Die LfD Niedersachsen hat auf ihrer Webseite ein Dokument mit FAQ zur Auftragsverarbeitung nach der DSGVO veröffentlicht (Stand: Juni 2020).
Derartige Dokumente und Hinweise sind in der Praxis gerade mit Blick auf das Thema Auftragsverarbeitung sehr wertvoll, da die DSGVO diesbezüglich gar keine Beispiele enthält und sich immer wieder Abgrenzungsfragen stellen.
Nachfolgend greife ich ein paar Ansichten und Hinweise der LfD heraus.
Wann liegt eine Auftragsverarbeitung vor?
Nach Auffassung der LfD geht es bei einer Auftragsverarbeitung „um eine spezifische Form der Aufgabenübertragung bei der Verarbeitung personenbezogener Daten“. Als Beispiel nennt die Behörde datenschutzkonforme Vernichtung von Dokumenten oder Datenträgern.
In Frage 2 stellt die LfD zwei Prüffragen zur Einordnung dar, ob eine AV-Konstellation vorliegt. Sollten beide Fragen mit „ja“ beantwortet werden, so liege eine Auftragsverarbeitung vor.
Erste Frage: Werden bei dem Verarbeitungsprozess personenbezogene Daten verarbeitet?
Zweite Frage: Ist die mit der Verarbeitung personenbezogener Daten beauftragte Stelle nicht verantwortlich?
Meines Erachtens sind diese beiden Fragen jedoch in der Praxis nicht unbedingt zielführend. Insbesondere hinsichtlich der ersten Frage gibt es oft Situationen, in denen zwar Daten verarbeitet werden, aber natürlich keine Auftragsverarbeitung vorliegt. Zudem kann man eigentlich die zweite Frage für sich alleinstehen lassen. Denn diese betrifft schon das Ergebnis, was eigentlich mit Beantwortung beider Fragen erst gefunden werden soll. Oder anders: wenn jemand Verantwortlicher in Bezug auf eine Verarbeitung ist, dann ist er nicht Auftragsverarbeiter. Das ist klar, soll aber durch die beiden Fragen eigentlich erst festgestellt werden.
Für die Praxis relevant sind einige bei der zweiten Frage genannten Regelbeispiele für Auftragsverarbeitungen:
- Verarbeitung von Kundendaten durch ein Call-Center ohne wesentliche eigene Entscheidungsspielräume dort,
- Datenverarbeitungstechnische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
- elektronische Rechnungserstellung.
Privilegierung der Auftragsverarbeitung?
Zudem geht die LfD auch darauf ein, ob der Auftragsverarbeiter eine eigene Rechtsgrundlage für die Verarbeitung benötigt.
Dies ist nach Ansicht der LfD nicht der Fall. Aber: es ist das Vorliegen einer Rechtsgrundlage nötig, jedoch nicht beim Auftragsverarbeiter. Der Auftragsverarbeiter stützte sich für die Verarbeitung personenbezogener Daten „im Auftrag“ auf die dem Verantwortlichen zustehende Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Wie die LfD zu diesem Ergebnis auf Grundlage der DSGVO kommt, bleibt aber unklar.
Entscheidend ist der Kern der beauftragten Leistung
Im Zusammenhang mit den obigen Kontrollfragen stellt die LfD dann bei Frage 4 klar, dass es auch Konstellationen gibt, in denen zwar Daten verarbeitet werden, die andere Stelle aber nicht als Auftragsverarbeiter agiert. Ähnlich wie schon das BayLDA, stellt die LfD (meines Erachtens zurecht) auf den Kern der beauftragten Leistung ab. Eine Auftragsverarbeitung kann daher verneint werden,
wenn die Datenverarbeitung lediglich im Zusammenhang mit der Erbringung einer (Haupt-)Dienstleistung für einen anderen erfolgt. Gemäß Erwägungsgrund 81 zur DS-GVO muss der Verantwortliche den Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten „betrauen wollen“. Dieses kann im Einzelfall verneint werden, wenn die Datenverarbeitung nicht speziell beabsichtigt ist beziehungsweise nicht den Schwerpunkt oder einen wichtigen (Kern-)Bestandteil der Leistung des Auftragnehmers darstellt.
Die LfD nennt hierfür auch Beispiele:
- Wenn ein Copyshop den Auftrag erhält, einige T-Shirts mit Namen zu bedrucken
- Der Hersteller von Produkten erhält für mit Endkunden vereinbarte Direktlieferungen vom Online-Händler die Adresse des Kunden (Dropshipping) (hierzu enthält das Dokument auch ein Schaubild)
- Blumen- oder Weinhändler erhält zur Versendung von Blumen- beziehungsweise Weingeschenken an dritte Personen von seinem Kunden eine Liste mit Adressdaten der Empfänger
Vertrag ist nicht immer erforderlich
Interessant ist zudem die Ansicht der LfD, ob immer ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) abzuschließen ist. Zwar sein für die Auftragsverarbeitung ein konkreter Rahmen festzulegen.
