Immer wieder kommt es vor, dass Betroffene auf den Auftragsverarbeiter zugehen, um Auskunft der über sie gespeicherten Daten zu verlangen. Dabei stellt sich das Problem, dass der Auftragsverarbeiter einen Vertrag allein mit dem Auftraggeber hat. Dies bedeutet aber gleichzeitig, dass der Auftragnehmer regelmäßig nur auf Weisung des Verantwortlichen die Daten verarbeitet und somit auch herausgeben kann. Warum das so ist, soll im Folgenden kurz dargestellt werden.
Der Inhalt im Überblick
Unterstützungspflicht des Auftragsverarbeiters bei Anfragen
Sowohl zu den Auskunftsrechten der Betroffenen sowie den korrespondierenden Pflichten des Verantwortlichen wurde in der Vergangenheit bereits einiges geschrieben. Auch die Meldepflicht des Auftragsverarbeiters bei Datenschutzverletzungen war schon Thema. Aber was ist, wenn der Verantwortliche seiner Pflicht nicht in ausreichendem Maße nachkommt oder nicht mehr greifbar ist – hat der Betroffene ein Recht, Auskunft auch vom Auftragsverarbeiter zu verlangen?
Immerhin muss der Auftragnehmer gem. Art. 28 Abs. 3 S. 2 lit. f DSGVO sicherstellen, dass er
„angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen“.
Hierzu gehört insbesondere auch das Recht auf Auskunft. Insofern könnte man auf die Idee kommen, dass es zu den Aufgaben des Auftragsverarbeiters gehören kann, etwaige Auskunftsansprüche zu erfüllen. Immerhin ist dieser ebenfalls als Empfänger anzusehen. Insbesondere, in Fällen, bei denen der Auftragsverarbeiter leichter zu greifen ist (weil dieser bspw. im Land des Betroffenen sitzt), wird zum Teil versucht, vermeintliche Auskunftsansprüche auch gegenüber dem Auftragsverarbeiter geltend zu machen.
Keine eigene Auskunftspflicht gegenüber Betroffenen
Dem ist regelmäßig eine klare Absage zu erteilen. Wie eingangs bereits gesagt, ist Kern einer Auftragsverarbeitung, dass der Auftragnehmer weisungsgebunden handelt. Dies ergibt sich auch aus Art. 28 Abs.3 DSGVO, welcher den Mindestinhalt eines jeden Auftragsverarbeitungsvertrages regelt (vgl. Art. 28 Abs. 3 S. 2 lit. a DSGVO):
„Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet“ […]
Unter Verarbeitung ist gem. Art. 4 Ziff. 2 DSGVO aber auch jegliche Offenlegung und Weitergabe der Daten zu verstehen.
Mithin kann der Auftragsverarbeiter für die Beantwortung etwaiger Anfragen nicht selbst verantwortlich sein. Vielmehr sind Gesuche der betroffenen Personen an den Verantwortlichen weiterzuleiten und ggf. nach erfolgter Weisung, beispielsweise auf Berichtigung von Daten, diese Weisung umzusetzen. Anderenfalls könnte der Verantwortliche seine eigenen Pflichten durch die Einschaltung eines Auftragsverarbeiters auf diesen verlagern.
Vorsicht bei Datenweitergabe
Sollte der Auftragnehmer dem Auskunftsersuchen des Betroffenen nachkommen, so handelt dieser grundsätzlich eigenmächtig, sofern vertraglich keine andere Regelung getroffen wurde. So kann es durchaus im Interesse der Parteien liegen, dass der Auftragsverarbeiter im Rahmen der Vertragserfüllung auch etwaige Auskünfte erteilt – beispielsweise, weil dieser die Daten leichter zur Verfügung stellen kann. In diesen Fällen handelt der Auftragnehmer aber wiederum für und auf Weisung des Verantwortlichen, der für die korrekte Erteilung geradestehen muss.
Dies gilt auch – und gerade – nach Beendigung des Vertragsverhältnisses. So kann es vorkommen, dass der Verantwortliche mittlerweile seine Geschäftstätigkeit aufgegeben hat, der Betroffene aber womöglich ein Interesse an den ehemals über ihn verarbeiteten Daten hat (sei es zu Nachweiszwecken bei einer Behörde oder weil er ein bestimmtes Ereignis nachvollziehen möchte und es in seinen Aufzeichnungen nicht mehr findet etc.). Vor allem in diesen Fällen, wird der Betroffene womöglich ein gesteigertes Interesse daran haben, auf andere Weise an die Daten zu kommen und in diesem Zusammenhang auf einen Auftragsverarbeiter zugehen, sofern dieser bekannt ist.
