Auftragsverarbeitung oder doch gemeinsam verantwortlich?

Auftragsverarbeitung oder doch gemeinsam verantwortlich?

Daten von Unternehmen werden heutzutage aus Know-How oder Kostengründen nicht mehr nur intern verarbeitet. Das Auslagern der Personal- und Kundenverwaltung in Cloud-Systeme sowie das Einschalten von externen Marketingagenturen sind nur ein paar gängige Beispiele des Outsourcings. Das Einschalten externer Dienstleister ist meist eng verknüpft mit der Übermittlung personenbezogener Daten und somit unterliegt der Prozess datenschutzrechtlichen Anforderungen.

In den letzten beiden Blogbeiträgen haben wir uns ausführlich der EuGH-Entscheidung rund um das EU-US-Privacy-Shield angenommen und damit verbunden den Einsatz von US-Dienstleistern thematisiert. Heute möchten wir noch einmal intensiv und ganz allgemein auf den Einsatz von Dienstleistern eingehen, schließlich findet die Verarbeitung personenbezogener Daten im Auftrag nahezu in jedem Unternehmen statt.

Das Modell der Nutzung und des effektiven Einsatzes von fremdem Fachwissen ist in Deutschland schon lange vor der Datenschutzgrundverordnung unter dem Namen Auftragsdatenverarbeitung bekannt gewesen. Seit dem 25. Mai 2018 ist die Möglichkeit zur Auftragsdatenverarbeitung nun europaweit einheitlich ermöglicht und unter dem Namen Auftragsverarbeitung reformiert worden. Mit Einführung der DSGVO wurde zusätzlich die Rechtsfigur der gemeinsamen Verantwortlichkeit bekannt. Der EuGH hat dazu eine Reihe von Entscheidungen über die Ausgestaltung der gemeinsamen Verantwortlichkeit erlassen und seitdem treten immer wieder Fragen und Unklarheiten bezüglich beider Rechtsfiguren und deren Abtrennung auf.

Die Auftragsverarbeitung

Bei der Auftragsverarbeitung verarbeitet ein Dienstleister (sog. Auftragsverarbeiter) bestimmte Kategorien personenbezogener Daten. Diese Verarbeitung darf nur nach Weisung erfolgen, das heißt der Auftragsverarbeiter hat keine Entscheidungsfreiheit in Bezug auf die Verarbeitung der personenbezogenen Daten und stellt keine Einheit mit dem Auftraggeber dar. In der Datenschutz-Grundverordnung finden wir die Auftragsverarbeitung in Art. 28 DSGVO wieder. Daraus ergeben sich eine Vielzahl neuer Pflichten und Verantwortungen für den Auftragsverarbeiter. Zudem darf die Auftragsverarbeitung nur auf Grundlage eines Vertrages, der seine inhaltlichen Mindestanforderungen in Art. 28 Abs. 3 DSGVO festlegt, erfolgen.

Auftragsverarbeitung: Die Beteiligten sitzen in zwei getrennten Booten.

Um Ihnen die Konstellation noch etwas näher zu bringen, möchten wir Sie Ihnen kurz verbildlichen. Auftraggeber und Auftragnehmer sitzen bei der Auftragsverarbeitung in zwei getrennten Booten.

Gemeinsame Verantwortlichkeit

Die gemeinsame Verantwortlichkeit ist in Art. 26 DSGVO statuiert. Nach dieser Norm sind mehrere Stellen gemeinsam für die Verarbeitung Verantwortliche, das heißt wenn mehrere Unternehmen, Organisationen oder Vereine gemeinsam in der Zusammenarbeit die Zwecke der und die Mittel zur Verarbeitung festlegen. Die beiden Parteien (Verantwortlicher I und Verantwortlicher II) stellen eine gemeinsame Einheit dar - diese Einheit muss keine Rechtseinheit in Form eines Konzerns oder ähnlichem sein. Bildlich gesprochen sitzen die beiden Parteien in einem Boot und verfügen über die Verarbeitung der personenbezogenen Daten.

Gemeinsame Verantwortlichkeit: Die Beteiligten sitzen im selben Boot.

Die Verarbeitung der Daten kann dabei einzeln, arbeitsteilig oder jeder für sich allein erfolgen. Die gemeinsame Verantwortlichkeit setzt nicht voraus, dass jeder der beteiligten Akteure hinsichtlich der Verarbeitung identische Handlungsoptionen hat. Allerdings gibt sie dem Unternehmen, der Organisation oder dem Verein nicht automatisch eine Befugnis zur Datenverarbeitung. Der externe Dienstleister, der gemeinsam Verantwortliche, benötigt ebenfalls für die Verarbeitung der personenbezogenen Daten eine Rechtsgrundlage wie beispielsweise nach Art. 6 Abs. 1 bzw. Art. 9 Abs. 2 DSGVO.

Denken Sie auch bitte bei der gemeinsamen Verantwortlichkeit daran, einen datenschutzrechtlichen Vertrag nach Art. 26 DSGVO vor Beginn der Verarbeitung abzuschließen.

