Findet eine Verlagerung von Aufgaben zwischen Unternehmen statt, liegt nicht immer eine Auftragsverarbeitung vor. Allerdings besteht häufig auch bei einer klassischen Datenübermittlung ein Bedürfnis der Parteien, die datenschutzrechtlichen Pflichten über eine Vereinbarung zu regeln. Der folgende Beitrag beschäftigt sich mit dem Erfordernis einer vertraglichen Regelung zur Aufgabenverlagerung.
Der Inhalt im Überblick
Fehlerhafte Einordnung als Auftragsverarbeitung
Bereits unter dem BDSG hatte die aufsichtsbehördliche Praxis häufig mit der Problematik zu kämpfen, dass in vielen Fällen eine Auftragsverarbeitung angenommen wurde, obwohl dies unter Berücksichtigung der entwickelten Abgrenzungskriterien unzutreffend war. Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) hat in seinem Tätigkeitsbericht 2009/2010 (S.39) auf diese Problematik hingewiesen. Diese Thematik hat sich unter der Datenschutz-Grundverordnung (DSGVO) noch verstärkt.
Die fehlerhafte Qualifikation hat unterschiedliche Gründe. Oftmals erfolgt eine vorschnelle Einordnung des übernehmenden Unternehmens als Auftragsverarbeitung aufgrund einer mangelhaften Prüfung des konkreten Verhältnisses. Beispielsweise wird ein nicht unerheblicher Entscheidungsspielraum des übernehmenden Unternehmens über Zwecke und Mittel der Verarbeitung personenbezogener Daten übersehen oder es wird eine Weisungsabhängigkeit bei Dienstleistern angenommen, die schon kraft Gesetzes „weisungsfrei“ handeln. Vielfach wird unter Verkennung der tatsächlichen Umstände nach dem Motto verfahren „Lieber eine Vereinbarung zur Auftragsverarbeitung mehr, als eine zu wenig“.
Ein weiterer Grund für den vorschnellen Abschluss derartiger Vereinbarung ist das Bedürfnis nach einer schriftlichen Fixierung der datenschutzrechtlichen Belange der Parteien. In diesen Fällen sind sich die Parteien möglicherweise durchaus darüber im Klaren, dass dem Wesen nach keine Auftragsverarbeitung vorliegt, sie wollen aber trotzdem Regelungen zur datenschutzrechtlichen Ausgestaltung der Aufgabenverlagerung treffen.
Vereinbarung zur Aufgabenverlagerung
Handelt es sich um den klassischen Fall einer Datenübermittlung zwischen Verantwortlichen und liegt keine gemeinsame Verantwortlichkeit vor, sieht das Gesetz keine vertragliche Vereinbarung vor. Auch hier kann sich aber eine vertragliche Vereinbarung anbieten, die unter Berücksichtigung der Interessenlagen der betroffenen Personen und unter Beachtung der Zweckbindung der Datenverwendung eine Gewährleistung des Datenschutzes und der Datensicherheit beim übernehmenden Unternehmen sicherstellt.
Setzt beispielsweise ein Beratungsunternehmen Subunternehmer ein, die selbstständig gegenüber dem Kunden beratend auftreten und in diesem Zusammenhang völlig weisungsfrei tätig werden, dann ist eine Auftragsverarbeitung regelmäßig abzulehnen. Trotzdem hat das Beratungsunternehmen ein hohes Eigeninteresse, verbindlich zu regeln, wie die Subunternehmer mit den anvertrauten Kundendaten verfahren und welche Maßnahmen zur Datensicherheit getroffen werden. Insbesondere soll sichergestellt werden, dass die Subunternehmer in diesem Beispiel die Daten nicht zu anderen als den vereinbarten Zwecken verarbeiten.
Relevante Regelungskomplexe einer solchen Vereinbarung können u.a. sein:
- die Verpflichtung des übernehmenden Unternehmens ausreichende technische und organisatorische Maßnahmen zur Datensicherheit zu treffen
- Kontrollrecht gegenüber übernehmenden Unternehmen
- Einsatz Unterauftragnehmer durch das übernehmende Unternehmen
- Informations- und Unterstützungspflichten durch das übernehmende Unternehmen
Letztlich ähnelt der Inhalt damit teilweise einer Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO, ein zentraler Unterschied ist aber, dass keine Regelungen zur Weisungsabhängigkeit enthalten sind. Denn beide Parteien handeln als Verantwortliche gem. Art. 4 Nr.7 DSGVO, da sie jeweils allein über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Die Vereinbarung muss in ihrer inhaltlichen Ausgestaltung deshalb dem Umstand Rechnung tragen, dass beide Parteien Verantwortliche sind und dabei aber keine gemeinsame Verantwortlichkeit vorliegt.
