Czytaj książkę: «DSGVO - BDSG - TTDSG», strona 25
c) (Gesetzliche) Pflichten und Haftung des Auftragsverarbeiters
241
Die vom Auftragsverarbeiter einzuhaltenden Pflichten ergeben sich in erster Linie aus dem Auftragsverhältnis zum Auftraggeber; Art. 28 DSGVO schreibt insoweit Regelungsbereiche vor, im Rahmen derer Auftraggeber und Auftragnehmer entsprechende vertragliche Abreden untereinander treffen müssen.483 Die DSGVO sieht darüber hinaus jedoch auch originäre, gesetzliche Pflichten für Auftragsverarbeiter vor.484 So sind Auftragsverarbeiter etwa verpflichtet, in ihrem Verantwortungsbereich angemessene technische und organisatorische Datensicherheitsmaßnahmen nach Art. 32 DSGVO zu implementieren und gemäß Art. 30 Abs. 2 DSGVO ein Verzeichnis der im Auftrag durchgeführten Verarbeitungsvorgänge zu führen.485
242
Nach Art. 82 DSGVO kann den Auftragsverarbeiter eine unmittelbare Außenhaftung gegenüber betroffenen Personen treffen, sofern er gegen ihm nach der DSGVO unmittelbar auferlegte Pflichten verstößt oder wider die rechtmäßig erteilten Anweisungen des Verantwortlichen handelt (vgl. Art. 82 Abs. 2 Satz 3 DSGVO).
2. Merkmale eines Auftragsverarbeiters bzw. einer Auftragsverarbeitung
243
Eine Auftragsverarbeitung liegt bei der Zusammenarbeit zwischen zwei Stellen vor, bei denen (1) ausschließlich der Auftraggeber über Zwecke und (wesentliche) Mittel der Verarbeitung entscheidet und (2) der Auftragnehmer an die Weisungen des Auftraggebers bezüglich der Verarbeitung der personenbezogenen Daten gebunden ist.486 Die Kriterien müssen dabei kumulativ vorliegen.
244
Wie auch bei der Bestimmung des Verantwortlichen ist dies grundsätzlich je Datenverarbeitungsverfahren zu evaluieren.487 Die Bestimmung kann dabei weitestgehend unproblematisch sein, etwa im Falle spezialisierter Dienstleister, die eine bestimmte Leistung stets weisungsgebunden für ihre Kunden erbringen, jedoch auch durchaus komplex ausfallen. Dies kann insbesondere im Rahmen von in Matrixstrukturen organisierten Unternehmensgruppen der Fall sein, sofern gewisse rechtliche Einheiten wechselseitig bestimmte Leistungen für andere Konzernteile erbringen.
245
Rechtlich eindeutig, jedoch in der Praxis oftmals unbeachtet, ist ferner der Umstand, dass auch spezialisierte Dienstleister, die gegenüber ihrem Auftraggeber stets als Auftragsverarbeiter tätig werden, im Hinblick auf etwa die Verarbeitung der personenbezogenen Daten ihrer eigenen Mitarbeiter freilich Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO sind und daher die anwendbaren datenschutzrechtlichen Vorgaben umfassend einhalten müssen.
a) Person des Auftragsverarbeiters
246
Auftragsverarbeiter kann grundsätzlich jede natürliche oder juristische Person sein, die rechtlich außerhalb des Verantwortlichen steht.488 Demgemäß können weder Mitarbeiter noch Abteilungen oder unselbstständige Zweigstellen des Verantwortlichen als Auftragsverarbeiter (im Verhältnis zum Verantwortlichen) tätig werden.
