Müssen wir vorliegend einen Auftragsverarbeitungsvertrag abschließen? Eine Frage, die sich im geschäftlichen Kontext gefühlt wöchentlich stellt. So einfach sie anmutet, so komplex kann im Einzelfall jedoch die Antwortfindung ausfallen. Helfen will die Abgrenzungshilfe des BayLDA, aber auch diese bedurfte wegen der Abgrenzungsschwierigkeiten einer Anpassung.
Der Inhalt im Überblick
Alleiniger oder gemeinsamer Verantwortlicher – oder doch Auftragsverarbeiter?
Die DSGVO unterscheidet grundsätzlich drei Arten von Akteuren der Datenverarbeitung. Die Verantwortlichen, die selbständig über die Verarbeitung der ihnen anvertrauten personenbezogenen Daten bestimmen. Die gemeinsam Verantwortlichen, die sich diese Aufgabe – wie der Wortlaut andeutet – eben teilen. Und zuletzt die in der Praxis wahrscheinlich am häufigsten auftretende Gruppe der Auftragsverarbeiter. Wer Näheres zu den einzelnen Begriffen lesen möchte, wird in dem Artikel zur „Abgrenzung zwischen Verantwortlichkeit und Auftragsverarbeitung“ fündig.
Das Gesetz liefert unter beispielsweise Art. 4 Nr. 7 und 8 DSGVO die Legaldefinitionen dieser Begriffe. Allerdings sind diese, wie so oft, denkbar allgemein formuliert und helfen gerade im Einzelfall nicht zwingend weiter. Die Datenverarbeitungsprozesse und damit zusammenhängenden Vertragsbeziehungen sind im heutigen Geschäftsalltag häufig sehr vielfältig und lassen sich nicht ohne Weiteres unter die entsprechenden gesetzlichen Begriffe subsumieren.
Hilfe aus dem behördlichen Lager
Da die Abgrenzung im geschäftlichen Alltag anhand derart allgemein formulierter Grundsätze bisweilen unmöglich erscheint, ist die Nachfrage nach möglichst praxisnahen und eindeutigen Abgrenzungshilfen groß. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nahm den allgemeinen Hilferuf wahr und veröffentlichte eine Abgrenzungshilfe. Die Abgrenzungshilfe des BayLDA enthielt zudem eine umfangreiche Liste von Fallbeispielen, welche verständlicherweise großen Anklang fand. Denn was ist schon praxisnäher als ein Fallbeispiel?
So praktisch die Orientierung an Fallbeispielen erscheinen mag, so tückisch kann die daraus abgeleitete Kategorisierung im Einzelnen sein. Zu vielfältig sind die Sachverhalte in der Praxis, ähnlich bezeichnete Dienstleistungen können wegen zugrunde liegender Unterschiede in der Ausführung zu Fehleinschätzungen des Rechtsverhältnisses führen. Zu dem Schluss kam auch die Aufsichtsbehörde und überarbeitete ihre Abgrenzungshilfe in einer neuen Fassung.
Die Begriffsbestimmung der neuen Abgrenzungshilfe
Die neue Fassung verfolgt einen stärkeren abstrakt generellen Ansatz und verzichtet dabei auf einen Katalog von Dienstleistungen. Vielmehr zielt die neue Fassung auf eine nähere Erläuterung der gesetzlichen Kriterien der Begriffsbestimmung und orientiert sich dabei an der ausführlichen Darstellung des Europäischen Datenschutzausschusses (EDSA).
Verantwortlicher vs. Auftragsverarbeiter
Das entscheidende Merkmal zur Unterscheidung eines Verantwortlichen von einem Auftragsverarbeiter ist demnach die „Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten“. Wer diese Entscheidungsgewalt in einem vertraglichen Verhältnis innehat, ist der Verantwortliche im Sinne des Gesetzes. Fehlt dem Dienstleister diese Entscheidungsbefugnis, ist er im Gegenzug eben kein Verantwortlicher im Sinne des Gesetzes.
Liegt eine Auftragsverarbeitung vor?
