Datenschutz-Grundverordnung – Kaum beachtet: Deutsche Privilegierung der Auftragsdatenverarbeitung entfällt.

Im deutschen Datenschutzrecht kennt man bekanntlich eine sog. Privilegierung der Auftragsdatenverarbeitung. Schaltet die verantwortliche Stelle etwa einen Dienstleister ein, der für sie und in ihrem Auftrag personenbezogene Daten verarbeiten soll, so bedarf die Übermittlung der Daten an diesen Auftragsdatenverarbeiter, obwohl es sich hierbei um eine Datenverarbeitung handelt, keiner gesetzlichen Erlaubnis (also zB keiner Einwilligung der Betroffenen oder das Vorliegen eines gesetzlichen Erlaubnistatbestandes). Der Vorgang der Übergabe der Daten oder auch die Gewährung des Zugriffs auf diese für den Auftragsverarbeiter stellt nämlich, qua Gesetz, keine „Übermittlung“ i.S.d. § 3 Abs. 4 S. 2 Nr. 3 BDSG dar. § 3 Abs. 4 S. 1 BDSG legt zunächst fest, dass das Übermitteln eine Form des Verarbeitens von personenbezogenen Daten darstellt. § 3 Abs. 4 S. 2 Nr. 3 BDSG besagt dann:

Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten. (Hervorhebung durch mich)

Und § 3 Abs. 8 S. 2 BDSG sieht vor, dass Dritter gerade nicht der Auftragsdatenverarbeiter ist, der sich innerhalb des EWR befindet. Dies ist eine vom Gesetzgeber gewollte Vereinfachung und Privilegierung des Verhältnisses zwischen verantwortlicher Stelle und Auftragsdatenverarbeiter. Letzterer handelt allein im Auftrag und nach Weisungen und wird damit quasi ein ausgelagerter Teil der verantwortlichen Stelle. Die Übermittlung der Daten bedarf keiner rechtfertigenden Erlaubnis.

Keine Privilegierung unter der DS-GVO
Diese Privilegierung wird jedoch mit Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) zum 25. Mai 2018 entfallen. Die Folge: Zum einen liegt auch mit Blick auf Auftragsverarbeiter stets eine Übermittlung vor. Zum anderen bedarf jede Übermittlung von personenbezogenen Daten an einen Auftragsverarbeiter einer gesetzlichen Erlaubnis, sei es das Vorliegen einer Einwilligung oder die Erfüllung der Voraussetzungen einer der Tatbestände aus Art. 6 Abs. 1 DS-GVO.

Art. 4 Nr. 2 DS-GVO definiert die „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung“ (Hervorhebung durch mich).

Wie auch unter dem BDSG stellt die Übermittlung also einen Unterfall der Verarbeitung dar, wobei die Übermittlung selbst noch ein Unterfall der „Offenlegung“ von personenbezogenen Daten ist. Soweit so gut.

Was die DS-GVO jedoch nicht kennt, ist eine eigene Definition der Übermittlung wie im § 3 Abs. 4 S. 2 BDSG. Die obige Definition des Art. 4 Nr. 2 DS-GVO beschränkt die Offenlegung etwa nicht auf „Dritte“. Es erfolgt vielmehr gar keine Beschränkung. Jede Offenlegung ist eine Übermittlung, egal, an wen sie erfolgt.

Es hilft daher auch wenig, dass nach Art. 4 Nr. 10 DS-GVO „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten, ist (Hervorhebung durch mich). Es bleibt dabei, dass ein Auftragsverarbeiter nicht Dritter ist. Für die Frage, ob eine rechtfertigungsbedürftige Übermittlung personenbezogener Daten vorliegt, hat dies jedoch keine Bewandtnis.