247
Nicht als Auftragsverarbeiter sind ferner solche natürliche Personen zu klassifizieren, die zwar nicht bei dem Verantwortlichen angestellt sind, jedoch so in dessen betriebliche Abläufe integriert sind, dass deren im Rahmen ihrer zugewiesenen Aufgabenerfüllung durchgeführte, datenverarbeitende Tätigkeiten datenschutzrechtlich dem Verantwortlichen zuzuordnen sind. Hierbei kann es sich etwa um von ihrem eigentlichen Arbeitgeber entliehene oder anderweitig externe Arbeitskräfte handeln.489 Dies ist jedenfalls dann der Fall, sofern die jeweilige Person ihre gesamte oder einen eindeutig abtrennbaren Teil ihrer Arbeitskraft für einen Verantwortlichen aufwendet und personenbezogene Daten (wie ein regulärer Angestellter) ausschließlich im betrieblichen Kontext und im Rahmen ihrer zugewiesenen Aufgabenfelder für den Verantwortlichen verarbeitet. In solchen Fällen genügt es, durch entsprechende Geheimhaltungs- und Vertraulichkeitsverpflichtungen sicherzustellen, dass Entliehene keine personenbezogenen Daten (so wie auch keine Betriebs- und Geschäftsgeheimnisse) an ihren eigentlichen Arbeitgeber, mithin das entleihende Unternehmen, herausgeben bzw. für dessen Zwecke verarbeiten.490
b) Möglicher Gegenstand einer Auftragsverarbeitung
248
Einer Auftragsverarbeitung sind dabei grundsätzlich alle Formen der Beauftragung zugänglich; eine Beschränkung auf bestimmte inhaltliche Tätigkeiten besteht nicht. Sie muss sich nicht in einer reinen Datenverarbeitungstätigkeit erschöpfen,491 sondern kann auch weitergehende Tätigkeiten des Auftragnehmers zum Gegenstand haben.492 Insbesondere ist der DSGVO keine Beschränkung des Auftragsverarbeiters auf die Erbringung reiner „technischer“ Hilfsleistungen zu entnehmen.
249
Die einzig relevanten Prüfungskriterien bei der Abgrenzung zur eigenverantwortlichen Verarbeitung sind, ob der Auftragnehmer (gegebenenfalls gemeinsam mit dem Auftraggeber) nach Maßgabe des Art. 4 Nr. 7 DSGVO über Zwecke und (wesentliche) Mittel der Verarbeitung entscheidet oder bei der Verarbeitung der personenbezogenen Daten nicht an die Weisungen des Auftraggebers gebunden ist.493
250
Gleichwohl können die Grenzen verschwimmen. So können gewisse Verarbeitungskonstellationen sowohl als Auftragsverarbeitung als auch als Datenübermittlung zwischen Verantwortlichen ausgestaltet werden; ferner ist es möglich, dass ein Dienstleister im Rahmen eines Auftrags gewisse datenverarbeitende Tätigkeiten als Auftragsverarbeiter und wiederum andere als Verantwortlicher durchführt.494
c) Bestimmung der Zwecke und Mittel der Datenverarbeitung durch den Auftraggeber
251
Auftragsverarbeiter dürfen i.S.v. Art. 4 Nr. 7 DSGVO grundsätzlich nicht über den Zweck (und die wesentlichen Mittel) einer Datenverarbeitung bestimmen. Entscheidungen über inhaltliche Fragen, die den Kern der Rechtmäßigkeit der Verarbeitung wesentlich betreffen, sind daher dem für die Verarbeitung Verantwortlichen vorbehalten.495 Ein Auftragnehmer ist deshalb datenschutzrechtlich verantwortlich, wenn er einen Einfluss auf den Zweck hat und die Verarbeitung (auch) zu seinem eigenen Nutzen durchführt, der über eine bloße monetäre Kompensation durch den Auftraggeber hinausgeht.496 Die Verantwortlichkeit des Auftragnehmers kann sich dabei sowohl auf den gesamten als auch lediglich auf gewisse Abschnitte eines Verarbeitungsvorgangs erstrecken. Entscheidet der Auftragnehmer z.B. darüber, wie lange Daten aufbewahrt werden oder wer Zugang zu den verarbeiteten Daten hat, handelt er hinsichtlich dieses Teils der Datennutzung als ein für die Verarbeitung Verantwortlicher.497
252
