DSGVO - BDSG - TTDSG

239

Auftragsverarbeiter sind Empfängeri.S.v. Art. 4 Nr. 9 DSGVO, nicht hingegen Dritte i.S.v. Art. 4 Nr. 10 DSGVO.478 Welche Konsequenzen diese Kategorisierung für die datenschutzrechtliche Klassifizierung der Weitergabe personenbezogener Daten an Auftragsverarbeiter nach sich zieht, ist umstritten. Uneinigkeit besteht insoweit darüber, ob Datenweitergaben an einen Auftragsverarbeiter generell privilegiert sind oder ob die Weitergabe der zu verarbeitenden personenbezogenen Daten an den Auftragnehmer eine datenschutzrechtlich relevante und somit zu rechtfertigende Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 2 DSGVO darstellt,479 mithin der Auftraggeber dem Auftragsverarbeiter zur Durchführung des Auftrags ungeprüft alle notwendigen personenbezogenen Daten zur Verfügung stellen darf, oder ob er vorher sicherstellen muss, dass hierfür eine Erlaubnis in Gestalt einer Einwilligung oder eines gesetzlichen Erlaubnistatbestands greift.480

240

Das Auftrags- sowie Vertragsverhältnis zwischen dem Auftraggeber und dem Auftragsverarbeiter unterliegt dabei den Anforderungen von Art. 28 DSGVO.481 Der Abschluss eines Auftragsverarbeitungsvertrags wirkt jedoch nicht konstitutiv; vielmehr erfordert die Vorlage einer Auftragsverarbeitungskonstellation482 den Abschluss eines den Anforderungen von Art. 28 DSGVO entsprechenden Vertrags.

241

Die vom Auftragsverarbeiter einzuhaltenden Pflichtenergeben sich in erster Linie aus dem Auftragsverhältnis zum Auftraggeber; Art. 28 DSGVO schreibt insoweit Regelungsbereiche vor, im Rahmen derer Auftraggeber und Auftragnehmer entsprechende vertragliche Abreden untereinander treffen müssen.483 Die DSGVO sieht darüber hinaus jedoch auch originäre, gesetzliche Pflichten für Auftragsverarbeiter vor.484 So sind Auftragsverarbeiter etwa verpflichtet, in ihrem Verantwortungsbereich angemessene technische und organisatorische Datensicherheitsmaßnahmen nach Art. 32 DSGVO zu implementieren und gemäß Art. 30 Abs. 2 DSGVO ein Verzeichnis der im Auftrag durchgeführten Verarbeitungsvorgänge zu führen.485

242

Nach Art. 82 DSGVO kann den Auftragsverarbeiter eine unmittelbare Außenhaftunggegenüber betroffenen Personen treffen, sofern er gegen ihm nach der DSGVO unmittelbar auferlegte Pflichten verstößt oder wider die rechtmäßig erteilten Anweisungen des Verantwortlichen handelt (vgl. Art. 82 Abs. 2 Satz 3 DSGVO).

243

Eine Auftragsverarbeitungliegt bei der Zusammenarbeit zwischen zwei Stellen vor, bei denen (1) ausschließlich der Auftraggeber über Zwecke und (wesentliche) Mittel der Verarbeitung entscheidet und (2) der Auftragnehmer an die Weisungen des Auftraggebers bezüglich der Verarbeitung der personenbezogenen Daten gebunden ist.486 Die Kriterien müssen dabei kumulativvorliegen.

244

Wie auch bei der Bestimmung des Verantwortlichen ist dies grundsätzlich je Datenverarbeitungsverfahrenzu evaluieren.487 Die Bestimmung kann dabei weitestgehend unproblematisch sein, etwa im Falle spezialisierter Dienstleister, die eine bestimmte Leistung stets weisungsgebunden für ihre Kunden erbringen, jedoch auch durchaus komplex ausfallen. Dies kann insbesondere im Rahmen von in Matrixstrukturen organisierten Unternehmensgruppen der Fall sein, sofern gewisse rechtliche Einheiten wechselseitig bestimmte Leistungen für andere Konzernteile erbringen.

245

Rechtlich eindeutig, jedoch in der Praxis oftmals unbeachtet, ist ferner der Umstand, dass auch spezialisierte Dienstleister, die gegenüber ihrem Auftraggeber stets als Auftragsverarbeiter tätig werden, im Hinblick auf etwa die Verarbeitung der personenbezogenen Daten ihrer eigenen Mitarbeiter freilich Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO sind und daher die anwendbaren datenschutzrechtlichen Vorgaben umfassend einhalten müssen.