Auskunftsanspruch allein gegenüber dem Verantwortlichen
Auch hier ist der Gesetzeswortlaut im Einklang mit dem Sinn und Zweck eines Auftragsverarbeitungsverhältnisses aber eindeutig. So sind die Daten nach Abschluss der Erbringung der Verarbeitungsleistungen entweder an den Verantwortlichen zurückzugeben oder aber datenschutzkonform zu vernichten, sofern keine anderweitigen gesetzlichen Aufbewahrungspflichten für den Auftragnehmer bestehen (vgl. Art. 28 Abs. 3 S. 2 lit. g DSGVO). Das bedeutet gleichzeitig, dass der Auftragsverarbeiter die Daten – falls diese noch in dessen Besitz sind – nur für die gesetzlich vorgeschriebenen Zwecke vorhalten darf. Die Beantwortung von Betroffenen-Anfragen gehört hier grundsätzlich nicht dazu.
Dass der Betroffenen nur ein Auskunftsrecht gegenüber dem Verantwortlichen selbst hat, ergibt sich überdies bereits aus dem Gesetzeswortlaut des Art. 15 Abs. 1 DSGVO:
„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden“.
Nicht zu vernachlässig ist auch die Tatsache, dass der Auftragsverarbeiter künftig mit Anfragen überhäuft werden könnte. Das dies nicht gewünscht ist, steht außer Frage. Zumal womöglich auch die Interessen der verantwortlichen Stelle oder aber Dritter entgegenstehen. Ob und in welchem Umfang ein Auskunftsanspruch besteht, entscheidet letztlich der Verantwortliche, wie auch die Mittel und Zwecke der Verarbeitung.
Wie sollte sich der Auftragsverarbeiter bei Betroffenenanfragen verhalten?
Bei Auskunftsersuchen gegenüber dem Auftragsverarbeiter ist der Betroffene also an den Verantwortlichen selbst zu verweisen. Sofern dieser nicht greifbar ist, dürfen die Daten aber nicht ohne Kenntnis oder gar gegen den (mutmaßlichen) Willen des Verantwortlichen eigenmächtig herausgegeben werden.
Dies sollte so auch in der Auftragsverarbeitungsvereinbarung festgelegt werden. Zudem ist vertraglich sicherzustellen, dass der Verantwortliche den Rechten der Betroffenen nachkommen kann. Ist dies nur mit Hilfe des Auftagsverarbeiters zu bewerkstelligen, ist es ratsam auch etwaige Kostenregelungen zu treffen. Grundsätzlich sollten keine (übermäßig) hohen Kosten anfallen. Anderenfalls besteht die Gefahr, dass der Verantwortliche seinen Pflichten nicht vollumfänglich nachkommt, um Kosten zu sparen.
Hallo Dr. Datenschutz, in vielen Auftragsverabeitungsverträgen tritt eine Vergütungsforderung für die Mitwirkung/Unterstützung bei betroffenen Anfragen seitens des Auftragsverarbeiters (AV) gegenüber dem Auftraggeber AG) auf. Inwiefern ist eine solche Forderung durchsetzbar?
Ob und in welchem Umfang die Forderung am Ende durchsetzbar sein wird, ist eher einer Frage des allgemeinen Zivilrechts denn des Datenschutzes. Aufgrund der prinzipiell bestehenden Vertragsfreiheit wird man sich aber auf den Standpunkt stellen können, dass bei Abschluss eines Auftragsverarbeitungsvertrages auch Kostentragungspflichten in gewissem Umfang als zulässig erachtet werden. Dabei hängt es immer vom jeweiligen Einzelfall ab, was als noch angemessen angesehen werden kann. Jedenfalls dann, wenn die Kosten derart abschreckend wirken, dass der Verantwortliche seinen gesetzlichen Kontrollpflichten womöglich nicht mehr nachkommen wird, ist die Wirksamkeit fraglich.
Der bayrische Landesbeauftragte für den Datenschutz hat sich zu diesem Thema in einem Kurzpapier geäußert und rät öffentlichen Stellen und Behörden, entsprechende Klauseln nicht zu akzeptieren. Nach dessen Ansicht, sollte die Wahrnehmung der Kontrollrechte des Auftraggebers aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden. Wir haben darüber bereits in einem eigenen Beitrag berichtet.