Weitere Entwicklung unter der DSGVO
Nach bisheriger Rechtslage haben sich verschiedene Aufsichtsbehörden für eine solche vertragliche Ausgestaltung ausgesprochen. Was den Umfang dieser Regelungen betrifft, differenzierte das BayLDA im Tätigkeitsbericht für 2013/2014 (S.41) zwischen Aufgabenverlagerungen an bereichspezifisch streng limitierte Dritte (z.B. Steuerberater oder betriebsärztliche Betreuung durch niedergelassene Ärzte) und sonstige Dritte, für die keine speziellen bereichspezifischen Spezialregelungen gelten. Bei letzteren forderte das BayLDA damals detaillierte Regelungen, die sich an den gesetzlichen Vorgaben zur Auftragsdatenverarbeitung orientieren sollten. Die weitere Entwicklung unter der DSGVO bleibt abzuwarten. Da auch bei klassischen Datenübermittlungen zwischen Verantwortlichen ein Regelungsbedürfnis besteht, liegt es nahe, dass Vereinbarungen zur Aufgabenverlagerung auch unter der DSGVO zweckmäßig sind und ihnen mitunter eine praktische Bedeutung zukommen wird.
„bereichspezifisch streng limitierte Dritte (z.B. Steuerberater oder betriebsärztliche Betreuung durch niedergelassene Ärzte)“
Ich habe immer gedacht, dass Betriebsärzte gar keine Dritten sind:
https://www.bfdi.bund.de/bfdi_forum/showthread.php?t=6968&highlight=Betriebsarzt+dritter
Die Aufsichtsbehörden gehen auch im Kurzpapier der Datenschutzkonferenz zur Auftragsverarbeitung (https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/KP_13_Auftragsverarbeitung.pdf) von einem eigenständigen Verantwortlichen aus. Dieser Einordnung ist zuzustimmen. Der externe Betriebsarzt entscheidet allein über die die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten und ist damit als eigenständiger Verantwortlicher und nicht als Teil „der verantwortlichen Stelle“ einzustufen.
Gilt ein externer Datenschutzbeauftragter nun ebenfalls als Dritter und nicht mehr als teil der Verantwortlichen Stelle?
Unter dem BDSG aF wurden Personen innerhalb derselben Stelle (z.B. Mitarbeiter) nicht als Dritte eingeordnet, selbständige Handelsvertreter oder externe Datenschutzbeauftragte dagegen schon. Diese Einordnung ist auch unter der DSGVO vorzugswürdig, auch wenn sie – wie schon unter BDSG aF – nicht unumstritten ist. Dafür spricht nicht zuletzt die selbstständige, weisungsunabhängige Tätigkeit des externen DSB.
Ist es eigentlich zulässig vertragliche Inhalte einer Auftragsverarbeitung mit dem Akzeptieren der Nutzungsbedingung zu verknüpfen? Praxisbeispiel: Eine Reederei erteilt uns als Hafenagenten den Auftrag ihr Schiff im Hafen zu betreuen nur, wenn wir den Nutzungsbedingungen zustimmen. Müssten wir mit der Reederei nicht vielmehr einen separaten Vertrag zur Auftragsverarbeitung schließen? Stichwort Kopplungsverbot.
Vereinbarungen zur Auftragsverarbeitung, die in AGB oder Nutzungsbedingungen integriert werden, sind regelmäßig problematisch. Werden sie in AGB integriert, halten sie häufig bereits einer AGB-Prüfung nicht stand. Zudem fehlen bei Vereinbarungen zur Auftragsverarbeitung, die in Nutzungsbedingungen enthalten sind, regelmäßig auch Teile des gesetzlichen Mindestinhalts. Letztlich ist hier aber immer eine Einzelfallprüfung erforderlich.