246

Auftragsverarbeiter kann grundsätzlich jede natürliche oder juristische Person sein, die rechtlich außerhalb des Verantwortlichensteht.488 Demgemäß können weder Mitarbeiter noch Abteilungen oder unselbstständige Zweigstellen des Verantwortlichen als Auftragsverarbeiter (im Verhältnis zum Verantwortlichen) tätig werden.

247

Nicht als Auftragsverarbeiter sind ferner solche natürliche Personen zu klassifizieren, die zwar nicht bei dem Verantwortlichen angestellt sind, jedoch so in dessen betriebliche Abläufe integriertsind, dass deren im Rahmen ihrer zugewiesenen Aufgabenerfüllung durchgeführte, datenverarbeitende Tätigkeiten datenschutzrechtlich dem Verantwortlichen zuzuordnen sind. Hierbei kann es sich etwa um von ihrem eigentlichen Arbeitgeber entliehene oder anderweitig externe Arbeitskräfte handeln.489 Dies ist jedenfalls dann der Fall, sofern die jeweilige Person ihre gesamte oder einen eindeutig abtrennbaren Teil ihrer Arbeitskraft für einen Verantwortlichen aufwendet und personenbezogene Daten (wie ein regulärer Angestellter) ausschließlich im betrieblichen Kontext und im Rahmen ihrer zugewiesenen Aufgabenfelder für den Verantwortlichen verarbeitet. In solchen Fällen genügt es, durch entsprechende Geheimhaltungs- und Vertraulichkeitsverpflichtungen sicherzustellen, dass Entliehene keine personenbezogenen Daten (so wie auch keine Betriebs- und Geschäftsgeheimnisse) an ihren eigentlichen Arbeitgeber, mithin das entleihende Unternehmen, herausgeben bzw. für dessen Zwecke verarbeiten.490

248

Einer Auftragsverarbeitung sind dabei grundsätzlich alle Formen der Beauftragung zugänglich; eine Beschränkung auf bestimmte inhaltliche Tätigkeiten besteht nicht. Sie muss sich nicht in einer reinen Datenverarbeitungstätigkeit erschöpfen,491 sondern kann auch weitergehende Tätigkeiten des Auftragnehmers zum Gegenstand haben.492 Insbesondere ist der DSGVO keine Beschränkungdes Auftragsverarbeiters auf die Erbringung reiner „technischer“ Hilfsleistungen zu entnehmen.

249

Die einzig relevanten Prüfungskriterienbei der Abgrenzung zur eigenverantwortlichen Verarbeitung sind, ob der Auftragnehmer (gegebenenfalls gemeinsam mit dem Auftraggeber) nach Maßgabe des Art. 4 Nr. 7 DSGVO über Zwecke und (wesentliche) Mittel der Verarbeitung entscheidet oder bei der Verarbeitung der personenbezogenen Daten nicht an die Weisungen des Auftraggebers gebunden ist.493

250

Gleichwohl können die Grenzen verschwimmen. So können gewisse Verarbeitungskonstellationen sowohl als Auftragsverarbeitung als auch als Datenübermittlung zwischen Verantwortlichen ausgestaltet werden; ferner ist es möglich, dass ein Dienstleister im Rahmen eines Auftrags gewisse datenverarbeitende Tätigkeiten als Auftragsverarbeiter und wiederum andere als Verantwortlicher durchführt.494

251

Auftragsverarbeiter dürfen i.S.v. Art. 4 Nr. 7 DSGVO grundsätzlich nicht über den Zweck (und die wesentlichen Mittel) einer Datenverarbeitung bestimmen. Entscheidungen über inhaltliche Fragen, die den Kern der Rechtmäßigkeit der Verarbeitung wesentlich betreffen, sind daher dem für die Verarbeitung Verantwortlichen vorbehalten.495 Ein Auftragnehmer ist deshalb datenschutzrechtlich verantwortlich, wenn er einen Einfluss auf den Zweck hat und die Verarbeitung (auch) zu seinem eigenen Nutzen durchführt, der über eine bloße monetäre Kompensation durch den Auftraggeber hinausgeht.496 Die Verantwortlichkeit des Auftragnehmers kann sich dabei sowohl auf den gesamten als auch lediglich auf gewisse Abschnitte eines Verarbeitungsvorgangs erstrecken. Entscheidet der Auftragnehmer z.B. darüber, wie lange Daten aufbewahrt werden oder wer Zugang zu den verarbeiteten Daten hat, handelt er hinsichtlich dieses Teils der Datennutzung als ein für die Verarbeitung Verantwortlicher.497