Zu beachten ist hierbei, dass sich die Zwecksetzungsbefugnis stets auf die Verarbeitung eines konkreten Datensatzes bezieht. Insofern steht es Auftragsverarbeitern grundsätzlich frei, einen Verarbeitungszweck abstrakt zu bestimmen, etwa indem sie eine spezielle datenverarbeitende Tätigkeit am Markt anbieten. Zur Bestimmung der datenschutzrechtlichen Verantwortlichkeit ist vielmehr entscheidend, dass der Auftraggeber sich dazu entscheidet, die angebotene Leistung des Auftragnehmers in Anspruch zu nehmen, mithin in seiner datenschutzrechtlichen Verantwortlichkeit stehende personenbezogene Daten vom Auftragnehmer (nach dessen abstrakter Zweckbestimmung) verarbeiten zu lassen.498
253
Die Entscheidungsbefugnis über die Mittel der Verarbeitung ist demgegenüber zweitrangig. Sie hat eine Verantwortlichkeit für die Verarbeitung nur dann zur Folge, wenn über wesentliche Aspekte der Mittel entschieden wird.499 Die Entscheidung über bestimmte technische oder organisatorische Mittel der Verarbeitung kann daher vom Verantwortlichen durchaus auf den Auftragsverarbeiter delegiert werden, ohne seine Stellung als Auftragsverarbeiter zu gefährden.500 Es ist auch durchaus möglich, dass ausschließlich der Auftragsverarbeiter über die (unwesentlichen) technischen und organisatorischen Mittel entscheidet (vgl. obiges Beispiel eines spezialisierten Dienstleisters).501 Durch Inanspruchnahme der Dienstleistung und das damit einhergehende Akzeptieren der vom Auftragsverarbeiter festgelegten Mittel der Datenverarbeitung übernimmt der Auftraggeber auch die datenschutzrechtliche Verantwortung für die jeweilige Verarbeitungsaktivität.502
d) Weisungsgebundenheit
254
Kennzeichnend für eine Auftragsverarbeitung ist ferner, dass die datenverarbeitende Stelle „im Auftrag“ des Auftraggebers handelt und an dessen Weisungen gebunden ist. Die Tätigkeit als Auftragsverarbeiter ist demgemäß in erster Linie dadurch charakterisiert, dass der Auftragsverarbeiter Datenverarbeitungsverfahren im Auftrag durchführt, für die der Auftraggeber Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO ist. Vor diesem Hintergrund ist die Auftragsverarbeitung von einer Tätigkeit abzugrenzen, die der Auftragnehmer zwar im Auftrag des Verantwortlichen, jedoch nicht weisungsgebunden erbringt.
255
Anknüpfungspunkt für die Weisungsgebundenheit ist dabei die Verarbeitung der personenbezogenen Daten des Auftraggebers, nicht hingegen die Erbringung der vertragsgegenständlichen Leistung.503 Freilich wird sich dies in den meisten Fällen nicht trennscharf voneinander abgrenzen lassen. Insofern führt eine weisungsfrei zu erbringende, inhaltliche Leistung in aller Regel dazu, dass der Auftragnehmer bei der hierfür erforderlichen Verarbeitung der vom Auftraggeber zur Verfügung gestellten personenbezogenen Daten ebenfalls keinen Weisungen unterliegt.504 Insofern genügt es nicht, dass der Auftraggeber generell bestimmt, dass die jeweils betroffenen personenbezogenen Daten ausschließlich zur Erbringung der geschuldeten Leistungen verarbeitet werden dürfen, ohne anschließend jedoch wesentlichen Einfluss auf Verarbeitung durch den Auftragnehmer im Rahmen der Leistungserbringung zu nehmen bzw. nehmen zu können. Beispiel hierfür sind etwa Beratungsleistungen, zu deren Erbringung der Auftragnehmer personenbezogene Daten vom Auftraggeber erhält, etwa Rechtsanwälte, Unternehmensberater, Wirtschaftsprüfer, Steuerberater, Marktforschungsunternehmen, Softwareentwickler usw. Anderes Beispiel ist etwa das Outsourcing von Kundenservice-Dienstleistungen, sofern der Auftragnehmer die vertraglich geschuldeten Leistungen eigenständig und eigenverantwortlich durchführt.
