+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

Ist Ihr Dienstleister tatsächlich ein Auftragsverarbeiter im Sinne der EU Datenschutzgrundverordnung? Sehr schnell tendiert man dazu, jedem den Titel Auftragsverarbeiter anzuhängen, der auch nur annähernd in die Nähe von personenbezogenen Daten kommt.

Es gibt viele Diskussionen zum Thema. Ist zum Beispiel Google schon ein Auftragsverarbeiter, wenn dort die IP-Adresse erfasst wird? Um die Frage fachlich fundiert zu beantworten, bin ich auf eine sehr gute Dokumentation der Bitkom gestoßen. Es wird dort auf 43 Seiten sehr detailliert über die Auftragsverarbeiter bzw. Auftragsdatenverarbeiter (wie sie vorher hießen) informiert.

Neben dem sehr wertvollen Papier der Bitkom gehe ich noch auf die Stellungnahme der Datenschutzkonferenz ein, die auch eine Aussage über die Auftragsverarbeitung getroffen hat. Ergänzt wird der Artikel im Oktober 2020 durch eine Leitlinie der EDSA zur Abgrenzung von Begrifflichkeiten.

Auf den Punkt gebracht: Auftragsverarbeiter und gemeinsame Verantwortliche im Datenschutz

Auf den Punkt gebracht: Führerschein- und Ausweiskopien nach der DSGVO
  • Wenn es sich um keinen Auftragsverarbeiter handelt, kann es sich um eine gemeinsame Verantwortlichkeit oder um fremde Fachleistungen handeln
  • Ein Auftragsverarbeiter bestimmt nicht den Zweck und die Mittel der Datenverarbeitung
  • Bei der gemeinsamen Verantwortlichkeit entscheiden beide Parteien über den Zweck und die Mittel der Datenverarbeitung

Begriffsdefinition Auftragsverarbeiter und gemeinsame Verantwortliche

Wer ist überhaupt Verantwortlicher?

Wer für die Daten verantwortlich ist, ergibt sich aus Art. 4 Nr. 7 DSGVO. Des Weiteren ist der Art. 5 DSGVO ebenfalls zu berücksichtigen.

Grundsätzlich ist Verantwortlicher derjenige, der über die Zwecke und Mittel der Datenverarbeitung entscheidet und diese delegiert.

Was bedeutet „Zweck“?

Der Zweck der Verarbeitung ist das „Warum“. Warum benötige ich die Daten für die Verarbeitungstätigkeit? Der Zweck wird im Verfahrensverzeichnis beschrieben und definiert.

Was bedeutet Mittel?

Das Mittel zeigt an, „wie“ die Verarbeitung durchgeführt wird. Als Beispiel können hier Programme, Softwaren oder Applikationen genannt werden.

Was sind die Alternativen zur Auftragsverarbeitung?

Wie schon oben erwähnt, ist es nicht immer eine Auftragsverarbeitung, wenn Daten nicht alleine von der verantwortlichen Stelle verarbeitet werden. Es gibt hier drei Möglichkeiten:

  • Auftragsverarbeiter
  • Inanspruchnahme fremder Fachleistungen
  • Joint Controllership (Gemeinsame Verantwortliche)

Jede dieser Optionen hat rechtlich andere Parameter, die berücksichtigt werden müssen.

Diese Fälle richtig auseinander zu halten, ist die Kunst. Ich finde es auch nicht ganz trivial, aber mit den Hinweisen der Bitkom und der DSK ist es etwas einfacher.

Allerdings muss man erwähnen, dass im Leitfaden der Bitkom noch die Funktionsübertragung erwähnt wird, die ich vorher in diesem Artikel auch mehr herausgehoben habe. Nach der DSGVO gibt es diese nun nicht mehr. Momentan sieht es auch nicht danach aus, als würden sich Empfehlungen wieder in diese Richtung anlehnen.