Was bedeutet dies für Auftragsverarbeitungsverhältnisse in Deutschland?
Bis zum 25. Mai 2018 sollte jeder Verantwortliche, der Auftragsverarbeiter einsetzt (z.B. beim Cloud-Computing, technischer Dienstleistungen, etc.), prüfen, ob die Übermittlung personenbezogener Daten an den Auftragsverarbeiter auf einen der Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO gestützt werden kann. Im Ergebnis muss wirklich jede Beziehung zu Auftragsverarbeitern geprüft werden. Falls die Übermittlung nicht zulässig ist oder entsprechend ausgestaltet werden kann, wird eine unzulässige Verarbeitung personenbezogener Daten vorliegen. Die Folge können Untersagungsverfügungen der Aufsichtsbehörden oder auch Geldbußen sein. Ein einfaches „Weiter so“ wird es nicht geben. Bisher zulässige Datenverarbeitungen können nicht, etwa ähnlich einer Form des Bestandsschutzes, ohne nähere Prüfung und Abgleich mit den Vorgaben der DS-GVO gerettet werden. Erwägungsgrund 171 DS-GVO sieht vor, dass Verarbeitungen, die zum Zeitpunkt der Anwendung der DS-GVO (also am 25. Mai 2018) bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten der DS-GVO (ab dem 24. Mai 2016) mit ihr in Einklang gebracht werden müssen.

16 thoughts on “Datenschutz-Grundverordnung – Kaum beachtet: Deutsche Privilegierung der Auftragsdatenverarbeitung entfällt.

  1. Interessante These. Ich bin allerdings der Auffassung, dass dies ein bisschen weit geht.

    Die zitierten Regelungen der DS-GVO entsprechen im Wesentlichen den alten Regelungen der DS-Richtline (Art. 4 Nr. 2 DS-GVO/Art. 2 lit. b) DS-Richtlinie; Art. 4 Nr. 10 DS-GVO/Art. 2 lit. f) DS-Richtlinie). Die DS-Richtlinie kennt ebenfalls keine eigene Definition der „Übermittlung“ und erfordert auch keine Übermittlung an einen Dritten.

    Dennoch wurden bereits der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter als datenschutzrechtliche Einheit verstanden (vgl. Artikel-29-Gruppe, WP 169, S. 8 – „Der für die Verarbeitung
    Verantwortliche und der Auftragsverarbeiter werden also als „innerer Kreis der Datenverarbeitung“ angesehen und fallen nicht unter die speziellen Bestimmungen über Dritte“).

    Eine gesonderte Rechtfertigung nach Artikel 6-8 DS-Richlinie ist erst erforderlich, wenn der Auftragsverarbeiter den Weisungsrahmen überschreitet und damit selbst zum Verantwortlichen wird (vgl. Artikel-29-Gruppe, WP 169, S. 31).

    An diesem Grundsatz ändert auch die DS-GVO – trotz leicht anderem Wortlaut – nichts.

    Happy to discuss!

    Gruß
    Brandeis

    • Hallo Brandeis, danke für den Kommentar. Diskussion: immer gerne. Werden wir unter der DSGVO sicher auch genug Nährboden für haben.
      Ja, die Definitionen sind teilweise wortgleich übernommen. Dennoch steht für mich der Worlaut des Art. 4 Nr. 2 klar gegen die pauschale Privilegierung der Offenlegung von Daten an den Auftragsverarbeiter. Ich frage mich einfach schlicht: aus welcher Vorschrift ergibt sich, dass keine Übermittlung vorliegt, wenn Daten weitergegeben werden? Dazu habe ich, trotz Suche, leider nichts gefunden. Natürlich wird man Ansichten der Art 29 Gruppe zur DS-RL heranziehen können, um dennoch das Vorliegen eines Dritten abzulehnen. Aus dem Gesetz ergibt sich das und ein entsprechender Grundsatz meines Erachtens aber leider nicht.
      Beste Grüße