Nicht jede Art der Datenverarbeitung stellt allerdings eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO dar. Hierzu hebt das BayLDA in Anlehnung an die Leitlinien des EDSA hervor, dass dies in der Regel der Fall ist, wenn:
- die Dienstleistung ihrem Inhalt nach speziell auf die Verarbeitung personenbezogener Daten abzielt, oder
- die Verarbeitung personenbezogener Daten ein Schlüsselelement der Dienstleistung darstellt.
Im Weiteren werden trotz des neuen Ansatzes die folgenden Beispiele für derartige Auftragsverhältnisse gelistet:
- Hosting/Speicherung (auch verschlüsselter) personenbezogener Daten nach Weisung
- Cloud-Dienstleistungen wie Messaging, Videokonferenzen, Dokumentenspeicherung, Kalenderverwaltung, Textverarbeitung u. a. durch einen Dienstleister
Auftragsverarbeiter ohne Auftrag zur Datenverarbeitung
Im nächsten Schritt werden wiederum Dienstleistungen unter den Begriff der Auftragsverarbeitung gezogen, welche zwar nicht direkt eine Verarbeitung personenbezogener Daten zum Inhalt haben, ein entsprechender Zugang zu den Daten sich aber automatisch aus der Natur des Vertragsverhältnisses ergeben würde. Auch hier bedient sich die Abgrenzungshilfe erfreulicherweise eines Beispiels aus dem Alltag, nämlich des allgemeinen Supports von IT-Systemen. Hier wird die Datenverarbeitung schließlich nicht zwingend intendiert, die Dienstleister erhalten allerdings systematisch und dauerhaft umfangreichen Zugang zu den Daten des Auftraggebers.
Auftragsverarbeiter mit „nebensächlichem“ Auftrag
Schließlich bezieht sich die Abgrenzungshilfe auf Dienstleistungen, die zwar nicht schwerpunktmäßig auf die Verarbeitung personenbezogener Daten abzielen, eine solche aber jedenfalls auch beinhalten. Entscheidend ist dabei wie gewohnt das Kriterium der Kontrolle über die Zwecke und mittel der Verarbeitung. Sofern diese beim Auftraggeber verbleibt, handelt es sich bei dem Dienstleister um einen Auftragsverarbeiter.
Wem diese Beschreibung zu unbestimmt bzw. nicht greifbar erscheint, wird auch hier mit diversen Beispielen abgeholt. Demnach sind klassische Beispiele derartiger Verhältnisse:
- Kundenbetreuungen im Call-Center, welche Zugang zu Kundendatenbanken erfordern
- Marktforschungsinstitute, welche im Auftrag und nach Weisung von Herstellern Umfragen durchführen
- Lohnbuchhaltungen
Eine knappe Übersicht und gleichzeitig guter Einstieg in die Darstellung des EDSA
Die Abkehr von einer fallbasierten Darstellung der Problematik ist nachvollziehbar und umgeht die damit gerade für eine Aufsichtsbehörde einhergehende Gefahr widersprüchlicher Hinweise für die Ratsuchenden. Wie so oft im juristischen Bereich begegnet ein allgemeinerer (bzw. abstrakt genereller) Beratungsansatz zwar der Gefahr einer im Einzelfall eventuell nicht gänzlich belastbaren Auskunft, hat aber bisweilen zur Folge, dass insbesondere nicht rechtskundige Beratene mit dieser nicht weiterkommen als nach dem bloßen Durchlesen des Gesetzeswortlauts. Erfreulicherweise werden in der Abgrenzungshilfe zur Auftragsverarbeitung des BayLDA durchaus anschauliche Beispiele verwendet, welche gepaart mit der übersichtlichen Aufarbeitung der EDSA-Leitlinien einen im Ergebnis praktikablen Einstieg in diese spannende und komplexe Thematik liefern.
Webinar zum Thema „Auftragsverarbeitung“
Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Auftragsverarbeitung in der Praxis – AVV im nationalen und internationalen Kontext“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!
Mittwoch, den 26.03.2025
von 09:30 bis 12:00 Uhr
Dienstag, den 14.10.2025
von 09:30 bis 12:00 Uhr
Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.