Übermittlung (Funktionsübertragung) aus dem „alten“ BDSG

  • Die Datenverarbeitung personenbezogener Daten spielt eine untergeordnete Rolle
  • Der Auftragnehmer hat nur eine unterstützende Funktion, indem er den Auftraggeber in einer oder mehreren Phasen der Verarbeitung unterstützt.
  • Der Dienstleister ist quasi der „verlängerte Arm“ des Auftraggebers.
  • Es wird keine Aufgabe in ihrer Vollständigkeit, sondern lediglich ihre technische Ausführung übertragen.

Beispiele für Funktionsübertragung – ALT

  • Ausgelagerte Finanzbuchhaltung
  • Gehaltsabrechnung durch den Steuerberater

Ich empfehle daher, sich nicht mehr auf die Funktionsübertragung zu berufen – was es im allgemeinen aber auch einfacher macht, wie ich finde. Dann hat man noch die Optionen:

  • Auftragsverarbeiter
  • kein Auftragsverarbeiter
    • Fremde Fachleistungen
  • oder Gemeinsame Verantwortliche

Auftragsverarbeitung

Wenn Sie einen Auftragsverarbeiter beauftragen, legen Sie die Zwecke und Mittel der Datenverarbeitung fest. Sie sind verantwortlich für die Daten dem Betroffenen gegenüber.

Auch der Auftragsverarbeiter hat eine Unterstützungsfunktion, wenn der Verantwortliche seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter muss dann den Verantwortlichen bei der Erfüllung der Anfragen und Ansprüche des Betroffenen unterstützen.

Es deutet auf eine Auftragsverarbeitung hin, wenn der Auftragnehmer

  • keine Entscheidungsbefugnis über die Daten hat
  • keinen eigenen Geschäftszweck verfolgt bezüglich der personenbezogenen Daten
  • einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
  • in keiner vertraglichen Beziehung zu den Betroffenen steht, die er verarbeitet
  • und nach außen hin der Auftraggeber für die Datenverarbeitung verantwortlich ist.

Ergänzen muss man aber noch, dass zwar der Auftraggeber die Zwecke und Mittel der Verarbeitung festlegt, dies aber nicht bedeutet, dass auch jede technische Schutzmaßnahme durch den Auftraggeber entschieden werden muss. Hier hat der Auftragnehmer durchaus das Recht, eigene Entscheidungen zu treffen.

Beispiele für die Auftragsverarbeitung

  • Outsourcing eines Rechenzentrums
  • Externe Datenhaltung
  • Cloud Systeme zur Personal- und Kundenverwaltung
  • externe Druckdienstleister
  • Aktenvernichtung, Vernichtung von Datenträgern
  • Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen

Update am 23.01.2023 – Microsoft hat am 1. Januar 2023 einen neuen AV-Vertrag veröffentlicht.

Aktuell ist dieser nur in englischer Sprache verfügbar. Damit hat Microsoft auf die angebrachte Kritik der Aufsichtsbehörden reagiert.

Im neuen AV-Vertrag ist vor allem folgende Änderung bedeutend, dass über die EU-Cloud sämtliche Kundendaten ausschließlich in der EU verarbeitet und gespeichert werden. Des Weiteren wurde der Anhang I (relevante Regelungen zum AV-Vertrag) überarbeitet und ergänzt. Es werden dabei Bezüge auf die verschiedenen Rechtsgrundlagen nach Art. 5, 28, 32 und 33 genommen und ergänzt.

Update am 09.02.2023: Inzwischen wurde der AV-Vertrag auch in deutscher Sprache veröffentlicht.

Ob der Vertrag nun den Anforderungen der Aufsichtsbehörden entsprechen, wird sich wohl erst mit einer erneuten Bewertung zeigen.

Wann ist ein Dienstleister kein Auftragsverarbeiter

Laut Bitkom bezog sich die Grenze vor allem bei den IT-Dienstleistern darauf, dass ein Dienstleister, der nur Support Tätigkeit übernimmt und dabei keine aktive Verarbeitung der Daten übernimmt, kein Auftragsverarbeiter ist. Nach der Stellungnahme der DSK wird das nun etwas globaler gesehen.

