Was ist eigentlich Auftragsverarbeitung?

Was ist eigentlich Auftragsverarbeitung?

Fast jedes Unternehmen oder jeder Soloselbständige lässt irgendwelche Daten von einem Dritten verarbeiten. Das kann der IT-Dienstleister sein oder der Lieferservice um die Ecke. Oder aber die externe Buchhaltung, die externe Rechnungsschreibung oder der Lettershop zum Versand von Newslettern. Nun geht es in der DSGVO ja vor allem um den Schutz der personenbezogenen Daten und nicht um irgendwelche Daten, die in keiner Beziehung zu einer natürlichen Person gebracht werden können. Bleibt die Frage, wie sich eine Auftragsverarbeitung von der Erbringung einer Dienstleistung abgrenzt.

Zunächst einmal spielen hier die Artikel 4 Nr. 7 und 8 der DSGVO eine wichtige Rolle. Hier heißt es in Nr. 7: „Verantwortlicher ist die natürliche oder juristische Person oder Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet…“

In Nr. 8 heißt es: „Auftragsverarbeiter ist eine natürliche oder juristische Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“

Der Auftragsverarbeiter kann also nicht gleichzeitig Verantwortlicher ein und desselben Verarbeitungsvorgangs sein. Er kann auch nicht frei über den Zweck und die Mittel der entsprechenden Verarbeitung entscheiden sondern darf nur im Auftrag des Verantwortlichen tätig werden.

Schaut man sich das Verhalten vieler Marktteilnehmer an, könnte man den Eindruck gewinnen, dass jede Weitergabe oder Offenlegung von Daten eine Auftragsverarbeitung ist, die in einem entsprechenden Vertrag nach den Vorgaben von Art. 28 der DSGVO geregelt werden muss. Das führt dazu, dass eine unübersehbare Anzahl von Auftragsverarbeitungsverträgen von den entsprechenden „Verantwortlichen“ und Auftragsverarbeitern formuliert und verwaltet werden müsste. Dies ohne Reibungsverluste zu tun ist nahezu unmöglich. Dazu kommt, dass die ausschließliche Weisungsgebundenheit der Auftragsverarbeiter dazu führt, dass der Auftraggeber, der Verantwortliche, sich das Recht vorbehält, massive Eingriffe in das Recht der freien Berufsausübung durchführen zu können, was im Endeffekt die Erbringung der kontrahierten Dienstleistung unmöglich machen könnte.

Richtigerweise liegt eine Auftragsverarbeitung daher nur in den Fällen vor, in denen der Schwerpunkt der vertraglichen Leistung des Auftragnehmers in der Verarbeitung personenbezogener Daten liegt.

Beispiel: Bei einem Paketdienstleister, der Pakete für Auftraggeber an Endkunden ausliefert, liegt der Schwerpunkt in der Logistik- und Transportleistung. Dass dabei notwendigerweise auch personenbezogene Daten vom Auftraggeber erhalten und verarbeitet werden, ist dabei eine Voraussetzung zur Erbringung der eigenen Leistung und nicht der Schwerpunkt der Leistung. Diese Daten werden also für eigene Zwecke, nämlich der Erfüllung der Transportleistungen verarbeitet. Das wird auch von den Aufsichtsbehörden so gesehen. Anderes Beispiel: Ein Trainer, der Teilnehmerdaten von einer Akademie oder Agentur bekommt, verarbeitet die personenbezogenen Daten nur als Nebenleistung und hat die Kerntätigkeit in der Erbringung der Weiterbildungsleistung. Wie er die erbringt ist seine eigene Expertise und sollte nicht vom Auftraggeber detailliert vorgegeben werden.

Anders sieht das z.B. bei der Verarbeitung im Auftrag bei einem Newsletterversender aus. Hier liegt der Focus ganz klar auf der umfangreichen Verarbeitung von vorgegebenen Adressdaten und der Bereitstellung vorgegebener Inhalte. Hier hat der Verantwortlich eindeutig die Hoheit über Zweck und Mittel, d.h. ein AV-Vertrag ist notwendig. Gleiches gilt auch für den Cloudanbieter oder für die externe Rechnungsbearbeitung ohne Forderungsübergang.

Der vielzitierte Art. 28 der DSGVO hingegen gibt keine detaillierte Auskunft darüber, wann eine Auftragsverarbeitung vorliegt, sondern regelt nur die Vorschriften und Verfahren für die Abwicklung einer solchen.

Es empfiehlt sich also vor Abschluss eines AV-Vertrages genau zu untersuchen ob eine Auftragsverarbeitung vorliegt oder nicht. Dabei ist die wichtigste Aufgabe, festzustellen, wer jeweils der Verantwortliche im Sinne von Artikel 4.7 ist. Orientierungspunkte hierzu können das Working-Paper 169 der Artikel 29 Datenschutzgruppe sein und das Abgrenzungspapier des bayerischen LDA, das zahlreiche Beispiele dafür auflistet, was einer AV zuzurechnen ist und was nicht. Es ist in den FAQ des LDA zu finden. Im Working Paper 169 wird auch ausdrücklich darauf hingewiesen, dass für die Entscheidung Auftragsverarbeitung oder nicht die Beurteilung der Faktenlage wichtiger ist als ein rein formalisiertes Vorgehen.

Wichtig in der Haftungsfrage ist, wer der Verantwortliche im Sinne der DSGVO ist. Liegt eine Auftragsverarbeitung vor, bleibt der Auftraggeber der Verantwortliche mit allen Rechten und Pflichten und der Auftragsverarbeiter muss weisungsgebunden nach den Bedingungen des AV-Vertrages agieren. Handelt es sich um eine Weitergabe von Daten zur Erbringung einer unabhängigen Dienstleistung, wird der Empfänger der Verantwortliche und muss alle Pflichten eines Verantwortlichen wahrnehmen und für deren Erfüllung haften, die die DSGVO und die assoziierten Gesetze fordern. Das geht von der Umsetzung der Informationsvorschriften über die Dokumentation derselben bis zur Rechenschaftspflicht nach Art. 5.2 der DSGVO.


Drucken   E-Mail