      • Meines Erachtens muss man die Diskussion von der DS-RL her führen, denn schließlich soll das BDSG ja die europäischen Vorgaben umsetzen.
        Die DS-RL kennt die Auftragsdatenverarbeitung und hat die Rahmenbedingungen hierfür in den Art. 16 und 17 niedergelegt. Bei der Erklärung der Konstruktion der Auftragsdatenverarbeitung nach dem Verständnis der DS-RL sind deren Definitionen aus Art. 2 zu nutzen. Der „für die Verarbeitung Verantwortliche“ trifft die Entscheidung über die Zwecke und Mittel der Verarbeitung. Es steht im frei, diese selbst durchzuführen oder sich hierfür eines externen Dienstleister („Auftragsverarbeiter“) zu bedienen. Entscheidet er sich für den Auftragsverarbeiter, hat er ihn vertraglich so zu binden, als würde er (der für die Verarbeitung Verantwortliche) die Datenverarbeitung durchführen. Beide stellen dann den inneren Kreis der Verarbeitung dar (siehe WP 169).
        Der Gesetzgeber der DS-RL hat sich für einen umfassenden Begriff der Verarbeitung entschieden um einen möglichst guten Schutz der Betroffenen zu gewährleisten. Daher ist ein Datentransfer an einen Auftragsverarbeiter, ob Übermittlung oder Weitergabe genannt, ist eine Verarbeitung iSd DS-RL.
        Bleibt die Frage, auf welcher Grundlage die Übermittlung legitimiert werden kann. Die Erlaubnistatbestände der DS-RL führen keinen speziellen TB auf und sind abschließend zu verstehen (Stichwort Totalharmonisierung). Die Lösung ergibt sich aus der Rolle des „für die Verarbeitung Verantwortlichen“.
        Wenn dieser sich dafür entscheiden darf die Verarbeitung durch einen Auftragsverarbeiter durchführen zu lassen, der genauso den Weisungen unterliegt wie ein interner Mitarbeiter, dann muss er auch das Recht haben, relevante Verarbeitungsschritte legitimieren zu können. Alles andere wäre mit der Rolle des „für die Verarbeitung Verantwortlichen“ nicht zu vereinbaren.
        Hierauf basierend muss man sich die Regelungen des BDSG anschauen. Dabei stellt man sehr schnell Diskrepanzen fest. So ist der Auftragsverarbeiter begrifflich auf das Territorium eines EWR-Staates beschränkt, was nicht den europäischen Vorgaben entspricht. Anderenfalls dürfte es keine Standardvertragsklauseln für Auftragsverarbeiter in Drittstaaten geben. Es handelt sich hier wahrscheinlich um ein gesetzgeberisches Versehen. Den Auftragsverarbeiter kann das erste BDSG auch schon. Allerdings war er auf den „Geltungsbereich dieses Gesetzes“ (dies war die alte BRD) beschränkt. Bei der Anpassung 2001 hat man geschaut wo die DS-RL gilt und hat dies einfach übernommen. Die Weitergabe ist nach dem BDSG keine Datenverarbeitung und nicht legitimierungspflichtig. Doch spätestens seit dem EuGH Urteil vom 24.11.2011 dürfte feststehen, dass Mitgliedstaaten einzelne Verarbeitungen nicht aus dem Verarbeitungsbegriff der DS-RL herauslösen und legitimierungsfrei stellen. Und der „für die Verarbeitung Verantwortliche“ mit seiner Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung hat nie das BDSG gesehen. Man hat lediglich die Worte „speichernde Stelle“ durch „verantwortliche Stelle“ ersetzt ohne die hinter der europäischen Begrifflichkeit liegende Konzeption zu übernehmen (BT-Drs. 14/4329 S. 33)
        Mit besten europäischen Grüßen
        Kleiner Europäer

      • Ich sehen dies immer noch anders. Unter der DS-Richtlinie ist das System „Verantwortlicher-Auftragsverarbeiter“ dasselbe wie auch nach deutschem Verständnis. Eine Übermittlung (und auch jede andere Weitergabe) personenbezogener Daten vom Verantwortlichen an den Auftrgasverarbeiter muss nicht gesondert gerechtfertigt werden, wenn die Voraussetzung für eine Auftragsdatenverarbeitung vorliegen. Der Wortlaut der DS-GVO entspricht hier in den wesentlichen Punkten dem der DS-RiLi. Da der europäische Gesetzgeber im gesamten vierjährigen Gesetzgebungsprozess nicht einmal hat verlauten lassen, die Priviligierung der Datenweitergabe an Auftragsverarbeiter entfallen zu lassen, halte ich den Schluss, man habe die Privilegierung mit der DS-GVO abgeschafft, für gewagt. Naheliegender ist doch der Schluss, dass in diesem Punkt am bestehenden System nichts geändert werden sollte.

