konstrukt – die Auftragsverarbeitung. Wer davon nie gehört hat, ist im Datenschutz nicht einmal Anfänger. Wer es vollständig verstanden hat, ist noch nicht geboren.

Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter

Der Auftragsverarbeiter wird in Artikel 4 Nr. 8 definiert als eine „Stelle, die personenbezogene Daten im Auftrag eines anderen verarbeitet“. In der Datenschutzpraxis gibt es sehr überraschende und komplizierte Zuordnungen, wann jemand als Verantwortlicher und wann als Auftragsverarbeiter gesehen wird. Dazu später mehr.

Die Auftragsverarbeitung als datenschutzrechtliche Privilegierung

Als Ausgangspunkt und wichtigste Orientierung: Die Auftragsverarbeitung sieht der Gesetzgeber als Privilegierung im Datenschutz. Normalerweise ist ja die Weitergabe von Daten an andere Rechtsträger eine Datenverarbeitung (Übermittlung), für die eine Rechtsgrundlage gebraucht wird. Sehr oft schalten Verantwortliche andere Rechtsträger für die Datenverarbeitung als Dienstleister ein (weil die Dienstleister Spezialwissen haben oder bessere Ausrüstung oder mehr Personal oder…). Der Verantwortliche lässt sich also helfen. Dafür fehlen uns aber im Datenschutz auf dem „üblichen Weg“ die Rechtsgrundlagen:

• Weitergabe der Daten vom Auftraggeber an den Dienstleister als Übermittlung – da würde vielleicht manchmal das „berechtigte Interesse“ aus
  Artikel 6 Abs. 1 UAbs. 1 lit. f) eingreifen, aber auch nicht immer (z. B. selten bei öffentlichen Stellen).
• Bearbeitung der Daten beim Dienstleister für den Auftraggeber – auch da bliebe hauptsächlich das „berechtigte Interesse“ und manchmal gar nichts.

Praktisches Beispiel: Eine Schule beauftragt einen IT-Dienstleister mit der EDV-Betreuung. Dann verarbeitet der Dienstleister viele Daten der Lehrer und Schüler. Wo ist dafür die Erlaubnisnorm? Mit den Lehrern und Schülern hat der Dienstleister keinen Vertrag. Von ihnen hat er auch keine Einwilligung. Die Schule dürfte die Daten verarbeiten, der Dienstleister – eigentlich – nicht.

Und der Kunstgriff der Auftragsverarbeitung ist nun: Wenn der Dienstleister nur das macht, was die Schule darf und wenn er es nur für die Schule, nach deren Weisungen tut, dann ist es erlaubt (als Auftragsverarbeitung).

Systematik der Auftragsverarbeitung

Klingt logisch und klar, ist manchmal trotzdem kompliziert. Aber fangen wir mit dem Einfachen an und laufen wir – wie schon häufiger – rückwärts, beginnend beim letzten, zehnten Absatz.

Dieser Absatz 10 enthält eine konsequente Aussage: Wenn der Auftragsverarbeiter die Weisungen seines Auftraggebers (des Verantwortlichen) missachtet, dann ist er nicht mehr Auftragsverarbeiter, sondern selbst verantwortlich. Passt.

Auch Absatz 9 ist klar und schnell abgewandert: Die Datenschutz-Regelungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter brauchen Textform. Damit man später nachlesen kann und im Streitfall jedenfalls nicht streiten muss, ob etwas geregelt war. Das passt auch zu Artikel 5 Absatz 2.

Absatz 8 hat keine Relevanz in der Praxis. (Oder kennen Sie Vertragsklauseln einer Aufsichtsbehörde? Dann bin ich für einen Hinweis dankbar.)

Absatz 7 betrifft das selbe Thema und ist sehr praxisrelevant: Die Kommission hat Klauseln „geschrieben“ (Näheres hier: Standardvertragsklauseln für Verantwortliche und Auftragsverarbeiter in der EU/im EWR). Einzelheiten „führen uns heute zu weit“ (vom Wanderweg ab).

Absatz 6 ist Streich-Potential. Gäbe es ihn nicht, würde sich nichts ändern. Und für Absatz 5 gilt dasselbe.

Bei Absatz 4 geht es um die – extrem häufigen und praxisrelevanten – Sub-Auftragsverarbeiter (und Sub-Sub- und Sub-Sub-Sub- etc.). Umständlich und unvollständig versucht Absatz 4 zu sagen: Für weitere Auftragsverarbeiter in derselben Kette gelten die Regeln nach Abs. 1 – 3 entsprechend; der jeweilige direkte Auftraggeber ist weisungsberechtigt und gegenüber seinem Auftraggeber wieder weisungsgebunden. Eigentlich gehört das zusammengefasst mit Absatz 2: Jeder Auftragsverarbeiter darf nur eigene Auftragsverarbeiter (unter-) beauftragen, wenn ihm das vom eigenen jeweiligen Auftraggeber erlaubt ist (allgemein oder für den Einzelfall). In der Praxis braucht jeder Auftragsverarbeiter eigene Dienstleister – es geht also eigentlich nie ohne die allgemeine Erlaubnis.