256
Sofern der Auftragsverarbeiter weisungswidrig handelt, wird er für die von den Weisungen des Auftraggebers abweichenden Verarbeitungsvorgänge selbst zum Verantwortlichen und hat entsprechend weitergehende datenschutzrechtliche Verpflichtungen.505
3. Notwendigkeit einer (aktiven) Verarbeitung
257
Der Wortlaut von Art. 4 Nr. 8 DSGVO spricht dafür, dass eine Auftragsverarbeitungskonstellation nur dort gegeben ist, wo tatsächlich auch eine (aktive) Verarbeitung i.S.v. Art. 4 Nr. 2 DSGVO im Auftrag erfolgt. Dies wird noch der Fall sein, wo zumindest eine Kenntnisnahme der Daten durch den Datenempfänger ausdrücklich gewünscht ist,506 es sei denn, es handelt sich um eine eigenverantwortliche Verarbeitungstätigkeit des jeweiligen Dienstleisters.507
258
Betreffen die Tätigkeiten im eigentlichen Kern nicht die Verarbeitung von personenbezogenen Daten, sondern ist der Kontakt mit personenbezogenen Daten nur möglich oder ein unvermeidliches „Beiwerk“, unterfallen diese in der Regel nicht dem Regime der Auftragsverarbeitung.508 Dies ergibt sich denknotwendig auch schon aus dem Umstand, dass der Auftragnehmer nicht den Weisungen des Auftraggebers in Bezug auf die Verarbeitung von personenbezogenen Daten unterliegen kann, sofern eine solche Verarbeitung gar nicht Gegenstand der vertraglichen Leistung ist. Zu diesen Tätigkeiten zählen etwa Transportleistungen von Post- oder Kurierdiensten, Übertragungsleistungen von öffentlichen Telekommunikationsdiensten, Bewachungsdienste, Reinigungs- und Handwerksdienstleistungen oder Server-Housing. Unbeschadet etwaiger besonderer Geheimhaltungsverpflichtungen, wie dem Post-, Telekommunikations- oder Bankgeheimnis, reicht in solchen Konstellationen im Regelfall eine Geheimhaltungsverpflichtung der externen Personen aus.509
259
Ähnlich verhält es sich bei der Wartung von Datenverarbeitungsanlagen, etwa in Fällen, in denen ein Dienstleister per Remote auf IT-Systeme des Kunden zugreift, um Updates aufzuspielen oder Störungen zu beheben. § 11 Abs. 5 BDSG a.F. schrieb in solchen Konstellationen eine entsprechende Anwendung der Regelungen zur Auftragsverarbeitung vor, da der Zugriff auf personenbezogene Daten durch den Dienstleister nicht ausgeschlossen werden könne.510 Demgegenüber enthält Art. 28 DSGVO keine dem § 11 Abs. 5 BDSG a.F. vergleichbare Regelung.511 Nach der hier vertretenen Ansicht sind die Voraussetzungen einer aktiven Verarbeitung deshalb nicht erfüllt, wenn nur gelegentlich einer anderen Tätigkeit (z.B. einer Reinigungs- oder Wartungsleistung) ein Zugriff auf personenbezogene Daten möglich, aber eben nicht auftragsgegenständlich ist.512 Sofern jedoch eine (aktive) Verarbeitung notwendig ist, um die jeweiligen Wartungsarbeiten vorzunehmen, ist zu prüfen, ob diese Tätigkeiten einer Auftragsverarbeitung zugänglich sind oder es sich vielmehr um eine eigenverantwortliche, datenschutzrechtlich zu rechtfertigende Verarbeitungstätigkeit des Dienstleisters handelt.513 Im letzteren Fall ist dann auch auf Seite des Kunden sicherzustellen, dass ein entsprechender Erlaubnistatbestand vorliegt, der es rechtfertigt, die personenbezogenen Daten durch den Dienstleister verarbeiten zu lassen.