Kein Auftragsverarbeiter ist daher ein Dienstleister, der z.B. die Wartung an der Stromzufuhr und an der Kühlung übernimmt. Jeglicher IT-Dienstleister, der sich z.B. auf den Rechner per Fernwartung aufschalten kann und dabei Zugriff auf personenbezogene Daten HABEN KÖNNTE, ist demnach ein Auftragsverarbeiter.

Die Beispiele der BitKom, wer kein Auftragsverarbeiter ist, sind nun noch ergänzt mit dem Einfluss des DSK Papiers:

  • Installation und Wartung von Netzwerken, Hardware
    • Telefonanlage, nur solange ein eventueller Zugriff auf personenbezogene Daten ausgeschlossen wird (was eigentlich ja nicht möglich ist)
  • Pflege von Software – wäre nach Stellungnahme der DSK nun immer ein Auftragsverarbeiter
  • Programmentwicklung und -tests von Programmen, die keine personenbezogenen Daten verarbeiten, sei es durch Userkennungen, Protokolle oder durch den originären Zweck des Programms
  • Ein Taxiunternehmen bietet eine Buchungsplattform für die Fahrten an. Die Kerntätigkeit des Taxiunternehmens besteht jedoch in der Beförderung der Fahrgäste. Die Buchungsplattform dient nur als Mittel zum Zweck.

Zudem handelt es sich nicht um einen Auftragsverarbeiter

  • wenn die Dienstleistung in Gesetzen geregelt ist (Postdienstleistungen – siehe auch weiter unten….)
  • bei E-Mail Providern, die nur die E-Mail Übermittlung sicherstellen und keine weiteren Funktionen anbieten
  • bei ausgelagerten Tätigkeiten, deren Kernaufgabe nicht die Verarbeitung von personenbezogenen Daten darstellt, trotzdem aber der Umgang mit personenbezogenen Daten nötig ist (Wachdienst, Reinigungsdienstleistung…)

Kerntätigkeit im Sinne der Datenverarbeitung

Die EDSA zieht zur Abgrenzung auch die Argumentation über die Kerntätigkeit heran. Einige Aufsichtsbehörden folgten dieser Annahme bisher nicht.

Das BayLDA ließ diese Argumentation bereits im Jahr 2018, kurz nach Inkrafttreten der DSGVO, in ihrem FAQ zu.

Fremde Fachleistungen

Hier spricht sich nun die Datenschutzkonferenz aus, dass die fremden Fachleistungen sich folgendermaßen auszeichnen:

  • Für die Verarbeitung und die Übermittlung gibt es einen eigenen Verantwortlichen
  • Für die Verarbeitung muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen

Es muss doch immer eine Rechtsgrundlage nach Art. 6 vorliegen, oder?
Beim Auftragsverarbeiter aber nur INDIREKT. Der Verantwortliche muss eine Rechtsgrundlage nach Art. 6 DSGVO haben. Der Auftragsverarbeiter hat diese in der Regel nicht. Liest man sich nämlich den Gesetzestext in Art. 6 genau durch, dann heißt es, es muss z.B. bei Art. 6 (1) lit. b ein Vertrag zwischen dem Betroffenen und dem Verantwortlichen existieren. Das heißt aber auch, dass diese Rechtsgrundlage für den Auftragsverarbeiter nicht gilt, da er ja nicht der Verantwortliche ist, sondern „nur“ der Dienstleister. Es gibt also keine Rechtsgrundlage beim Auftragsverarbeiter. Diese braucht er dementsprechend auch nicht dokumentieren (es ist nämlich keine Pflichtanforderung in Verfahrensverzeichnis!).
Aber zurück zu den fremden Fachleistungen. Wenn beim Dienstleister, der als „fremde Fachleistung“ gilt, eine Rechtsgrundlage vorliegen muss, sieht das ganz anders aus. Das heißt, es muss z.B. ein direkter Vertrag zwischen dem Betroffenen und dem Dienstleister existieren, was z.B. bei nachfolgenden Beispielen exakt der Fall ist.

Beispiele für fremde Fachleistungen

Die DSK kategorisiert in Ihrer Stellungnahme folgende Gruppen:

  • Berufsgeheimnisträger (Steuerberater, Anwälte, externe Betriebsärzte, Wirtschaftsprüfer…)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstitute für den Geldtransfer
  • Postdienst…

Weitere Beispiele hat das Bayerische Landesamt für Datenschutz in einer Übersicht zusammen gestellt. Hier können Sie das Dokument einsehen.

