Die Arbeitsteilung und die Auslagerung von Tätigkeiten und Prozessen an Dienstleister sind in der Privatwirtschaft allgegenwärtig. Dementsprechend sieht das Datenschutzrecht verschiedene Formen der Datenverarbeitung unter Beteiligung mehrerer Unternehmen vor, die mit unterschiedlichen bußgeldbewehrten Pflichten einhergehen. Vor diesem Hintergrund ist eine Differenzierung zwischen den Rechtsinstituten der alleinigen Verantwortlichkeit, der gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung in der Praxis von größter Bedeutung.
Der Inhalt im Überblick
- Die Schlüsselfigur der DSGVO: der Verantwortliche
- Alleinige Verantwortlichkeit, gemeinsame Verantwortlichkeit und Auftragsverarbeitung
- Verantwortlichkeit oder Auftragsverarbeitung?
- Wann handelt es sich um eine Auftragsverarbeitung?
- Alleinige oder gemeinsame Verantwortlichkeit?
- Wie können Unternehmen vorgehen?
- Webinar zum Thema Auftragsverarbeitung
Die Schlüsselfigur der DSGVO: der Verantwortliche
Normadressat der Bestimmungen der Datenschutz-Grundverordnung ist in erster Linie der Verantwortliche, der für die Einhaltung der Datenschutznormen verantwortlich und in Art. 4 Nr. 7 DSGVO legal definiert ist. Zudem ist der Begriff des Verantwortlichen auch für die Frage wichtig, wie die Betroffenen ihre Rechte ausüben können. Verantwortlicher kann gemäß Art. 4 Nr. 7 DSGVO eine juristische oder eine natürliche Person, eine Behörde, eine Einrichtung oder andere Stelle sein. Das grundlegende Merkmal des Konzepts des Verantwortlichen ist allerdings die Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten.
Ob ein an einer Datenverarbeitung Beteiligter die Entscheidungsmacht bezüglich der Datenverarbeitung hat, ist anhand sämtlicher Umstände des Einzelfalls zu prüfen. Die Entscheidungsmacht eines Beteiligten kann allerdings auch aus gesetzlichen Regelungen des Unionsrechts oder eines Mitgliedstaates resultieren. Dies ist dann der Fall, wenn ein Beteiligter zu einer Datenverarbeitung zu einem bestimmten Zweck gesetzlich verpflichtet wird oder zur Erfüllung einer Aufgabe, für die eine Datenverarbeitung erforderlich ist. Ferner sind die zwischen den Beteiligten abgeschlossenen Verträge zu prüfen, da diese den Einfluss der Parteien auf die Datenverarbeitung indizieren können. Maßgeblich ist allerdings der tatsächliche Einfluss auf die Datenverarbeitung. Insoweit ist die datenschutzrechtliche Rolle eines Akteurs nicht verhandelbar.
Alleinige Verantwortlichkeit, gemeinsame Verantwortlichkeit und Auftragsverarbeitung
Bei einer Datenverarbeitung unter Beteiligung von mehreren Akteuren sind neben einer getrennten alleinigen Verantwortlichkeit auch eine Verarbeitung in Form einer gemeinsamen Verantwortlichkeit oder einer Auftragsverarbeitung möglich. An jede dieser Verarbeitungsformen sind unterschiedliche bußgeldbewehrte Pflichten geknüpft, sodass deren Unterscheidung für die Praxis unentbehrlich ist.
Während jeder Verantwortliche für die Datenverarbeitung immer eine eigene Rechtsgrundlage benötigt, ist für die Datenverarbeitung durch den Auftragsverarbeiter keine weitere Rechtsgrundlage erforderlich als diejenige, auf die sich die Datenverarbeitung durch den Verantwortlichen stützt. Ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter bildet gemäß Art. 28 Abs. 3 DSGVO die Grundlage für die Weitergabe von personenbezogenen Daten an den Auftragsverarbeiter durch den Verantwortlichen. Sind die Voraussetzungen für eine gemeinsame Verantwortlichkeit gegeben, dann müssen die gemeinsam Verantwortlichen gemäß Art. 26 Abs. 1 S.2 DSGVO in einer Vereinbarung u.a. festlegen, welche datenschutzrechtlichen Pflichten von wem erfüllt werden.
In einem ersten Schritt empfiehlt es sich zu prüfen, ob der Akteur als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO handelt oder aber ob er die personenbezogenen Daten im Auftrag eines Verantwortlichen verarbeitet. Handelt es sich bei den Beteiligten um Verantwortliche, dann muss in einem zweiten Schritt geprüft werden, ob sie als getrennte, alleinige Verantwortliche oder als gemeinsame Verantwortliche anzusehen sind.