Bleiben noch Absatz 1 und 3. Der erste klärt, dass es um die „TOM“ geht, also um ausreichende Schutzvorkehrungen. (Eine extra Rechtsgrundlage braucht der Auftragsverarbeiter für die Verarbeitung ja gerade nicht, solange er sich an die Weisungen des Verantwortlichen hält. Sonst: Siehe Absatz 10.)

Zum Herzstück des Artikel 28

Und damit sind wir endlich beim Herz-Stück des Artikel 28: Der Absatz 3 legt fest, was – zwischen Verantwortlichen und Auftragsverarbeitern – festgelegt werden muss. Die Buchstaben a bis h (und der folgende Schluss-Satz) lassen sich sehr gut in eine Checkliste verwandeln. Wer einen AV-Vertrag prüft, muss alle Punkte der Checkliste wiederfinden. Sonst ist der Vertrag noch nicht gut.

Die DS-GVO verlangt also nicht, einen bestimmten Vertragsinhalt oder ganz bestimmte Klauseln. Aber die Inhalte aus Absatz 3 müssen gesichert sein. Und in der Praxis wird natürlich oft diskutiert, ob sie im Einzelfall noch gesichert sind. Nur zwei Beispiele:

Bei Buchstabe h gibt es dieselbe Diskussion (und dieselbe Antwort). Dort wollen aber manche Auftragsverarbeiter nicht „nur“ Geld für Inspektionen, sondern anstelle der Inspektion auf irgendwelche Nachweise abstellen (beliebt: „Wir sind doch 27001-zertifiziert.“). Das geht nicht. Dokumente und Zertifikate genügen nicht, um den „Echt-Zustand“ zu prüfen; der Verantwortliche oder „von ihm beauftragte Prüfer“ müssen also hereingelassen werden. Wenn der Auftragsverarbeiter Sicherheitsbedenken hat (wer ein Rechenzentrum für zehntausende Kunden betreibt, hat ungern täglich Hunderte Prüfer zu Gast), kann er z. B. mit dem Verantwortlichen verabreden, dass eine bestimmte dritte Einrichtung die Prüfungen durchführt. Aber das darf kein Prüfer aus dem Lager des Auftragsverarbeiters sein und er muss dem Verantwortlichen gehorchen (auch beim Prüfungsumfang).

Buchstabe e verlangt, dass der Auftragsverarbeiter den Verantwortlichen unterstützt, wenn es um Betroffenenrechte geht (z. B. Auskunftsanfrage, für deren Antwort Informationen vom Auftragsverarbeiter gebraucht werden). Oft schreiben Auftragsverarbeiter in ihre Vertragsmuster „machen wir, kostet aber extra“. Manchmal behaupten Datenschützer, das sei unzulässig. Das ist ein Irrtum: Die DS-GVO verlangt vom Auftragsverarbeiter nicht, dass er seine Pflichten kostenlos erfüllt. Der Verantwortliche kann über den Preis verhandeln – aber nicht mit einem DS-GVO-Verstoß argumentieren.

Fazit

Bis hierhin war alles recht einfach, oder? Nun zum (anfangs angekündigten) „Endgegner“: Wer ist Auftragsverarbeiter? Wer Verantwortlicher? Und wer „Gemeinsam Verantwortlicher“?

Die „Mittel und Zwecke“ der Verarbeitung legt der Verantwortliche fest, sagt Art. 4 Nr. 7.

Meist reduziert sich das auf die „Zwecke“. Die Mittel bestimmt oft der Auftragsverarbeiter, den der Verantwortliche gerade deshalb beauftragt hat (besseres Know How, bessere Ressourcen). Der Auftragsverarbeiter bekommt das Ziel genannt; er verarbeitet und „liefert“.

Wenn er nebenher – sehr oft – die Daten des Verantwortlichen zur Weiterentwicklung der eigenen Produkte nutzt, sind beide „Gemeinsam Verantwortliche“. (Da hilft es gar nichts, wenn der Dienstleister á la Google in den AV-Vertrag schreibt, er sei auch zur Produktentwicklung beauftragt. Den Auftrag hat sich der Dienstleister selbst erfunden.)

