Im Rahmen von Auftragsdatenverarbeitungsverhältnissen nach § 11 Bundesdatenschutzgesetzes (BDSG) ist es bisher möglich, personenbezogene Daten ohne zusätzliche Einwilligung der Betroffenen oder sonstigen gesetzlichen Erlaubnistatbestand an einen Auftragsdatenverarbeiter weiterzugeben. Wie es sich mit dieser Privilegierung nach der Datenschutz-Grundverordnung (DSGVO) verhält, möchten wir mit folgendem Beitrag kurz skizzieren.
Der Inhalt im Überblick
Aktuelle Rechtslage
Nach den Regelungen des aktuellen BDSG verhält es sich so, dass eine Datenübermittlung an einen Dritten nur mit der Einwilligung des Betroffenen oder auf der Grundlage eines gesetzlichen Erlaubnistatbestands möglich ist. Dritter im Sinne des BDSG ist per Definition jedoch nicht der Auftragsdatenverarbeiter. Dieser ist vielmehr als Teil der verantwortlichen Stelle anzusehen. Da aber eine Übermittlung personenbezogener Daten nur an Dritte erfolgen kann, bedarf die Weitergabe von personenbezogenen Daten von der verantwortlichen Stelle an den Auftragsdatenverarbeiter keiner gesonderten Einwilligung des Betroffenen und auch sonst keines gesetzlichen Erlaubnistatbestands, da in diesem Fall keine Übermittlung im Sinn des BDSG vorliegt. Insoweit besteht nach bisheriger Rechtslage eine gewisse Privilegierung für die Datenübermittlung im Rahmen einer Auftragsdatenverarbeitung.
Rechtslage nach der DSGVO
Darüber, ob die Privilegierung der Auftragsdatenverarbeitung bei der Weitergabe personenbezogener Daten an einen Auftragsdatenverarbeiter auch im Rahmen der Datenschutz-Grundverordnung bestehen bleibt, herrscht unter Experten zurzeit keine Einigkeit.
Keine Privilegierung
Zum einen wird vertreten, dass eine Privilegierung – wie sie nach den Regelungen des BDSG noch besteht – bei der Auftragsverarbeitung im Sinne der DSGVO nicht mehr gegeben ist.
Im Rahmen der Datenschutz-Grundverordnung sei der Auftragsdatenverarbeiter (jetzt Auftragsverarbeiter) nicht mehr als Teil der verantwortlichen Stelle anzusehen. Zwar sei dieser auch nicht Dritter im Sinne der DSGVO. Dies ändere jedoch nichts an der Tatsache, dass der Auftragsverarbeiter als eigenständige Stelle außerhalb der verantwortlichen Stelle anzusehen ist. Eine mit der Privilegierung nach den Bestimmungen des BDSG vergleichbare Privilegierung existiere daher nicht mehr. Die Weitergabe personenbezogener Daten an einen Auftragsverarbeiter bedürfe daher stets einer Einwilligung oder einer entsprechenden Rechtsgrundlage, da die Weitergabe an eine eigenständige Stelle eine Übermittlung (nach DSGVO jetzt Offenlegung durch Übermittlung) darstelle.
Privilegierung auch nach DSGVO
Andere Stimmen vertreten wiederum die Ansicht, dass die bisherige Privilegierung weiterhin besteht.
Gemäß Art. 4 Nr. 10 DSGVO sei der Auftragsverarbeiter nicht Dritter. Der Austausch personenbezogener Daten zwischen dem Auftragsverarbeiter und dem Verantwortlichen stelle daher keine Übermittlung von personenbezogenen Daten dar, die einer Verarbeitungsgrundlage bedürfe. Einer Einwilligung der Betroffenen oder einen gesetzlichen Erlaubnistatbestand bedürfe es daher für die Weitergabe nicht. Im Ergebnis bleibe die bisher im Rahmen der Auftragsdatenverarbeitung bestehende Privilegierung bei der Weitergabe personenbezogener Daten an einen Auftragsverarbeiter daher auch im Geltungsbereich der Datenschutz-Grundverordnung bestehen.