260
Nicht von der DSGVO geregelt sind jene Konstellationen, in denen der Auftragnehmer zwar ohne Zweifel personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, für ihn jedoch keine Möglichkeit zur inhaltlichen Kenntnisnahme besteht. Dies kann etwa vorliegen, wenn der Auftragnehmer ausschließlich verschlüsselte Daten verarbeitet, ohne jedoch über eine Möglichkeit zur Entschlüsselung der Daten zu verfügen (z.B. Hosting von verschlüsselten Daten). In solchen Fällen ist zu beachten, dass es sich für den Auftragnehmer dabei nicht um personenbezogene Daten handelt, dies jedenfalls, sofern ihm keine „Mittel“ vernünftigerweise zur Verfügung stehen, die Daten zu entschlüsseln und so einen Personenbezug herzustellen.514 In Konsequenz würde der Auftragnehmer dann (jedenfalls aus seiner Sicht) auch keine personenbezogenen Daten im Auftrag verarbeiten. Demgemäß spricht in solchen Konstellationen vieles dafür, weder eine Auftragsverarbeitung noch eine datenschutzrechtlich relevante Verarbeitung durch bzw. Übermittlung an den Auftragnehmer anzunehmen. Da dem Auftragnehmer keine schutzbedürftigen, personenbezogenen Daten offengelegt werden, entsteht insoweit auch nicht das einer Auftragsverarbeitung ansonsten stets inhärente Risiko für die jeweils Betroffenen.515 Die (an den Auftragnehmer ausgelagerte) Verarbeitung durch den Auftraggeber unterliegt freilich datenschutzrechtlichen Limitierungen, sofern er die jeweiligen Daten entschlüsseln kann. Vor diesem Hintergrund erscheint auch der Abschluss eines Vertrags nach Art. 28 DSGVO obsolet. Freilich ist in solchen Konstellationen stets im Einzelfall zu prüfen, ob für den Auftragnehmer nicht doch eine Möglichkeit zur Entschlüsselung der Daten besteht, etwa da er in bestimmten Konstellationen einen entsprechenden vertraglichen Anspruch gegen den Auftraggeber hat.
4. Auftragsverarbeiter in Drittstaaten
261
Anders als noch unter dem BDSG a.F. differenziert die DSGVO nicht mehr zwischen in der EU und außerhalb der EU ansässigen Auftragsverarbeitern.516 Dies entspricht insoweit auch der Regelungsrichtung von Art. 3 Abs. 1 und Abs. 2 DSGVO, wonach die Verordnung unabhängig davon Anwendung finden soll, ob eine Verarbeitung in der Union stattfindet oder nicht.517 Neben dem Abschluss eines den Anforderungen von Art. 28 DSGVO entsprechenden Auftragsverarbeitungsvertrags ist bei der Beauftragung eines außerhalb der EU ansässigen Auftragsverarbeiters ein angemessenes Schutzniveau i.S.v. Art. 44ff. DSGVO sicherzustellen.518
X. Empfänger (Nr. 9)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
262
Ein „Empfänger“ ist nach Art. 4 Nr. 9 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Die Definition entspricht damit im Wesentlichen der Begriffsdefinition in Art. 2 lit. g DSRl.519
263
In der DSGVO wird der Begriff des Empfängers in der Folge an mehreren Stellen verwendet, insbesondere in Art. 13 Abs. 1 lit. e, in Art. 14 Abs. 1 lit. e, in Art. 15 Abs. 1 lit. c und in Art. 19 DSGVO, nach denen der betroffenen Person Auskunft über die Empfänger (bzw. mit Ausnahme von Art. 19 DSGVO: Kategorien von Empfängern) zu erteilen bzw. sie darüber zu informieren ist. Der Begriff wird aber z.B. auch in Art. 30 (Verzeichnis von Verarbeitungstätigkeiten), Art. 46 (Datenübermittlung vorbehaltlich geeigneter Garantien), Art. 58 (Befugnisse der Aufsichtsbehörden) und Art. 83 (Allgemeine Bedingungen für die Verhängung von Geldbußen) verwendet. Hierbei legt die DSGVO Empfängern keine speziellen Pflichten oder Verantwortlichkeiten auf, sofern sie nicht gleichzeitig auch als Verantwortlicher oder Auftragsverarbeiter zu qualifizieren sind.520 Vielmehr beschreibt der Begriff „Empfänger“ eine Beziehung zu einem Verantwortlichen oder Auftragsverarbeiter.521
2. Begriff des Empfängers
264
Der Begriff des „Empfängers“ ist an zwei Voraussetzungen geknüpft:
