Im Gegensatz zur früheren Rechtslage legt die DSGVO dem Verantwortlichen und dem Auftragsverarbeiter mehr Pflichten auf. Noch stärker als früher sind die Beteiligten gehalten, die Frage zu klären, ob überhaupt ein Auftragsverhältnis vorliegt. Denn wer dieser zentralen Ausgangsfrage keine Bedeutung beimisst, wird die Rechtmäßigkeit der Verarbeitung nicht gewährleisten können und riskiert mitunter Bußgelder.
Der Inhalt im Überblick
Wann liegt eine Auftragsverarbeitung vor?
Die Auslegung des Auftragsverarbeitungsbegriffs orientiert sich allein an der DSGVO.
Verantwortlicher ist demnach, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO wird hingegen tätig, wer personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Bei der Prüfung des Vorliegens einer Auftragsverarbeitung kann dabei vor allem auf die von der Artikel-29-Datenschutzgruppe auf Basis der Definitionen der DSRL entwickelten Leitlinien des Arbeitspapiers 169 zu den Begriffen „für die Verarbeitung Verantwortlichen“ und „Auftragsverarbeiter“ abgestellt werden.
Die Auslegung muss danach anhand der faktischen bzw. funktionellen tatsächlichen Verhältnisse erfolgen. Allein die formelle Einordnung einer Tätigkeit als Auftragsverarbeitung und der Abschluss einer entsprechenden Vereinbarung zur Auftragsverarbeitung durch die beteiligten Parteien, führt nicht zur Annahme einer Auftragsverarbeitung. Vielmehr sind die tatsächliche Ausgestaltung des Verhältnisses und das Wesen der vertraglichen Beziehung maßgeblich für die datenschutzrechtliche Einordnung. Die Rolle als Auftragsverarbeiter ergibt sich letztlich nicht lediglich aus seiner Eigenschaft als Akteur, der personenbezogene Daten verarbeitet, sondern aus seiner konkreten Tätigkeit in einem spezifischen Kontext und in Bezug auf spezifische Daten- oder Vorgangsreihen. Bei dieser Einordnung kann etwa die Entscheidung über die Zwecke und Mittel der Verarbeitung, die Ausführlichkeit der erteilten Weisungen, die Überwachung der Erbringung der Dienstleistung, die Außenwirkung gegenüber den betroffenen Personen, die Fachkompetenz und der den involvierten Parteien überlassene Entscheidungsspielraum zur Einordnung herangezogen werden.
Freilich ist stets auch eine Abgrenzung zur gemeinsamen Verantwortlichkeit zu prüfen.
Beispiel: Inkassotätigkeit mit Forderungsübertragung
Bei der Einordnung von Inkassodienstleistungen ist eine Differenzierung geboten, der durch die bisherige aufsichtsbehördliche Praxis und der Meinungsstand in der Literatur mitunter nicht ausreichend Rechnung getragen wird und durchaus über eine eingehende Neubewertung nachgedacht werden kann.
Bisherige Einordnung
Die Datenschutzkonferenz (DSK) vertritt in ihrem Kurzpapier Nr.13 zur Auftragsverarbeitung ohne nähere Begründung die Auffassung, dass bei Inkassobüros mit Forderungsübertragung keine Auftragsverarbeitung vorliege. Auch in der Kommentarliteratur wird häufig ohne (nähere) Begründung vertreten, dass Inkassounternehmen regelmäßig nicht als Auftragsverarbeiter handeln. Dafür wird im Wesentlichen lediglich angeführt, dass es sich bei der Durchführung von Inkassodienstleistungen um eine weitgehend selbstständige Aufgabenwahrnehmung handele und dass eine vollständige Bestimmung über die Mittel der Verarbeitung durch die Verantwortlichen nicht mehr gewährleistet sein dürfte. Die Rechtsprechung folgt dieser Einordnung der Literatur häufig ohne weitergehende Argumentation. An Rechtsprechung unter der DSGVO fehlt es zu dieser Fragestellung bis dato.
Wesen der Inkassozession
Grundsätzliches zur Inkassozession
Sinn und Zweck der Inkassozession ist es lediglich, dem Zessionar die Rechtsmacht zur Geltendmachung der Forderung zu verschaffen. In Abgrenzung zur Einziehungsermächtigung erlangt der Zessionar durch die Abtretung nach § 398 BGB die volle Gläubigerstellung im Außenverhältnis und wird formal Forderungsinhaber. Die Einziehung erfolgt dabei aber weiterhin auf Risiko und Rechnung des Zedenten und die Forderung bleibt für den Zessionar wirtschaftlich fremd. Motiv für die Inkassozession ist regelmäßig, dass der Gläubiger im Hintergrund bleiben oder die Rechtsverfolgung (administrativ) nicht selbst betreiben will. Bei der Inkassozession besteht das Innenverhältnis aus einem Geschäftsbesorgungsvertrag im Sinne der §§ 675, 667 BGB – seltener einem Auftrag im Sinne des § 662 BGB. Der Inkassozessionar zieht die Forderung im eigenen Namen, jedoch für Rechnung des Zedenten ein und ist verpflichtet, den Erlös an den Zedenten abzuführen. Im Innenverhältnis erlangt der Zessionar keine weitergehende eigene Rechtsposition.