        Gruß
        Brandeis

  2. Ich stehe vermutlich ein bisserl auf dem Schlauch, Zitate aus obigem Text:

    „Jede Offenlegung ist eine Übermittlung, egal, an wen sie erfolgt.“

    und

    „Es bleibt dabei, dass ein Auftragsverarbeiter nicht Dritter ist.“

    Was ist er dann?

    Und die Frage der *Zulässigkeit* einer Übermittlung auf Basis ADV gibt es ja auch jetzt. Ich verstehe die (formale?) Argumentation nicht so ganz.

    • Hallo haderner, danke für den Kommentar. Der Auftragsverarbeiter ist Empfänger. Übermittelt werden kann aber, nach der Definition in der DS-GVO, sowohl an den Empfänger, als auch an den Dritten. Im Übrigen ganz klar auch an einen Auftragsverareiter, wie sich aus dem Wortlaut des Erwäggr. 101 S. 3 ergibt. „Kleiner Europäer“ hat die Thematik sehr treffend umschrieben. Es handelt sich, wie ich auch in dem Blogbeitrag schreibe, insbesondere für uns, die an das BDSG gewohnt sind, um eine Änderung. Beste Grüße

  3. Hallo zusammen,

    eine schöne Diskussion, die wir hier führen.

    • Herr Piltz, Sie fragen, aus welcher Vorschrift ergibt sich, dass keine Übermittlung vorliegt, wenn Daten weitergegeben werden?
    Nach meinem Verständnis ist die Antwort hierauf: Aus keiner, weil die Übermittlung des für die Verarbeitung Verantwortlichen an den Auftragsverarbeiter eine Verarbeitung iSd. Art 2 DS-RL darstellt (siehe unten 2.1.).

    • Hallo Brandeis: Die ursprüngliche Idee der Auftragsdatenverarbeitung ist bei der DS-RL und dem BDSG (noch) gleich, deren Umsetzung mitnichten (siehe unten 1). Und das liegt am BDSG oder können Sie/oder sonst jemand mir das sog. „Privileg der Auftragsdatenverarbeitung“ anhand der DS-RL darlegen?

    Ich versuche mal einen „Annäherungs- und Aufklärungsversuch“ unsere Auffassungen:
    1.1 Natürlich kennt die DS-RL auch das Institut der Auftragsdatenverarbeitung, bei dem ein Dienstleister im Auftrag des für die Verarbeitung Verantwortlichen und gemäß seinen Weisungen Datenverarbeitungen durchführt (Art 16+17 DS-RL).
    1.2. Allerdings kennt weder die DS-RL noch die mir bekannten Regelungen anderen Mitgliedstaaten die rechtliche Konstruktion nach dem BDSG. Ob diese Rechtskonstruktion in Deutschland wegfällt, ist den anderen Mitgliedstaaten nach meiner Einschätzung weder bewusst noch von irgendeiner Relevanz, da die Konstruktion der Auftragsdatenverarbeitung nach deren Verständnis – das vielerorts mit der rechtlichen Ausgestaltung der DS-RL identisch ist – unverändert fortgeführt wird.
    1.3. Als Beleg dafür, dass die rechtliche Konstruktion von DS-RL und BDSG nicht übereinstimmen, sei auf die Definition des „Auftragsverarbeiter“ hingewiesent. Nach der Legaldefinition des „Auftragsverarbeiter“ in Art. 2e DS-RL ist dies eine Stelle, die Daten im Auftrag des Verantwortlichen verarbeitet. Nicht mehr und nicht weniger. Die DS-RL geht somit weder in ihrer Legaldefinition noch ihrer Grundkonzeption von einer territorialen Beschränkung des Auftragsverarbeiters auf das Gebiet eines Mitgliedstaats der EU oder des EWR aus. Wie auch? Anderenfalls dürfte es die Standardvertragsklauseln für Auftragsverarbeiter in Drittländern (2010/87/EU) überhaupt geben?
    1.4. Sind wir uns einig, dass die Auftragsdatenverarbeitung in der DS-RL und im BDSG unterschiedlich geregelt sind?