Joint Controllership – Gemeinsame Verantwortliche

Die DSGVO ermöglicht neben der alleinigen Verantwortung für ein Verfahren ein arbeitsteiliges Zusammenwirken. Dabei können „zwei oder mehr Verantwortliche“ gemeinsam die Verantwortung für die Verarbeitung personenbezogener Daten übernehmen.

Damit haben also alle verantwortlichen Stellen die Entscheidung über Zwecke und Mittel der Verarbeitung. Im Gegensatz zum Auftragsverarbeiter, bei dem keine Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung vorliegt.

Bei der Entscheidungsbefugnis geht es nicht um untergeordnete Entscheidungen, welche Verschlüsselung eingesetzt wird oder wie die Akten entsorgt werden. Die Schutzmöglichkeiten nach dem aktuellen Stand der Technik wählt natürlich der Auftragsverarbeiter frei. Die erwähnte Entscheidungsbefugnis bezieht sich auf die Zwecke und Mittel der Verarbeitung allgemein.

Interessant fand ich den Hinweis, dass maßgeblich ein faktisches Verhalten entscheidend ist, ob es sich um gemeinsame Verantwortliche handelt. Nicht der gemeinsame Wille regelt die Joint Controllership, sondern eben das Verhalten, also wie es tatsächlich gelebt wird.

Umsetzung der gemeinsamen Verantwortung

Es ist zwar kein Vertrag zur Auftragsverarbeitung nötig, trotzdem müssen ein paar Punkte dokumentiert werden.

  • Welcher der Partner hat welche Pflichten nach der DSGVO?
  • Wer übernimmt die Wahrung welcher Betroffenenrechte?
  • Welcher der Partner übernimmt die Informationspflicht?

Beispiele für Joint Controllership

Die aktuellen Beispiele der DSK sind etwas anders als die der Bitkom. Hier also die aktuellen der DSK:

  • klinische Arzneimittelstudien bei mehreren Verantwortlichen, die eigene Entscheidungen treffen (in Teilbereichen)
  • mehrere Unternehmen eines Konzerns, die gemeinsam bestimmte Datenkategorien verwalten und für gleichlaufende Geschäftszwecke verarbeiten
  • Soziale Medien, wenn Sie als Unternehmer eine Unternehmens- oder Fanpage betreiben
  • Reisebüro
  • Forschungsprojekt Institute
  • Marketingveranstaltung mehrere Unternehmen
  • Klinische Studien
  • Headhunter (konkreter Einzelfall)

Keine gemeinsame Verantwortlichkeit

  • Übermittlung Lohndaten an Finanzverwaltung (gesetzlich geregelt)
  • Gemeinsame Nutzung einer Datenbank mit getrennten Bereichen – Mandantenfähigkeit / Berechtigungskonzepte etc.
  • Gemeinsame Infrastruktur (Rechenzentren etc.)
Wann handelt es sich um einen Auftragsverarbeiter?
Pin it on Pinterest!

FAQs Auftragsverarbeitung

Gibt es eine Vorlage für einen AV-Vertrag?

Hier gibt es mehrere Möglichkeiten. Wir nutzen z.B. die kostenlose Vorlage der GDD oder der Bitkom. Aber auch Anwälte stellen Vorlagen zur Verfügung. Für Auftragsverarbeiter im EWR gibt es auch eine Vorlage auf Basis der SCC, die seitens der EU-Kommission vorgegeben ist. Erfolgt die Auftragsverarbeitung in einem unsicheren Drittland, z.B. USA, ist die Vorlage der EU-Kommission anzuwenden, konkret das SCC-Modul 2 (Verantwortlicher-Auftragsverarbeiter). Weitere Informationen zu den „neuen“ Standardvertragsklauseln (SCC) finden Sie in einem separaten Blogbeitrag.

Muss der AV-Vertrag unterschrieben werden?