Der Zedent lässt es sich im Innenverhältnis regelmäßig nicht nehmen, Weisungen gegenüber dem Zessionar zu erteilen, die sich auf alle Belange der Beitreibung der jeweiligen Forderung erstrecken können. Der Zedent gibt etwa insbesondere vor, wie das konkrete Forderungsmanagement betrieben werden soll. So entscheidet der Zedent, ob seine Forderungen umfassend durchgesetzt (z. B. Häufigkeit von Mahnungen bzw. Anzahl der Mahnstufen, Androhung gerichtlicher Maßnahmen, Beitreibung gegenüber welchem Schuldner bei Schuldnermehrheit, Forderungshöhe, Beitreibung titulierter Forderungen) oder ob beispielsweise auf kulante Art und Weise beigetrieben werden soll (z. B. Erlass/Teilerlass, Ratenzahlung). Die konkreten Maßnahmen zur Beitreibung der übertragenen Forderung gibt der Zedent vor, woraufhin der Zessionar die entsprechenden Daten verarbeitet.
Der Zessionar darf seine Gläubigerstellung nur insoweit ausüben, als es der beschränkte Zweck erfordert, das wirtschaftliche Ergebnis der Gläubigerstellung soll ausschließlich dem Zedenten zukommen. Der Zessionar hat somit zwar eine überschießende Rechtsmacht, die aber im Interesse des Zedenten gebunden ist.
Treuhänderische Bindung
Bei der Inkassozession handelt es sich demnach um eine treuhänderische Abtretung. Dem Zessionar wird dabei zwar im Außenverhältnis die Gläubigerstellung vollständig übertragen, im Innenverhältnis gegenüber dem Zedenten ist er aber bei der Ausübung dieser Rechtsposition unter engen Grenzen treuhänderisch gebunden, sog. fiduziarische Zweckbindung bzw. fiduziarische Abtretung. Eine fiduziarische Abtretung ist eine Abtretung, bei der der Zessionar im Außenverhältnis nur formal die volle Gläubigerstellung erhält, jedoch im Innenverhältnis an die mit dem Zedenten getroffenen Abreden gebunden ist, also von der ihm eingeräumten Rechtsstellung nur in den durch diese gezogenen Grenzen Gebrauch machen darf. Die Zweckbindung kann dabei nur im Wege der treuhändischen Verpflichtung des Zessionars gegenüber dem Zedenten verfolgt werden, die ihm grundsätzlich eine Ausübung seiner Gläubigerstellung nur in engen Grenzen gestattet. Es handelt sich folglich um ein uneigennütziges Treuhandverhältnis, welches ausschließlich im Interesse des Treugebers liegt.
Entscheidendes Wesensmerkmal der Inkassozession ist folglich die treuhänderische Bindung. Durch ihren typischen Inhalt gibt der Zedent regelmäßig vor, dass der Zessionar:
- die Forderung für Rechnung und im Interesse des Zedenten einziehen soll
- sich der Weiterabtretung und sonstiger Beeinträchtigung enthalten soll
- die Forderung auf Verlangen des Zedenten rückübertragen soll und
- dass der Zessionar Weisungen des Zedenten Folge leisten muss.
Gründe, die für ein Auftragsverarbeitungsverhältnis sprechen könnten
Tatsächlicher Einfluss einer Partei
Eine Einordnung über den tatsächlichen Einfluss kann sich letztlich als die einzig praktikable Lösung darstellen. Ausgangspunkt der Betrachtung ist auch dabei, wer über Zwecke und Mittel der Verarbeitung letztlich tatsächlich entscheiden kann. Der Auftragsverarbeiter muss dabei „im Auftrag“ des Verantwortlichen handeln. Im Auftrag eines anderen zu handeln bedeutet dabei, im Interesse des Verantwortlichen tätig zu werden. Der Auftragsverarbeiter muss im Wesentlichen die Weisungen zumindest hinsichtlich des Zwecks der Verarbeitung und der wesentlichen Elemente der Mittel zu befolgen. In Bezug auf die Wahl der technischen und organisatorischen Mittel kann jedoch auch dem Auftragsverarbeiter ein gewisser Ermessensspielraum zugestanden werden, insbesondere wenn er dadurch die Interessen des Verantwortlichen bestmöglich wahrnehmen kann.
Gerade die Inkassozession ist durch die treuhänderische Verpflichtung des Zessionars gekennzeichnet. Durch ihren typischen Inhalt gibt der Zedent regelmäßig vor, dass der Zessionar insbesondere Weisungen des Zedenten Folge leisten muss.
Eindruck der betroffenen Personen
Zur Einstufung als Auftragsverarbeitung wird von der Artikel-29-Datenschutzgruppe auch der Eindruck, den der für die Verarbeitung Verantwortliche den betroffenen Personen vermittelt und die hieraus resultierenden Erwartungen der betroffenen Personen herangezogen. Das Auftreten in eigenem Namen legt dabei tendenziell eher eine eigenständige Verantwortlichkeit im datenschutzrechtlichen Sinne nahe. Der Zessionar tritt zwar bei einer Inkassozession gegenüber dem Betroffenen im Rahmen der Betreibung der Forderung im eigenen Namen auf. Für den Betroffenen ist allerdings trotzdem vollständig transparent, dass der Zessionar im Auftrag des Zedenten (als Dienstleister) die Forderungsbetreibung übernimmt. Dass der Inkassodienstleister rein formal Inhaber der Forderung ist, ändert daran nichts. Denn der Eindruck der betroffenen Person geht gerade bei Inkassodienstleistern dahin, dass er eine Forderung seines direkten Vertragspartners begleicht (z. B. aufgrund einer Warenbestellung beim jeweiligen Online-Shop). Aufgrund der Umstände ist für die Betroffenen letztlich nicht klar, dass der Zessionar nunmehr Verantwortlicher im datenschutzrechtlichen Sinne ist. Demgemäß wird ein Betroffener auch hinsichtlich seiner Rechte aus dem Datenschutzrecht mitunter zunächst den Zedenten aufsuchen. Mit Blick auf die umfassenden Darlegungs- und Informationspflichten nach § 11a RDG wird die betroffene Person vielmehr davon ausgehen, dass der Zedent auch Verantwortlicher im datenschutzrechtlichen Sinne ist.
Vertragliche Beziehungen zwischen den Parteien
Für die Einordnung als Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO ist der tatsächliche Einfluss mitentscheidend, wobei hier eine Bewertung der konkreten Faktenlage zu erfolgen hat. Diese wird in vielen Fällen eine Bewertung der vertraglichen Beziehungen zwischen den verschiedenen beteiligten Parteien umfassen. Wenn es dabei keinen Grund gibt, daran zu zweifeln, dass die vertragliche Ausgestaltung die tatsächlichen Faktenlage widerspiegeln, kann sich die Beurteilung der datenschutzrechtlichen Verantwortlichkeit an den Vertragsbedingungen orientieren.
Im Rahmen der Inkassozession ist daher auch eine Einschätzung anhand der vorliegenden Vertragsbedingungen möglich. So kann etwa zwischen den Parteien detailliert geregelt werden, wie die treuhänderische Bindung konkret ausgestaltet sein soll. Die vertragliche Ausgestaltung kann derart enge Grenzen setzen, dass letztlich dem Zessionar nahezu kein eigener Entscheidungsspielraum verbleibt. Je eher aus den Vertragsbedingungen hervorgeht, dass der Zedent über die Zwecke und Mittel der Verarbeitung entscheidet, desto mehr spricht für ein Auftragsverarbeitungsverhältnis.
Auftragsverarbeitungsverhältnisse feststellen und dokumentieren
Am Einzelfall sollte geprüft werden, ob ein Auftragsverarbeitungsverhältnis vorliegt. Ausgangspunkt der Überlegungen ist die DSGVO, wobei auf die Leitlinien der Artikel-29-Datenschutzgruppe zurückgegriffen werden kann. Das Ergebnis ist zu dokumentieren. Möglicherweise zeigt die Prüfung, dass im Einzelfall – wie im Beispiel der Inkassotätigkeit mit Forderungsübertragung – gegebenenfalls über eine eingehende Neubewertung nachgedacht werden muss.
Ich bin diese theoretischen Ausführungen etwas Leid. Hatte auch schon mit der für uns zuständigen Datenschutzbehörde, diversen auf Datenschutzrecht spezialisierten Fachkanzleien und der GDD hierzu gesprochen – keine, auch nur näherungsweise, Hilfe zur Entscheidung ob AV oder nicht in Fällen wie Inkasso, B2B Bestellungen (Lieferung und Leistung) etc. bekommen.
Und nun? Ich ziehe mich in solchen Fällen jetzt auf den Standpunkt zurück, dass die DSGVO auch Gültigkeit für alle Beteiligten entfaltet weil sie einfach von allen angewendet werden muss – BASTA! Erlaubnisnormen, Informationspflichten, DSFA, …. checked ….
Fallhöhe strebt gegen Null weil wir die Klassiker der AV (IT, Cloud, Hoster, …) vertraglich korrekt abbilden und dies auch nachweisen – der Rest Bedarf gerichtlicher Klärung.
Der Artikel illustriert wieder einmal aufs Schönste, dass der gemeine Nichtjurist nicht die geringste Chance hat, sich DSGVO-konform zu verhalten, weil es schlicht nicht klar ist, was der Gesetzestext eigentlich bedeutet. Ich wünsche mir, dass noch viele solche Artikel erscheinen. Vielleicht wird dann irgendwann dem Gesetzgeber klar, welch dringender Nachbesserungsbedarf hier besteht.
Ich kann Ihnen nur zustimmen. Wie sagte schon Einstein (und meinte damit möglicherweise auch die Verfasser solcher Gesetze): If you can’t explain it simply, you don’t understand it well enough.
Und ja, solche Artikel brauchen wir noch viele – sie sind verständlich. Gratulation @ Autorinnen und Autoren.