Durch die zunehmende Komplexität von Arbeitsprozessen und die fortschreitende Spezialisierung von Organisationen werden immer öfter auch die Verarbeitungen personenbezogener Daten an andere Stellen ausgelagert. In der Praxis ergeben sich hierbei immer öfter Schwierigkeiten in der Einschätzung des (datenschutz-)rechtlichen Verhältnisses zwischen den beteiligten Vertragsparteien. Eine bedeutende Rolle nimmt in diesem Zusammenhang die sogenannte Auftragsverarbeitung ein. Der nachfolgende Beitrag soll Anhaltspunkte liefern, in welchen Konstellationen eine Auftragsverarbeitung regelmäßig anzunehmen ist.
Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortliche
Zur Klärung der Frage, in welchen konkreten Fällen eine Auftragsverarbeitung vorliegt, sind zunächst die Begrifflichkeiten des Verantwortlichen, des Auftragsverarbeiters sowie der gemeinsam Verantwortlichen anhand der Definitionen in der Datenschutz-Grundverordnung aufzugreifen.
Bei einem Verantwortlichen handelt es sich gemäß Art. 4 Nr. 7 DS-GVO um jede „natürliche oder juristische Person, Behörde, Einrichtung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […].“ In Abgrenzung hierzu, handelt es sich gemäß Art. 4 Nr. 8 DS-GVO bei einem Auftragsverarbeiter um jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Der Verantwortliche definiert sich somit insbesondere dadurch, dass dieser stets die Zwecke und Mittel der Datenverarbeitung festlegt, also über das „ob“ und „wie“ der Datenverarbeitung entscheidet, wohingegen der Auftragsverarbeiter eben diese Datenverarbeitung lediglich auf Weisung umsetzt.
Legt ein Verantwortlicher mit einem oder mehreren weiteren Verantwortlichen gemeinsam die Zwecke und Mittel der Datenverarbeitung fest, handelt es sich gemäß Art. 26 Abs. 1 Satz 1 DS-GVO um gemeinsam Verantwortliche.
Eine saubere Unterscheidung dieser Begrifflichkeiten hat in der Praxis eine große Bedeutung, da je nach Konstellation unterschiedliche Vertragswerke zugrunde zu legen sind und sich auch die Haftungsregelungen unterscheiden können. So ist unter Beachtung des Art. 82 Abs. 2 Satz 2 DS-GVO eine Haftung des Verantwortlichen für Tätigkeiten des Auftragsverarbeiter grundsätzlich nicht ausgeschlossen.
Voraussetzungen für eine Auftragsverarbeitung
Der Europäische Datenschutzausschuss (EDSA) nennt in seinen Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS-GVO zwei grundsätzliche Voraussetzungen zur Einstufung als Auftragsverarbeiter. Einerseits muss es sich bei einem Auftragsverarbeiter um eine von dem Verantwortlichen getrennten Stelle handeln, andererseits muss dieser die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeiten.
Das erstgenannte Kriterium bedarf keiner näheren Betrachtung, dient es insbesondere der Klarstellung, dass Fachabteilungen innerhalb eines Verantwortlichen gegenseitig keine Auftragsverarbeitungen durchführen können. Hingegen sind Unternehmen innerhalb eines Konzernverbundes regelmäßig jeweils als eigenständige Verantwortliche einzustufen, sodass diese gegenseitig Auftragsverarbeitungen erbringen können, z.B. in Form von Shared Services.
In der Praxis liegt der Streitpunkt jedoch viel häufiger bei der Frage, ob im jeweiligen Einzelfall eine Verarbeitung personenbezogener Daten im Auftrag erfolgt. Der EDSA definiert in den Leitlinien das Handeln im Auftrag in Anlehnung an das Rechtskonzept der Delegation als Dienen im Interesse eines anderen. Im datenschutzrechtlichen Kontext bedeute dies, dass „ein Auftragsverarbeiter die Weisungen des Verantwortlichen zumindest in Beug auf den Zweck der Verarbeitung und die wesentlichen Elemente der Mittel“ umzusetzen hat. Weiterhin schließe ein Handeln im Auftrag des Verantwortlichen die Verarbeitung personenbezogener Daten zu eigenen Zwecken des Auftragsverarbeiter aus, diesen Schluss lasse insbesondere Art. 28 Abs. 10 DS-GVO zu.
Aus den Ausführungen des EDSA ergibt sich jedoch zwangsläufig die Anschlussfrage nach den wesentlichen und den unwesentlichen Elementen der Mittel einer Datenverarbeitung. Der EDSA nimmt in den benannten Leitlinien folgende Zuweisung vor: Die Festlegung wesentlicher Elemente obliege stets dem Verantwortlichen. Dabei handele es sich um Kriterien, die in einem engen Zusammenhang mit dem Zweck und dem Umfang der Datenverarbeitung stehen, also insbesondere die Art der verarbeiteten personenbezogenen Daten, die Kategorien der betroffenen Personen, die Dauer der Verarbeitung sowie die Kategorien von Empfängern. Bei unwesentlichen Elementen handele es sich hingegen insbesondere um „praktische Aspekte der Umsetzung“ oder umzusetzende Sicherheitsmaßnahmen.
