Daten von Unternehmen werden heutzutage aus Know-How oder Kostengründen nicht mehr nur intern verarbeitet. Das Auslagern der Personal- und Kundenverwaltung in Cloud-Systeme sowie das Einschalten von externen Marketingagenturen sind nur ein paar gängige Beispiele des Outsourcings. Das Einschalten externer Dienstleister ist meist eng verknüpft mit der Übermittlung personenbezogener Daten und somit unterliegt der Prozess datenschutzrechtlichen Anforderungen.
In den letzten beiden Blogbeiträgen haben wir uns ausführlich der EuGH-Entscheidung rund um das EU-US-Privacy-Shield angenommen und damit verbunden den Einsatz von US-Dienstleistern thematisiert. Heute möchten wir noch einmal intensiv und ganz allgemein auf den Einsatz von Dienstleistern eingehen, schließlich findet die Verarbeitung personenbezogener Daten im Auftrag nahezu in jedem Unternehmen statt.
Das Modell der Nutzung und des effektiven Einsatzes von fremdem Fachwissen ist in Deutschland schon lange vor der Datenschutzgrundverordnung unter dem Namen Auftragsdatenverarbeitung bekannt gewesen. Seit dem 25. Mai 2018 ist die Möglichkeit zur Auftragsdatenverarbeitung nun europaweit einheitlich ermöglicht und unter dem Namen Auftragsverarbeitung reformiert worden. Mit Einführung der DSGVO wurde zusätzlich die Rechtsfigur der gemeinsamen Verantwortlichkeit bekannt. Der EuGH hat dazu eine Reihe von Entscheidungen über die Ausgestaltung der gemeinsamen Verantwortlichkeit erlassen und seitdem treten immer wieder Fragen und Unklarheiten bezüglich beider Rechtsfiguren und deren Abtrennung auf.
Bei der Auftragsverarbeitung verarbeitet ein Dienstleister (sog. Auftragsverarbeiter) bestimmte Kategorien personenbezogener Daten. Diese Verarbeitung darf nur nach Weisung erfolgen, das heißt der Auftragsverarbeiter hat keine Entscheidungsfreiheit in Bezug auf die Verarbeitung der personenbezogenen Daten und stellt keine Einheit mit dem Auftraggeber dar. In der Datenschutz-Grundverordnung finden wir die Auftragsverarbeitung in Art. 28 DSGVO wieder. Daraus ergeben sich eine Vielzahl neuer Pflichten und Verantwortungen für den Auftragsverarbeiter. Zudem darf die Auftragsverarbeitung nur auf Grundlage eines Vertrages, der seine inhaltlichen Mindestanforderungen in Art. 28 Abs. 3 DSGVO festlegt, erfolgen.
Um Ihnen die Konstellation noch etwas näher zu bringen, möchten wir Sie Ihnen kurz verbildlichen. Auftraggeber und Auftragnehmer sitzen bei der Auftragsverarbeitung in zwei getrennten Booten.
Die gemeinsame Verantwortlichkeit ist in Art. 26 DSGVO statuiert. Nach dieser Norm sind mehrere Stellen gemeinsam für die Verarbeitung Verantwortliche, das heißt wenn mehrere Unternehmen, Organisationen oder Vereine gemeinsam in der Zusammenarbeit die Zwecke der und die Mittel zur Verarbeitung festlegen. Die beiden Parteien (Verantwortlicher I und Verantwortlicher II) stellen eine gemeinsame Einheit dar - diese Einheit muss keine Rechtseinheit in Form eines Konzerns oder ähnlichem sein. Bildlich gesprochen sitzen die beiden Parteien in einem Boot und verfügen über die Verarbeitung der personenbezogenen Daten.
Die Verarbeitung der Daten kann dabei einzeln, arbeitsteilig oder jeder für sich allein erfolgen. Die gemeinsame Verantwortlichkeit setzt nicht voraus, dass jeder der beteiligten Akteure hinsichtlich der Verarbeitung identische Handlungsoptionen hat. Allerdings gibt sie dem Unternehmen, der Organisation oder dem Verein nicht automatisch eine Befugnis zur Datenverarbeitung. Der externe Dienstleister, der gemeinsam Verantwortliche, benötigt ebenfalls für die Verarbeitung der personenbezogenen Daten eine Rechtsgrundlage wie beispielsweise nach Art. 6 Abs. 1 bzw. Art. 9 Abs. 2 DSGVO.
Denken Sie auch bitte bei der gemeinsamen Verantwortlichkeit daran, einen datenschutzrechtlichen Vertrag nach Art. 26 DSGVO vor Beginn der Verarbeitung abzuschließen.
Was liegt im konkreten Fall vor - Auftragsverarbeitung oder gemeinsame Verantwortlichkeit? Die Verwirrung ist bei dieser Frage groß und gerade im Bereich des Internets und des Online-Angebots fällt die Abgrenzung oft schwer.
Als Hilfestellung und zur besseren Abgrenzung sollten Sie die Definitionen nach Art. 4 Nr. 7 und Art. 4 Nr. 8 DSGVO beherrschen.
Art. 4 Nr. 7 DSGVO: „Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
Art. 4 Nr. 8 DSGVO: „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
Entscheidend ist, wer von den Unternehmen, Organisationen oder Vereinen bei der Zusammenarbeit die Fäden in der Hand hält und damit über die Verarbeitung der personenbezogenen Daten entscheidet, also den tatsächlichen Einfluss auf die Datenverarbeitung hat. Der Auftragsverarbeiter kann und darf natürlich auch bestimmte Entscheidungen treffen, diese dürfen sich allerdings nur auf nicht-wesentliche Punkte wie beispielsweise die Wahl der Hard- und/oder Software beziehen.
Bei der Frage, ob überhaupt eine Auftragsverarbeitung oder gemeinsame Verantwortlichkeit gegeben ist, ist dies nur zu bejahen, wenn der Schwerpunkt der vertraglichen Leistung des Auftragnehmers in der Verarbeitung liegt. Andernfalls ist keine der beiden Rechtsfiguren einschlägig und sie müssen keinen datenschutzrechtlichen Vertrag nach Art. 26 oder Art. 28 DSGVO abschließen
Die Aufsichtsbehörde Baden-Württemberg hat Anfang September häufig aufkommende Fragen und detaillierte Punkte zur Abgrenzung der Verantwortlichkeiten in Ihrem FAQ beantwortet. Damit soll ein Beitrag für mehr Rechtssicherheit geleistet werden. Wir finden diesen Schritt, sich dieser wichtigen und komplexen Thematik anzunehmen, sehr gelungen. Denn tatsächlich ist die genaue Abgrenzung auch für uns Juristen eine ausgesprochen schwierige Frage.
Abschließend möchten wir Ihnen noch ein paar Beispiele für die jeweilige Rechtsfigur anführen.
Auftragsverarbeitung:
Gemeinsame Verantwortlichkeit:
Auftragsverarbeitung DSGVO GemeinsameVerantwortliche Dienstleister Datenübermittlung