Auftragsverarbeitung oder doch gemeinsam verantwortlich?

Was liegt im konkreten Fall vor - Auftragsverarbeitung oder gemeinsame Verantwortlichkeit? Die Verwirrung ist bei dieser Frage groß und gerade im Bereich des Internets und des Online-Angebots fällt die Abgrenzung oft schwer.

Als Hilfestellung und zur besseren Abgrenzung sollten Sie die Definitionen nach Art. 4 Nr. 7 und Art. 4 Nr. 8 DSGVO beherrschen.

Art. 4 Nr. 7 DSGVO: „Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

Art. 4 Nr. 8 DSGVO: „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet

Entscheidend ist, wer von den Unternehmen, Organisationen oder Vereinen bei der Zusammenarbeit die Fäden in der Hand hält und damit über die Verarbeitung der personenbezogenen Daten entscheidet, also den tatsächlichen Einfluss auf die Datenverarbeitung hat. Der Auftragsverarbeiter kann und darf natürlich auch bestimmte Entscheidungen treffen, diese dürfen sich allerdings nur auf nicht-wesentliche Punkte wie beispielsweise die Wahl der Hard- und/oder Software beziehen.

Bei der Frage, ob überhaupt eine Auftragsverarbeitung oder gemeinsame Verantwortlichkeit gegeben ist, ist dies nur zu bejahen, wenn der Schwerpunkt der vertraglichen Leistung des Auftragnehmers in der Verarbeitung liegt. Andernfalls ist keine der beiden Rechtsfiguren einschlägig und sie müssen keinen datenschutzrechtlichen Vertrag nach Art. 26 oder Art. 28 DSGVO abschließen

Die Aufsichtsbehörde Baden-Württemberg hat Anfang September häufig aufkommende Fragen und detaillierte Punkte zur Abgrenzung der Verantwortlichkeiten in Ihrem FAQ beantwortet. Damit soll ein Beitrag für mehr Rechtssicherheit geleistet werden. Wir finden diesen Schritt, sich dieser wichtigen und komplexen Thematik anzunehmen, sehr gelungen. Denn tatsächlich ist die genaue Abgrenzung auch für uns Juristen eine ausgesprochen schwierige Frage.

Beispiele

Abschließend möchten wir Ihnen noch ein paar Beispiele für die jeweilige Rechtsfigur anführen.

Auftragsverarbeitung:

  • Wartung und Fernzugriffe bei IT-Anlagen mit Datenzugriff
  • Cloud Systeme zur Personal- und Kundenverwaltung
  • Marketingagenturen, die auch eine Auswertung der Webseitenanalyse durchführen
  • Ableseservice (Heizung, Wasser, Strom, etc.)
  • Hosting dynamischer Webseiten

Gemeinsame Verantwortlichkeit:

  • Facebook Fanpage: Betreiber einer Facebook-Fanpage (Unternehmen, Organisation und Verein) ist gemeinsam mit Facebook verantwortlich
  • Webseitenbetreiber, die einen Facebook "Gefällt-mir"-Button auf Ihrer Seite eingebunden haben, sind gemeinsam mit Facebook verantwortlich
  • Zeugen Jehovas: Organisation und Ihre als Verkünder tätigen Mitglieder bilden eine Einheit und sind damit gemeinsam verantwortlich
  • Gemeinsame Verwaltung bestimmter Datenkategorien in mehreren Konzernunternehmen; die einzelnen Konzernunternehmen sind gemeinsam verantwortlich
  • Personalvermittlungs-Dienstleister, die für ein Unternehmen, Organisation oder Verein potentielle Bewerber sichten und von diesem auch für eingegangene Bewerbungen mit eingebunden wird

Auftragsverarbeitung DSGVO GemeinsameVerantwortliche Dienstleister Datenübermittlung

Maren Kübler

Maren Kübler

Datenschutz­beauftragte

veröffentlicht am

28. September 2020

Weitere Artikel lesen

In unserem Blog behandeln wir topaktuelle Themen rund um den Datenschutz und unsere Arbeit. Bleiben Sie immer informiert.

DSGVO-Verstoß: Beendet Millionenbußgeld den Abhör-Skandal?

23. Oktober 2020

DSGVO-Verstoß: Beendet Millionenbußgeld den Abhör-Skandal?

Nach EuGH-Urteil: Zukunft des internationalen Datentransfers

31. August 2020

Nach EuGH-Urteil: Zukunft des internationalen Datentransfers

Schrems kippt EU-US-Privacy-Shield: EuGH-Urteil zu Datentransfers

21. Juli 2020

Schrems kippt EU-US-Privacy-Shield: EuGH-Urteil zu Datentransfers

Noch Fragen offen?

Sie haben Anmerkungen oder Fragen zum Thema? Oder benötigen Sie unsere Expertise? Kontaktieren Sie uns mit Ihrem Anliegen, wir freuen uns, Sie kennenzulernen.

VELIT Consulting GmbH & Co. KG