    2.1. Nach den genannten Standardvertragsklauseln ist der Datentransfer des Verantwortlichen zu dem Auftragsverarbeiter eine Übermittlung und damit eine Verarbeitung iSd. Art 2b DS-RL.

    3.1. Nach Art 7 DS-RL darf eine Verarbeitung nur auf der Grundlage einer der dort genannten Voraussetzungen erfolgen. Die DS-RL kennt keinen Tatbestand für die Übermittlung (oder eine andere Form der Verarbeitung) an Auftragsverarbeiter. In seiner Entscheidung vom Nov. 2011 hat der EuGH festgestellt hat, dass die DS-RL eine „Totalharmonisierung“ wollte und dass die Mitgliedstaaten die in Art. 7 aufgeführten Tatbestände weder einschränken noch erweitern dürfen. Ein Mitgliedstaat darf also nicht einen Verarbeitungsvorgang aus dem Verarbeitungsbegriff herauslösen und legitimierungsfrei stellen! Wenn demnach der Datentransfer einen legitimierungspflichtigen Verarbeitungsvorgang darstellt, ist die Frage, woraus sich die Legitimation herleiten lässt.
    3.2. Eine denkbare Option könnte der Erlaubnistatbestand der „Wahrnehmung berechtigter Interessen“ sein. Doch dagegen spricht, dass dies mit dessen Konzeption – so wie die WP sie dargelegt hat – nur schwer vereinbar sein dürfte. Auch dürfte dies zu weiteren Restriktionen führen, die sich aus dem Erlaubnistatbestand selbst ergeben, so dass es oftmals nicht mehr zu einem Outsourcing kommen kann. Ein wahrscheinlich weder erstrebenswertes noch gewünschtes Ergebnis sein kann.
    By the way. Einige Mitgliedstaaten stützen wohl den Transfer auf die „berechtigten Interessen“. In Deutschland greift man, vom Ergebnis gedacht sicherlich verständlich, bei der „unechten Auftragsdatenverarbeitung“ in einem Drittland darauf zurück.
    3.3. Nach meinem Verständnis des WP 169er Papiers ergibt sich die Befugnis für die (legitimierte) Durchführung des Transfers aus der Rolle des „für die Verarbeitung Verantwortlichen die Verarbeitung“ und dessen Recht, die Verarbeitung durch einen anderen durchführen lassen zu können. Die Möglichkeit, die Datenverarbeitung durch einen anderen durchführen lassen zu können, muss nach der DS-RL nicht explizit genannt werden. Sie ergibt sich immanent aus der Entscheidungsbefugnis, die Zwecke und Mittel der Verarbeitung festzulegen.

    4. Vielleicht bin ich nur ein verblendeter kleiner Europäer, aber vielleicht ist es – ganz oder weitgehend – so, wie skizziert? Ich nehme jeden Hinweis gerne entgegen, der die Argumentation widerlegt und freue mich auf eine weiterhin anregende Diskussion.
    Mit besten Grüßen

    Kleiner Europäer

    • Ja. In der Tat, einige interessante Aspekte. Kurz zu Ihrem ersten Bulletpoint: Das denke ich eben auch. Aus keiner Vorschrift. Und ja. Die ADV ist im BDSG sehr speziell geregelt worden. Wobei ich jedoch denke, dass sich die Übermittlung durchaus (auch) auf den Erlaubnistatbestand der Interessenabägung stützen lässt. Beste Grüße.