Verantwortlichkeit oder Auftragsverarbeitung?
Im Unterschied zum Verantwortlichen entscheidet der Auftragsverarbeiter nicht selbst über die Mittel und Zwecke der Datenverarbeitung, sondern setzt lediglich die Weisungen des Verantwortlichen um. Entscheidungskriterium für die Abgrenzung zwischen der Auftragsverarbeitung und der Verantwortlichkeit ist somit, ob der jeweilige Akteur einen bestimmenden Einfluss auf die essentiellen Elemente der Datenverarbeitung hat.
Während die Entscheidungsmacht über die Zwecke der Verarbeitung stets eine Verantwortlichkeit nach sich zieht, können einem Auftragsverarbeiter gewisse Spielräume in Bezug auf die Mittel der Verarbeitung eingeräumt werden, ohne dass dies eine Verantwortlichkeit begründet. Hinsichtlich der Mittel der Verarbeitung muss zwischen den technischen und organisatorischen Aspekten der Datenverarbeitung und den wesentlichen Mitteln unterschieden werden. Die Entscheidung über die technischen und organisatorischen Mittel (welche Hardware oder Software wird bei der Datenverarbeitung verwendet) kann unproblematisch auf den Auftragsverarbeiter übertragen werden. Ein überlegenes Fachwissen steht einer Auftragsverarbeitung ebenfalls nicht per se entgegen.
Anders verhält es sich, wenn ein Beteiligter über die wesentlichen Elemente der Mittel der Datenverarbeitung entscheidet. Hierunter fallen Elemente der Datenverarbeitung, die mit dem Zweck, dem Umfang und der Rechtmäßigkeit der Verarbeitung in Zusammenhang stehen, wie die Speicherdauer der Daten, die Kategorien von Betroffenen, die Kategorien von Empfängern oder die Art der personenbezogenen Daten. In diesem Fall ist eine Verantwortung für die Datenverarbeitung immer gegeben.
Die Auftragsverarbeitung zeichnet sich gemäß Art. 28 DSGVO allerdings vor allem dadurch aus, dass sich der Auftragsverarbeiter den Weisungen des Verantwortlichen unterwirft. Der Auftragsverarbeiter handelt insofern als verlängerter Arm des Verantwortlichen. Verarbeitet ein Auftragsverarbeiter personenbezogene Daten entgegen den Weisungen des Verantwortlichen und legt er seine eigenen Zwecke und Mittel fest, dann wird er zum Verantwortlichen.
Wann handelt es sich um eine Auftragsverarbeitung?
Bei folgenden Tätigkeiten handelt es sich laut dem Bayerischen Landesamt für Datenschutzaufsicht regelmäßig um eine Auftragsverarbeitung:
- Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort
- Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann
- Apothekenrechenzentren nach § 300 SGB V
- ärztliche/zahnärztliche Verrechnungsstellen ohne Forderungsverkauf
- Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben
- externe Personen, Dienstleister, usw., die im Auftrag Messwerte in Mietwohnungen ablesen und/oder erfassen bzw. verarbeiten
- Datenträgerentsorgung durch Dienstleister
- Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
- Auslagerung von Datenverarbeitungsvorgängen im Rahmen von Cloud-Computing, ohne dass ein Zugriff des Cloud-Betreibers erforderlich ist
- Outsourcing der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten, usw.
Der Begriff der Auftragsverarbeitung kann anhand eines Beispiels veranschaulicht werden. Bei der Beauftragung eines Callcenters durch den Verantwortlichen liegt eine Auftragsverarbeitung vor, wenn das Callcenter keine wesentlichen Entscheidungsspielräume hat. Das Callcenter wird in diesem Fall vom Verantwortlichen mit der Kundenbetreuung des Unternehmens beauftragt und unterstützt das Unternehmen nach konkreten Vorgaben bei der Beantwortung von Kundenfragen. Zur Erfüllung seiner Aufgaben hat das Callcenter somit Zugriff auf die Kundendaten des Verantwortlichen, aber die Zwecke der Verarbeitung werden allein vom Verantwortlichen festgelegt. Wenn das Callcenter die Daten für andere Zwecke als die vom Verantwortlichen bestimmten Zwecke verarbeitet, dann gilt es auch als Verantwortlicher.