Dafür müssen der Verantwortliche und der Auftragsverarbeiter in der Regel einen Vertrag zur Auftragsverarbeitung schließen. Alternativ kann sich der Auftragsverarbeiter zum Beispiel auch einseitig gegenüber dem Verantwortlichen verpflichten.
Die LfD lässt mithin auch die einseitige Verpflichtung des Auftragsverarbeiters ausreichen. Näher begründet wird diese Ansicht nicht. Ich vermute, die LfD stützt sich auf Art. 38 Abs. 3 DSGVO, in dem es heißt: „oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet“.
Antworten auf Einzelfragen
In Antwort 7 des Dokuments finden sich dann verschiedene Antworten auf spezifische Einzelfragen.
Dort verweist die LfD u.a. auf eine abgestimmte Position der deutschen Behörden, dass für IT-Wartungsdienstleistungen ein Vertrag zur Auftragsverarbeitung abzuschließen ist. Grund sei, dass im Rahmen der beauftragten Tätigkeit für den Dienstleister zumindest die Möglichkeit des Zugriffs auf personenbezogene Daten der Beschäftigten des Auftraggebers oder auf Kundendaten bestehe, zum Beispiel bei Fehleranalysen, bei Remote-Zugriffen oder bei Support-Arbeiten. Meines Erachtens steht diese Ansicht aber der zuvor genannten Sichtweise entgegen, dass es auf den Kern der Beauftragung ankommt. Wenn ein Unternehmen aber gerade nicht mit der Verarbeitung von Daten (oder dem Zugriff darauf) beauftragt wird, dann liegt eigentlich keine Auftragsverarbeitung vor. Nach Ansicht der Behörden hier dann aber wohl doch. Die Begründung: aufgrund der
bestehenden technischen Möglichkeit zur systematischen und umfassenden Verarbeitung personenbezogener Daten ist im Hinblick auf die Leistung des Auftragnehmers stets ein entsprechender Schwerpunkt in der Datenverarbeitung zu sehen.
Die Möglichkeit (!) des Zugriffs, führt also zum Schwerpunkt der Tätigkeit. Interessant. Meines Erachtens ist diese Auffassung nicht mit der zuvor von der LfD selbst genannten Ansicht, nach der es stets um den Kern der beauftragten Leistung geht, vereinbar. Zumindest fehlt mir eine plausible Begründung für diese Abweichung. Ich vermute, die deutschen Behörden möchten gerne die gesetzliche Fiktion des § 11 Abs. 5 BDSG aF in das neue Datenschutzrecht „retten“. Dazu muss man aber sagen: § 11 Abs. 5 BDSG aF existiert weder im neuen BDSG und erst recht nicht in der DSGVO. Diese Auffassung halte ich daher für diskutabel, zumal sie in der Praxis Unsicherheiten schafft, wann allein die Möglichkeit eines Zugriffs quasi zur Auftragsverarbeitung führt.
Nach meinem Verständnis liegt die Antwort auf die Frage, warum IT Wartung anders als Dropshipping eine AV sein soll in dem angebrachten Zitat: „bestehenden technischen Möglichkeit zur **systematischen und umfassenden Verarbeitung** personenbezogener Daten“ in dem **markierten Teil**.
Bei der IT Wartung kann ich mit einem Klick massenhaft kopieren. Eventuell muss ich das sogar, weil ich sie auf eigene Testsysteme übertrage.
Die Risiko-Exposition ist meines Erachtens hierbei viel höher als bei den Negativ-Beispielen.
Das wäre das Ergebnis einer Risikobetrachtung.
Die Aufsichten begründen es aber nicht so (die Begründung zur Änderung im alten BDSG habe ich jetzt nicht nachgesehen). Wobei mir klar ist, wie Unternehmen hierzu das Risiko meist einschätzen werden. Im Ergebnis führt die Position dazu, dass AVV als formaler Akte abgeschlossen werden und das nicht nur für Wartungen.
NB: die Aufsichten „schulden“ seit Jahren Kriterien für Risikoabwägungen.
Am interessantesten ist für mich die „einseitige Erklärung“ (eine Diskussion dazu gab es auch im ehemaligen DS-Forum des BfDI).
Natürlich wären einige, weniger komplexe Anforderungen an so eine Erklärung zu erfüllen. Als „Pflichten des Auftraggebers“ wäre z.B. festzuhalten „keine aus der Erklärung“, und die Laufzeit muss man sich überlegen.
Gibt es dazu Ansichten in Literatur und Praxis jenseits dieser Aufsichtsbehörde?