Eine Besonderheit: Die Bereitstellung von Cloud-Anwendungen
Im Kontext der seitens des EDSA aufgestellten Kriterien stellt sich nun die Frage, ob die Nutzung cloudbasierter Anwendungen dann überhaupt eine Auftragsverarbeitung darstellt. Es könnte behauptet werden, allein der Cloudanbieter sei in der Lage über die wesentlichen Elemente bezüglich der Mittel einer Datenverarbeitung zu entscheiden. Schließlich darf die Möglichkeit zur Einflussnahme des Verantwortlichen auf die Datenverarbeitung, zum Beispiel hinsichtlich der konkreten Speicherdauer oder der Übermittlung an Unter-Auftragsverarbeiter, eines weltweit agierenden Cloudanbieters ernsthaft angezweifelt werden.
Doch auch hierauf findet der EDSA eine nachvollziehbare Antwort: „Selbst wenn der Auftragsverarbeiter eine Dienstleistung anbietet, die vorab in einer bestimmten Weise definiert wurde, muss er dem Verantwortlichen eine ausführliche Beschreibung der Dienstleistung vorlegen und der Verantwortliche muss die endgültige Entscheidung treffen, die Art und Weise der Verarbeitung aktiv zu genehmigen und erforderlichenfalls Änderungen zu verlangen. Des Weiteren kann der Auftragsverarbeiter die wesentlichen Elemente der Verarbeitung zu einem späteren Zeitpunkt nicht ohne Zustimmung des Verantwortlichen ändern.“
Eine Auftragsverarbeitung kann demnach also auch dann vorliegen, wenn der Auftragnehmer wesentliche Elemente der Datenverarbeitung vorab festlegt, dem Auftraggeber jedoch zumindest die Einflussnahme hinsichtlich der tatsächlichen Durchführung der Datenverarbeitung möglich ist. Dies gelte auch dann, wenn der Auftraggeber ausschließlich zwischen Auftragsvergabe (Datenverarbeitung findet statt) und keiner Auftragsvergabe (Datenverarbeitung bleibt aus) wählen kann.
Übrigens liegt nach Ansicht des EDSA auch dann eine Auftragsverarbeitung vor, sofern die Verarbeitung personenbezogener Daten nicht den hauptsächlichen oder vorrangigen Gegenstand der angebotenen Dienstleistung darstellt. Dies ist beispielsweise dann relevant, sofern innerhalb der Cloud-Anwendung primär keine personenbezogenen Daten gespeichert, aber zur Gewährleistung einer ordnungsgemäßen Funktionalität personenbezogene Daten in Form von IP-Adressen und Zugriffszeiten verarbeitet werden müssen.
Typische Auftragsverarbeitungen
Fernab dieses Anwendungsfalls haben die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) im Rahmen ihres Kurzpapier Nr. 13 bereits im Jahr 2018 eine Reihe weiterer typischer Auftragsverarbeitungen benannt. Hierzu gehören beispielsweise Datenverarbeitungen im Zusammenhang mit der Lohn- und Gehaltsabrechnung sowie der Finanzbuchhaltung; die Adressverarbeitung durch einen Lettershop; die Datenträgerentsorgung durch einen Dienstleister sowie die Prüfung und Wartung von Datenverarbeitungsanlagen, sofern dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
Im Gegensatz dazu ist eine Auftragsverarbeitung jedoch regelmäßig ausgeschlossen, wenn Datenverarbeitungen durch einen Berufsgeheimnisträger (z.B. Steuerberater, Rechtsanwälte, Wirtschaftsprüfer) durchgeführt werden und die jeweilige Tätigkeit dem Berufsrecht unterliegt, das heißt grundsätzlich weisungsfrei und demnach eigenständig ausgeübt werden muss.
Fazit
Auch wenn die Einschätzung der datenschutzrechtlichen Verhältnisse zwischen den datenverarbeitenden Stellen nicht immer einfach ist, so bieten die benannten Veröffentlichungen des EDSA und der DSK sinnvolle Kriterien und Anwendungsbeispiele. Wird das Vorliegen einer Auftragsverarbeitung festgestellt, ist zwischen den beteiligten Vertragsparteien zwingend ein Vertrag zur Auftragsverarbeitung abzuschließen. Hierbei muss vorab geprüft werden, ob der Vertrag sämtliche der durch Art. 28 DS-GVO geforderte Inhalte bereithält. Auch dabei ist der Datenschutzbeauftragte Freund und Helfer.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