  4. Sehr interessante Aspekte. Vielen Dank für den Artikel und die Diskussion.

    Angenommen, die Übermittlung an den Datenempfänger (Auftragsverarbeiter) bedürfte einer eigenständigen Legitimation nach der EU-DSGVO: Könnte man nicht auf das berechtigte Interesse nach Art. 6 I lit.f DSGVO abstellen? Zwar wäre auch dann eine Abwägung mit den Betroffeneninteressen notwendig, aber (gewagte These:) wenn ein ADV vorliegt und der Auftragsverarbeiter entsprechend Art. 28 DSGVO und nach Weisung der verantwortlichen Stelle (Art. 29 DSGVO) arbeitet, dann dürfte das berechtigte Interesse doch (in aller Regel?) überwiegen.

    • Danke für den Kommentar. Ja, die Legitimation auf der Grundlage berechtigter Interessen halte ich durchaus für möglich. Das ähnelt etwa der Ansicht der deutschen Behörden mit Blick auf die alte Situation unter Safe Harbor. Da wurde ja auch eine ADV gefordert, die dann im Rahmen der Interessenabwägung quasi positiv ausstrahlte. Beste Grüße.

  5. • Hallo Herr Piltz: Ein Rückgriff auf die bisherige Sichtweise der deutschen Aufsichtsbehörden halte ich für verständlich, allerdings nicht für opportun, da diese auf dem BDSG und nicht auf der DSGVO beruht.

    Das „Dilemma“ ist, das der Datentransfer zum Auftragsverarbeiter eine Übermittlung ist und damit eine legitimierungspflichtige Verarbeitung.

    • Hallo Arno Nym:
    Einen Rückgriff auf die „berechtigten Interessen“ kann ich natürlich aus dem „Notnagel-Gesichtspunkt“ heraus verstehen.

    Wenn man sich das WP 217 zu dem „Begriff des berechtigten Interesses“ anschaut, fällt es zumindest mir schwer zu sagen, dass dieser Erlaubnistatbestand passt. Er passt meines Erachtens deshalb nicht, weil die Auftragsverarbeitung oftmals doch lediglich das Outsourcing von Verarbeitungen ist, deren Durchführung dem „Verantwortlichen“ bereits aufgrund des Eingreifens eines anderen (spezielleren) Erlaubnistatbestand gestattet ist. Ein Onlinehändler lässt beispielsweise seine Rechnungstellung von einem externen Dienstleister durchführen. Dann darf der Onlinehändler die Daten des Kunden aufgrund des Eingreifens des Erlaubnistatbestands „zur Erfüllung des Vertrags erforderlich“ (Art. 6 Abs. 1 b DSGVO) verarbeiten. Zu den legitimierten anfallenden Datenverarbeitungsmaßnahmen gehört auch die Rechnungstellung. Nur weil diese Verarbeitung durch einen Auftragsverarbeiter erfolgt soll für den notwendigen Datentransfer auf die „berechtigten Interessen“ zurückgegriffen werden müssen? Das passt meines Erachtens nicht.
    Und wenn man sich die Kriterien anschaut, die bei der anzustellenden Interessensabwägung zu berücksichtigen sind (ab S. 43 in der deutschsprachigen Fassung des WP 217), dann kommen mir Zweifel, ob man darüber wirklich immer ein Outsourcing legitimiert bekommt. Insbesondere dann, wenn man zu den „Erwartungen des Betroffenen“ kommt.
    Und wie soll/kann man mit dem Widerspruch(srecht, siehe Art. 21 DSGVO) des Betroffenen umgehen wenn der sagt, dass er nicht möchte, dass seine Daten bei einem externen Dienstleister verarbeitet werden? Wer will sich dem beugen wollen?
    Deshalb halte ich den Ansatz, das Recht zur Legitimierung der Übermittlung aus der Rolle des für die Verarbeitung Verantwortlichen abzuleiten nicht nur für konsequent und richtig, sondern auch für ziemlich smart. Löst es doch ganz elegant unsere rechtlichen Probleme, oder?