1. Es müssen personenbezogene Daten offengelegt werden.
2. Diese Offenlegung muss gegenüber einer natürlichen oder juristischen Person, Behörde, Einrichtung oder anderen Stelle erfolgen, die dann als „Empfänger“ bezeichnet wird.
a) Offenlegung personenbezogener Daten
265
Der Begriff der Offenlegung personenbezogener Daten ist vom Verordnungsgeber im Rahmen der Definition des Begriffs „Verarbeitung“ in Art. 4 Nr. 2 DSGVO näher spezifiziert worden (dazu näher oben Rn. 83ff.). Die Offenlegung bezeichnet ganz grundlegend den Vorgang, anderen Stellen personenbezogene Daten zugänglich zu machen, sodass diese die Möglichkeit haben, die Daten zur Kenntnis zu nehmen.522
266
Zudem verlangt Art. 4 Nr. 2 DSGVO, dass dies durch eine Übermittlung, Verbreitung oder eine andere Form der Bereitstellung erfolgt. Eine Übermittlung liegt vor, wenn personenbezogene Daten einem individuell bestimmten Adressaten mitgeteilt werden (siehe ausführlich oben Rn. 88).523 Eine Verbreitung ist – in Abgrenzung zur Übermittlung – gegeben, wenn personenbezogene Daten einem unbestimmten Adressatenkreis mitgeteilt werden, der Adressat also gerade nicht individuell bestimmt ist (siehe ausführlich oben Rn. 92).524 Eine andere Form der Bereitstellung liegt vor, wenn Daten auf andere Art und Weise einer anderen Stelle zugänglich gemacht werden als durch eine Übermittlung oder eine Verbreitung, sodass diese Form der Offenlegung einen Auffangcharakter besitzt (siehe ausführlich oben Rn. 93).525
b) Mögliche Adressaten
aa) Allgemeine Merkmale
267
Nach Art. 4 Nr. 9 DSGVO können natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen „Empfänger“ sein. Hieraus folgt, dass grundsätzlich jede Person oder Personenmehrheit ein Empfänger i.S.d. Art. 4 Nr. 9 DSGVO sein kann und zwar unabhängig davon, ob sie privat-rechtlich oder öffentlich-rechtlich organisiert ist.526
268
Legt ein Verantwortlicher personenbezogene Daten faktisch gegenüber einer (einzelnen) natürlichen Person innerhalb eines (anderen) Unternehmens, einer (anderen) Behörde, (anderen) Einrichtung oder einer sonstigen anderen Stelle offen, ist im Einzelfall zu bestimmen, ob er die Daten der einzelnen Person oder dem gesamten Unternehmen bzw. der gesamten Behörde, Einrichtung oder anderen Stelle offenlegt. Hierbei sind insbesondere der Wille des Verantwortlichen, aber auch zivil-, verwaltungs- und strafrechtliche Zuordnungsnormen zu beachten.527
269
Unerheblich ist es nach dem ausdrücklichen Wortlaut von Art. 4 Nr. 9 DSGVO, ob es sich bei der die Daten empfangenden Person, Behörde oder anderen Stelle um einen Dritten i.S.d. Art. 4 Nr. 10 DSGVO (dazu näher unten Rn. 276) handelt oder nicht. Somit können auch Auftragsverarbeiter oder die betroffene Person selbst Empfänger personenbezogener Daten i.S.d. Art. 4 Nr. 9 DSGVO sein.528