Nein. Eine Unterschrift ist nicht zwingend erforderlich. Es ist ausreichend, wenn der Auftraggeber und Auftragnehmer die Vereinbarung bekunden. Dies kann mündlich oder konkludent erfolgen.

Es wird jedoch zu Nachweiszwecken empfohlen, den Vertrag schriftlich und mit einer Unterschrift abzuschließen.

Wie detailliert müssen die technischen und organisatorischen Maßnahmen im AV-Anhang beschrieben werden?

Hier lässt der EDSA einen gewissen Spielraum offen.

In der Leitlinie heißt es frei übersetzt, dass in einigen Fällen der Auftraggeber eine detaillierte Beschreibung der TOMs verlangen kann.

Welche Fälle damit gemeint sind, ist vermutlich wieder Auslegungssache. Es wäre wünschenswert, wenn diese Fälle im offiziellen Papier beispielhaft beschrieben werden.

In allen anderen Fällen sind zumindest die Sicherheitsvorgaben nach Art. 32 DSGVO einzuhalten.

Beispiel:

Sofern sensible Daten (z.B. Gesundheitsdaten) seitens des Auftragnehmers verarbeitet werden, bietet es sich an, ein ausführlicheres Sicherheitskonzept vorzulegen.

Bei Fällen, in denen nur „normale“ personenbezogene Daten (Name, Adresse, E-Mail-Adresse etc.) verarbeitet werden, ist eine Anlehnung und Auflistung nach Art. 32 DSGVO ausreichend.

Bin ich dafür Verantwortlich, dass mein Auftragsverarbeiter einen AV mit seinem Subdienstleister hat?

Ja und nein. Sie mit müssen mit Ihrem Auftragsverarbeiter einen AV-Vertrag schließen. In diesem müssen Sie sicherstellen, dass der Umgang mit Subdienstleistern geregelt ist. Das heißt, die Anforderungen von Ihnen als Verantwortlicher müssen an den Unterlieferanten weiter gegeben werden.

Damit ist Ihr Auftragsverarbeiter verpflichtet, mit seinen Subdienstleistern einen AV-Vertrag zu schließen.

Sie müssen regelmäßig prüfen oder einen Nachweis haben, dass Ihr Auftragsverarbeiter diese Vorgaben auch einhält. Dies kann auf unterschiedlichen Wegen passieren. Sie auditieren den Auftragsverarbeiter vor Ort und lassen sich die AV-Verträge zeigen. In vielen Fällen wird dies eher unwahrscheinlich sein. Sie können auch Fragebögen ausgeben und diese beantworten lassen oder Sie lassen sich Prüfberichte oder Zertifikate vorlegen.

Beispiele: Wer ist Auftragsverarbeiter?

Hier handelt es sich nur um einen Auszug und ein paar Beispiele. Die Liste ist natürlich nicht vollständig.

Wenn Sie einen dieser Dienste als Privatperson nutzen, handelt es sich um KEINE Auftragsverarbeitung.

AnbieterAuftragsverarbeiterErläuterung
DropboxJaCloud
GMXNeinsofern nur E-Mail Service genutzt wird
GoogleJaGSuite und andere Cloud-Services
HetznerJaServer, Webhosting, Cloud..
IonosJaServer, Webhosting, Cloud..
JimdoJaOnline-CMS
LinkedinNeinEine Unternehmensseite ist keine Auftragsverarbeitung
LohnbüroJaWenn kein Steuerberater
MicrosoftJa
NewsletterdienstleisterJa
SendinBlueJaNewsletterdienstleister
ReinigungsfirmaNein
StratoJaServer, Webhosting, Cloud..
wordpress.orgJaOnline CMS (nicht ein eigenes installiertes WordPress)

Bei welchen Dienstleistern sind Sie unsicher, ob es sich um einen Auftragsverarbeiter handelt?

Ich freue mich über Ihren Kommentar!

Quellen

Quelle: Bitkom

Datenschutzkonferenz unter diesem Link.

LfDI Baden-Württemberg: FAQ zur Abgrenzung der Verantwortlichkeiten und des Konzepts der Auftragsverarbeitung

Diesen Beitrag teilen