    • Klar. Wenn ich die Übermittlung auf eine andere Grundlage, z.B. zur Durchführung eines Vertrages, stützen kann, dann brauche ich mich nicht mehr nach den berechtigten Interessen zu fragen.
      Bzgl. der Verweises auf die Sichtweise der dt. Behörden bin ich schon der Ansicht, dass es in diesem Fall geht. Denn dort (Safe Harbor) lag nach Auffassung der Behörden ja gerade eine Übermittlung vor. Ja, schön gesagt, „smart“. Was meines Erachtens aber auch dann offen bleibt ist die Antwort auf die Frage, welche der Bedingungen aus Art. 6 Abs. 1 DSGVO erfüllt ist, was die DSGVO ja als zwingend vorschreibt: „Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:“. Wenn man da nicht auf einen Vertrag, eine Einwilligung oder z.B. die berechtigten Interessen verweisen kann, wären, dem Wortlaut nach, die Voraussetzungen von Art. 6 Abs. 1 nicht erfüllt. Beste Grüße.

  6. Hallo Herr Piltz,
    der Onlinehändler in dem oben eingeführten Beispiel darf die Daten eines Kunden für die Vertragsdurchführung erheben und verarbeiten (Art. 6 1b DSGVO). Kraft seiner Rolle als „für die Verarbeitung Verantwortlicher“ kann er bei jedem einzelnen Verarbeitungsschritt entscheiden, ob er diese selbst durchführt oder von einem Auftragsverarbeiter durchführen lässt. Die Entscheidungsbefugnis über die Zwecke und Mittel ist das charakterisierende Merkmal des für die Verarbeitung Verantwortlichen (siehe oben). Wenn der Onlinehändler nun die Rechnungstellung outsourct handelt es sich nicht um eine neue Verarbeitung, sondern um die Fortführung – man könnte auch sagen um einen Teil – der originären Verarbeitung zum Zweck der Vertragserfüllung. Deshalb braucht der (kleine) Europäer keinen (!) anderen bzw. neuen zusätzlichen Erlaubnistatbestand für den Datentransfer an den Auftragsverarbeiter.
    Die DSRL/DSGVO geht von einem weitgefassten Begriff der Verarbeitung aus und umfasst den gesamten Lebenszyklus von Informationen von der Erhebung bis zur Vernichtung (WP 169 S.5 oben). Dieses Konzept ist etwas anders als das Phasenmodell des BDSG, auch wenn man in den meisten Fällen zum gleichen Ergebnis kommt, nicht aber in allen (so auch WP 169 S.5).
    Mit europäischen Grüßen

  7. Haben wir unsere Diskussion etwa schon beendet? Ich habe gehofft, dass jemand vorschlägt, dass man deshalb keine Legitimierung für den Datentransfer zum Auftragsverarbeiter braucht, weil er gemäß den gesetzlichen Vorgaben verträglich an den Verantwortlichen gebunden ist. Ein ganz guter Ansatz, wenn es da nicht zwei schwerwiegende Gegenargumente gäbe. Zum einen könnte man sich über diese Konstruktion, über diesen Vertrag, ja selbst eine legitimierende Grundlage schaffen Verarbeitungen durchführen zu können, was nicht ganz mit dem Katalog der Erlaubnistatbestände in Art 6 DS-RL zusammenpasst. Und zum anderen hat man damit immer noch nicht den Erlaubnistatbestand zur Legitimierung der Übermittlung. Wenn der Transfer zum Auftragsverarbeiter eine Übermittlung ist – so 2010/87/EU –, dann bedarf es auch einer sie legitimierenden Grundlage, oder?

    • Hallo kleiner Europäer, bzgl. Ihres möglichen Ansatzes, einen Vertrag mit dem Auftragsverarbeiter als Grundlage der Übermittlung zu nutzen, werden Sie von mir keine andere Meinung hören. Das funktioniert ja schon nach dem Wortlaut von Art 6 Abs 1 (b) DSGVO („dessen Vertragspartei die betroffene Person ist“) nicht. Beste Grüße

  8. Pingback: MailChimp, Newsletter und Datenschutz - Anleitung mit Muster und Checkliste - Kanzlei Dr. Thomas Schwenke

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert