Viele Auftragsverarbeiter nutzen Kundendaten auch für eigene Ziele wie die Gewährleistung der IT-Sicherheit oder die Weiterentwicklung von KI-Modellen. Doch unter welchen Bedingungen ist diese Eigennutzung erlaubt und wann führt sie zu einer neuen datenschutzrechtlichen Verantwortlichkeit?
Der Inhalt im Überblick
Der Grundsatz der Weisungsgebundenheit
Die Rollenverteilung in der DSGVO wirkt auf dem Papier eindeutig: Hier der Verantwortliche (Kunde), der über Zwecke und Mittel entscheidet. Dort der Auftragsverarbeiter (Dienstleister), der als „verlängerter Arm“ streng weisungsgebunden agiert. In der digitalen Realität, insbesondere im Cloud-Computing und bei Software-as-a-Service, gerät dieses Modell jedoch zunehmend unter Druck. Dienstleister haben ein starkes wirtschaftliches Interesse daran, die gewaltigen Datenmengen, die durch ihre Systeme fließen, zur Produktverbesserung, respektive zu eigenen Zwecken zu nutzen.
Kern der Auftragsverarbeitung ist aber die strikte Weisungsgebundenheit gemäß Art. 28 Abs. 3 lit. a DSGVO, sprich der Dienstleister darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten. Verlässt der Dienstleister diesen Pfad, begibt er sich auf rechtlich dünnes Eis. Die Aufsichtsbehörden vertreten hierbei traditionell eine strenge Linie. Eine Verarbeitung zu eigenen Zwecken widerspricht dem Wesen der Auftragsverarbeitung. Werden Daten nicht mehr ausschließlich für den Kunden, sondern zur eigenen Wertschöpfung des Anbieters (z. B. Weiterentwicklung der Software für alle Kunden) genutzt, liegt ein „Mandatsexzess“ vor.
Die Konsequenz regelt Art. 28 Abs. 10 DSGVO mit aller Härte: Bestimmt der Auftragsverarbeiter die Zwecke und Mittel der Verarbeitung eigenmächtig, gilt er in Bezug auf diese Verarbeitung selbst als Verantwortlicher. Damit treffen ihn schlagartig alle Pflichten, von der Informationspflicht gegenüber den Betroffenen bis hin zur Notwendigkeit einer eigenen Rechtsgrundlage.
Die Grauzone: IT-Sicherheit und Fehleranalyse
Nicht jede Abweichung führt jedoch zwangsläufig in die Illegalität. Es wird juristisch differenziert diskutiert, ob bestimmte Maßnahmen nicht doch noch der Auftragsverarbeitung zuzurechnen sind, auch wenn sie im Interesse des Anbieters liegen.
Das prominenteste Beispiel ist die IT-Sicherheit. Ein Cloud-Provider muss Server-Logs analysieren, um Angriffe abzuwehren und die Integrität seiner Systeme zu sichern. Zwar liegt dies im Eigeninteresse des Anbieters (Schutz seiner Infrastruktur), doch dient es gleichzeitig unmittelbar dem Schutz der Kundendaten.
Viele Juristen argumentieren daher, dass Maßnahmen zur Gewährleistung der Sicherheit gem. Art. 32 DSGVO noch vom Weisungsrahmen gedeckt sind, solange sie primär der vertraglich geschuldeten Leistung dienen. Hier wird oft angenommen, dass der Kunde implizit (oder explizit im Vertrag) die Weisung erteilt hat, eine sichere Umgebung bereitzustellen.
Der kritische Bereich: Produktverbesserung und KI-Training
Deutlich kritischer wird die Lage, wenn Daten genutzt werden, um das Produkt funktional weiterzuentwickeln („Service Improvement“) oder KI-Modelle zu trainieren. Hier dient die Verarbeitung nicht mehr der Durchführung des konkreten Auftrags, sondern der allgemeinen Marktposition des Anbieters.
In der Praxis versuchen viele Anbieter, dies über Klauseln in den AGB oder Auftragsverarbeitungsvertrag zu legitimieren. Formulierungen wie
„Der Anbieter ist berechtigt, Daten in aggregierter Form zur Verbesserung der Dienste zu nutzen“
sind weit verbreitet.
Datenschutzrechtlich ist das jedoch hochproblematisch:
-
Fehlende Rechtsgrundlage: Der ursprüngliche Verantwortliche (Kunde) hat die Daten meist zu einem bestimmten Zweck erhoben (z. B. Personalverwaltung). Eine Nutzung durch den Dienstleister zum KI-Training ist eine Zweckänderung, die oft nicht von der ursprünglichen Rechtsgrundlage gedeckt ist.
-
Rollenwechsel: Sobald der Anbieter entscheidet „Ich nutze diese Daten jetzt zum Training“, wird er zum Verantwortlichen. Er bräuchte dafür eine eigene Rechtsgrundlage.
Anonymisierung als Ausweg?
Viele Dienstleister argumentieren, sie würden keine personenbezogenen Daten für eigene Zwecke nutzen, da sie diese zuvor anonymisieren.
Doch Vorsicht: Die herrschende Meinung und die deutschen Aufsichtsbehörden stufen den Prozess der Anonymisierung selbst als Verarbeitung personenbezogener Daten ein.
Das bedeutet: Der Dienstleister muss noch im Besitz personenbezogener Daten sein, um diese zu anonymisieren. Dieser Schritt bedarf einer Rechtsgrundlage. Erfolgt die Anonymisierung nicht auf Weisung des Kunden (z. B. als Feature der Software), sondern eigenmächtig durch den Anbieter, liegt bereits hier die Zweckänderung vor.
Ob diese Zweckänderung gemäß Art. 6 Abs. 4 DSGVO zulässig ist (Kompatibilitätsprüfung), ist eine Frage des Einzelfalls. Zwar wird Anonymisierung als datenschutzfreundliche Maßnahme gewertet, doch fehlt oft die Transparenz gegenüber den Betroffenen.
Für die Praxis gilt: Kritisch prüfen!
Die Nutzung von Kundendaten zu eigenen Zwecken durch Auftragsverarbeiter ist ein rechtliches Minenfeld. Pauschale Erlaubnisklauseln in Verträgen sind oft unwirksam und schützen im Ernstfall weder Kunde noch Dienstleister.
Prüfen Sie daher Ihre AV-Verträge kritisch. Wenn sich der Dienstleister weitreichende Nutzungsrechte an den Daten einräumt, sollten Sie hinterfragen, ob Sie hierfür überhaupt eine Rechtsgrundlage haben. Im Zweifel haften Sie für die unzulässige Weitergabe der Daten.