Entscheidung vertagt
Die Frage, ob die Übermittlung personenbezogener Daten an einen Auftragsverarbeiter nach den Bestimmungen der Datenschutz-Grundverordnung eine ähnliche Privilegierung erfährt, wie nach den Bestimmungen des BDSG, bleibt zum jetzigen Zeitpunkt offen. Eine baldige Klarstellung durch die Stellungnahme einer Aufsichtsbehörde oder den europäischen Datenschutzausschuss wäre wünschenswert. Eine verlässliche Stellungnahme würde den Adressaten der DSGVO bei einer rechtssicheren Umsetzung durchaus helfen.
Das deutsche „Privileg der Auftragsdatenverarbeitung“ beruht auf einem anderen Grundverständnis der Auftragsverarbeitung als das des europäischen Rechts, und zwar schon das der Datenschutzrichtlinie 95/46/EG (DSRL). Deren Konzeptionen und Begriffe sind von der DSGVO unverändert übernommen worden aber nie europarechtskonform in das deutsche Recht transformiert worden. Insofern hat die DSGVO nichts gegenüber der bisherigen europarechtlichen Situation nach der DSRL verändert. Die aktuelle deutsche Diskussion kommt Jahrzehnte zu spät!
Das Problem ist, dass ALLE (!) Begrifflichkeiten, die bei der Beschreibung der Auftragsverarbeitung verwendet werden nicht den europarechtlichen Vorgaben entsprechen. Das deutsche sog. Privileg der Auftragsdatenverarbeitung ist nichts anderes als ein nationales, die Verarbeitung beschränkendes europarechtswidriges Missverständnis! Man könnte auch sagen, dass es – außerhalb des Privilegs der Auftragsdatenverarbeitung – eine Diskriminierung der Verantwortlichen ist.
• Der Begriff des Auftragsdatenverarbeiters nach dem BDSG ist kraft gesetzlicher Festlegung auf den EWR beschränkt. Diese Beschränkung kennt das europäische Datenschutzrecht gar nicht.
• Der Begriff der Verarbeitung nach dem BDSG beruht auf dem Phasenmodell und der individuellen phasenbezogenen Legitimierung während der europäische Verarbeitungsbegriff umfassend ist und alle notwendigen Verarbeitungsvorgänge durch einen eingreifenden Erlaubnistatbestand (im Sinne von Art. 6 Abs. 1 DSGVO) legitimiert. Eine Herauslösung eines Vorgangs – gemeint ist die sog. Weitergabe – aus dem Verarbeitungsbegriff bei gleichzeitiger Deklarierung dieses Vorgangs als legitimierungsfrei, ist nach der Rechtsprechung des EuGH zu Art. 7 DSRL nicht zulässig.
• Der Begriff des Verantwortlichen hat nur bedingt etwas mit der verantwortlichen Stelle gemein. Letzterer fehlt nämlich das den Verantwortlichen charakterisierende Merkmal der Entscheidungsbefugnis. Hierzu gehört auch die Entscheidungsbefugnis des Verantwortlichen – ohne dass dies gesetzlich explizit gestattet wird – festzulegen, ob er eine Verarbeitung selbst durchführt oder ob er sie durch einen Auftragsverarbeiter durchführen lässt. Die Legitimation für die Übermittlungen etc. an den Auftragsverarbeiter ergibt sich aus der Rolle des Verantwortlichen und ist somit immanenter Bestandteil der Entscheidungsbefugnis des Verantwortlichen.
Nach dem europäischen Recht ist die Auftragsverarbeitung ein von mehreren Verarbeitungsoptionen für den Verantwortlichen. Das hat nichts mit irgendeinem „Privileg“ zu tun. Soweit bekannt, kennen noch verstehen Datenschutzexperten in anderen Mitgliedstaaten diese deutsche Diskussion. Deshalb dürfte fraglich sein, ob der Europäische Datenschutzausschuss sich zu diesem deutschen „Missverständnis“ äußern will oder kann. Wir sollten uns einfach mal bemühen die europäischen Regelungen durch die „blaue (europäische) Brille“ zu betrachten.
Zumindest steht dort, dass der Auftragsverarbeiter nicht Dritter ist!