Und der Betriebsarzt? „Bitte untersuchen Sie die Höhentauglichkeit unserer Monteure.“ Klassisch Auftragsverarbeitung. Aber alle Datenschützer sind einig: Nein, der Betriebsarzt ist Verantwortlicher. Das Kurzpapier Nr. 13 der Datenschutzkonferenz (also der deutschen staatlichen Aufsichtsbehörden) formuliert in Anhang B:

„Keine Auftragsverarbeitung … sind beispielsweise in der Regel die Einbeziehung eines

• Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
• Inkassobüros mit Forderungsübertragung,
• Bankinstituts für den Geldtransfer,
• Postdienstes für den Brieftransport,

und vieles mehr.“

(Besonders gelungen für die Orientierung Hilfesuchender: „beispielsweise“ und „in der Regel“ und „und vieles mehr“.)

Begründung? Fehlanzeige. Es gibt wohl auch keine juristische, jedenfalls findet man nichts davon in der DS-GVO. Und genau das ist das Schwierige an Artikel 28: Wann man ihn nicht anwendet, steht nicht im Gesetz. Wie beim Wandern braucht es also Intuition, Orientierungssinn und Erfahrung.

Wir treffen uns dann bei Etappe 29!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die nationale und internationale Berichterstattung war in den vergangenen Wochen „gut gefüllt“ vom vermeintlich größten IT-Ausfall aller Zeiten – die Rede ist vom Vorfall Crowdstrike. Im nachfolgenden Beitrag wollen wir kurz den Vorfall näher beleuchten und anschließend der Frage nachgehen, welche Bedeutung derartige Konstellationen für die Informationssicherheit und den Datenschutz haben können.

Was war eigentlich passiert?

Am 19. Juli 2024 kam es durch ein fehlerhaftes Update des Sicherheitsanbieters Crowdstrike weltweit zu Millionen von Störungen und Ausfällen bei Microsoft-Systemen. Betroffen waren Organisationen in zahlreichen Branchen, darunter auch Betreiber Kritischer Infrastrukturen, d.h. Flughäfen, Krankenhäuser, Behörden und eine Vielzahl weiterer Organisationen. Medial viral gingen Bilder von sogenannten Bluescreens.

Ursache für die Ausfälle ist offenbar ein fehlerhaftes Update des Herstellers Crowdstrike im Produkt Crowdstrike Falcon, einer weit verbreitete Enterprise Detection und Response (EDR) Schutzsoftware für Endgeräte. Die IT-Sicherheitslösung von Crowdstrike wird von zahlreichen weiteren IT-Diensten genutzt, die in der Folge ausgefallen sind. Weitere Schilderungen und Informationen wurden durch das BSI zur Verfügung gestellt. Cyberkriminelle nutzen die Vorfälle für unterschiedliche Formen von Phishing, Scam oder Fake-Webseiten aus. Berichten zufolge gibt es jedoch auch zahlreiche Organisationen, die vom Vorfall nicht betroffen waren, obwohl die mutmaßlichen Gründe hierfür nicht unbedingt ein sicheres Gefühl vermitteln.

Ebenso haben sich Claudia Plattner, Präsidentin des BSI, und Manuel Atug, Gründer und Sprecher der Arbeitsgruppe Kritische Infrastrukturen, zu den IT-Ausfällen geäußert. Crowdstrike selbst veröffentlichte im Anschluss zeitnah eine Ursachenanalyse. Der Digitalverband Bitkom und das BSI haben in der Folge eine Umfrage veröffentlicht, die darauf abzielt in welcher Form Unternehmen von dem Vorfall betroffen waren und ob Notfallpläne zur Verfügung standen und welche Maßnahmen ergriffen wurden.

Eine rechtliche Einordnung

Als Folge des Vorfalls werden nunmehr viele Fragen rund um eine mögliche Haftung von Crowdstrike diskutiert. In Betracht gezogen werden neben vertraglichen Ansprüchen auch das Produkthaftungs- sowie das Datenschutzrecht. Einer der Streitpunkte sind hier insbesondere die AGB von Crowdstrike. Eine mögliche Darstellung zur Sachlage gibt es hier. Offene Fragen gibt es außerdem hinsichtlich der Verantwortlichkeit von Microsoft und einer möglichen Überprüfungspflicht gegenüber des eingesetzten Unterauftragsverarbeiters Crowdstrike.

An dieser Stelle möchten wir mit der Betrachtung tiefer einsteigen. Es soll im Kern weder um mögliche Haftungsansprüche noch um eine vertiefte Auseinandersetzung mit dem Fall Crowdstrike gehen. Vielmehr wollen wir der Frage nach den grundsätzlichen bestehenden Verantwortlichkeiten aus dem Recht der Informationssicherheit und insbesondere dem Datenschutzrecht nachgehen.