Alleinige oder gemeinsame Verantwortlichkeit?
Nach Art. 26 Abs. 1 S. 1 DSGVO besteht eine gemeinsame Verantwortlichkeit dann, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Der Europäische Datenschutzausschuss (EDSA) unterscheidet in Anlehnung an die EuGH-Rechtsprechung unterschiedliche Formen der gemeinsamen Beteiligung an der Datenverarbeitung. Eine gemeinsame Kontrolle durch zwei oder mehr Akteure liegt vor, wenn diese gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden. Eine gemeinsame Kontrolle ist aber auch bei übereinstimmenden Entscheidungen über die Zwecke und die wesentlichen Mittel der Datenverarbeitung gegeben. Erforderlich ist, dass die Verarbeitungsvorgänge der Akteure voneinander untrennbar sind.
Nach gefestigter Rechtsprechung des EuGH bedeutet eine gemeinsame Verantwortlichkeit zudem nicht, dass die beteiligten Akteure in gleicher Maße und mit einer gleichwertigen Verantwortlichkeit in die Datenverarbeitung einbezogen sind. Ebenso wird nicht verlangt, dass jeder Beteiligte Zugang zu den personenbezogenen Daten hat.
Um festzustellen, ob ein Akteur über die Zwecke und die wesentlichen Mittel der Datenverarbeitung entscheidet und somit überhaupt als Verantwortlicher zu betrachten ist, sind folgende Aspekte zu berücksichtigen:
- Werden die Daten für eigene Zwecke und mit eigenen Mitteln vom Beteiligten verarbeitet?
- Wer hat gemäß den vertraglichen Vereinbarungen die Kontrolle über die Daten bzw. wer erteilt Anweisungen?
- Besteht aufgrund von gesetzlichen Regelungen eine Verantwortlichkeit? Besteht eine implizite Zuständigkeit, die sich aus traditionellen Rollen ergibt (zum Beispiel der Arbeitgeber gegenüber den Arbeitnehmern)?
- Welche sind die berechtigten Erwartungen des Betroffenen (wer tritt als Verantwortlicher gegenüber dem Betroffenen auf?)?
Eine gemeinsame Verantwortlichkeit liegt zum Beispiel bei einer von mehreren Unternehmen gemeinsam geführten Werbekampagne vor, bei der die Beteiligten ihre Kundendaten gemeinsam verwenden und damit eine Teilnehmerliste für eine künftige zu organisierende Veranstaltung erstellen. Darüber hinaus entscheiden die Unternehmen gemeinsam darüber, wie die Einladungen zur Veranstaltung versendet werden. In diesem Fall legen die Akteure die Zwecke und die wesentlichen Mittel der Verarbeitung gemeinsam fest, sodass eine gemeinsame Verantwortlichkeit besteht. Werden bei der Verarbeitung dagegen unterschiedliche Zwecke verfolgt, ist grundsätzlich von einer alleinigen Verantwortlichkeit auszugehen.
Wie können Unternehmen vorgehen?
Die Rollen der beteiligten Akteure ziehen unterschiedliche datenschutzrechtliche Pflichten nach sich, deren Nichteinhaltung mit einem Bußgeld sanktioniert werden kann. Eine korrekte Einordnung der unterschiedlichen Rechtsinstitute ist daher zwingend erforderlich und setzt eine Prüfung aller Umstände des Einzelfalls voraus. Unternehmen sind daher gut beraten, ihren Datenschutzbeauftragen bei solchen Prüfungen frühzeitig einzubinden.
Webinar zum Thema Auftragsverarbeitung
Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Auftragsverarbeitung in der Praxis – AVV im nationalen und internationalen Kontext“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!
Dienstag, den 14. November 2023
von 9:30 bis 12:00 Uhr
Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.
Bei dem Kriterium für Auftragsverarbeitung „Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann“ frage ich mich wo in der DSGVO das steht. Da scheint den Bayern noch das alte BDSG im Kopf rumzuspuken.
Das Kriterium ist zwar nicht ausdrücklich in der DSGVO enthalten, allerdings muss es sich bei einer Auftragsverarbeitung immer um eine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO handeln. Darunter fallen das Lesen, das Abfragen und die Verwendung personenbezogener Daten (d. h. der Zugriff auf personenbezogene Daten). Wenn der Dienstleister jedoch keinen Zugriff auf personenbezogene Daten hat (z.B. bei einer rein technischen Wartung), dann verarbeitet er keine personenbezogenen Daten und er ist folglich kein Auftragsverarbeiter.