Zur Ausgangssituation: Eine umfassende und übergreifende Pflicht zur Herstellung von Informationssicherheit besteht nicht. Ebenso wenig erschöpft sich das Recht der Informationssicherheit in einer einzigen Rechtsquelle. Mit Blick auf die aktuelle Normenlandschaft wird jedoch klar, dass in der Informationssicherheit umfassende Pflichten bestehen. Diese folgen zum Beispiel aus dem Gesellschaftsrecht, dem Datenschutzrecht, branchen- und sektorspezifischen Vorgaben usw. Für Beauftragung von Dienstleistern gibt es aus Organisationssicht ebenfalls eine Reihe von Gründen. Hierzu gehören allen voran die steigende Komplexität von Prozesse und den dazugehörigen Anwendungen sowie die rasant voranschreitende Technologieentwicklung und nicht zu vergessen die kontinuierlichen wachsenden rechtlichen Anforderungen an die Informationssicherheit.

Insbesondere im Bereich der Cybersicherheit bzw. IT-Sicherheit wächst das Bedürfnis aufgrund der aktuellen Bedrohungslage sich mit externen Fachdienstleistern vermeintlich sicher aufzustellen. Organisationen hegen dabei ein großes Interesse an der Erfüllung von Informationssicherheitspflichten durch die jeweiligen Vertragspartner, um so unter anderem mögliche Haftungsrisiken zu steuern.

Insofern Organisationen entsprechenden Pflichten unterliegen, werden sie bei der Inanspruchnahme von Dienstleistern bestrebt sein, den jeweilig beauftragten Vertragspartner auf die Einhaltung der bestehenden Informationssicherheitspflichten zu verpflichten und diese mithin „in der Kette“ weiterzugeben beziehungsweise durchzureichen. Hierbei ist jedoch zu berücksichtigen, dass die auslagernden Organisationen auch bei der Erfüllung der Informationssicherheitsvorgaben durch ihre Auftragnehmer nicht gänzlich von den bestehenden Pflichten entbunden werden. Die grundlegende Verantwortung kann gerade nicht entlang der Kette weitegereicht werden. Es verbleiben insoweit mindestens Überprüfungs- und zuweilen auch Nachweispflichten. Mit der Erforderlichkeit zur Prüfung von Dienstleistern aus Sicht der Informationssicherheit haben sich mein Kollege Max Just und ich uns in unserem Beitrag zum 20. Deutschen IT-Sicherheitskongress bereits vertieft auseinandergesetzt. Interessierte können hier jederzeit nachlasen.

Schwenken wir nun zum Datenschutzrecht: Im Rahmen einer Auftragsverarbeitung kann sich eine Prüfpflicht bereits aus Art. 28 Abs. 1 DS-GVO (Geeignetheit des Auftragsverarbeiters) und einem bestehenden Haftungsrisiko des Verantwortlichen ergeben. Weiter ergeben sich für die Auftragsverarbeiter nach Art. 28 Abs. 2 und Abs. 4 DS-GVO Pflichten zur Überprüfung und Beaufsichtigung der eingesetzten Unterauftragnehmer. Ebenso ist Art. 32 DS-GVO mit seiner Verpflichtung für eine angemessene Sicherheit der Verarbeitung zu sorgen, heranzuziehen. Diese Verpflichtung adressiert Verantwortliche sowie auch Auftragsverarbeiter.

Mit Blick auf das Datenschutzrecht gibt es hier ein anschauliches Interview zwischen netzpolitik.org und Dr. Stefan Brink, dem ehemaligen Landesdatenschutzbeauftragten von Baden-Württemberg, in dem mögliche datenschutzrechtliche Folgen betrachtet werden. Es wird aber deutlich hervorgehoben: „Datenschutzrechtlich kann sich Microsoft gegenüber seinen Kunden jedenfalls nicht darauf berufen, dass die Datenverarbeitungspanne nicht von ihnen, sondern von einem Sub-Unternehmer zu verantworten wäre. Als Auftragsverarbeiter ersten Ranges treffen Microsoft stets die vollen datenschutzrechtlichen Pflichten. […] Wirtschaftlich mag sich das Risiko von Datenverarbeitungen verschieben lassen, datenschutzrechtlich bleibt der „Verantwortliche“, also der Vertragspartner des Endkunden, immer in der Haftung.“ Eine Entlastung von Rechtsverstößen der Dienstleister sei daher ausgeschlossen.

Fazit

Was bleibt? „Aus den Augen aus dem Sinn“ gilt in der Informationssicherheit gerade nicht. Es ist unumgänglich, dass Organisationen auch bei Auslagerung von Prozessen oder Leistungen dennoch für die Einhaltung der Vorgaben der Informationssicherheit und damit auch des Datenschutzes verantwortlich bleiben. Vorfälle wie bei Crowdstrike müssen Organisationen einmal mehr vor Augen führen, dass ein „Durchreichen“ von Verantwortlichkeit nicht vollständig auf externe Auftragnehmer bzw. Dienstleister möglich ist.  

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.