Die Auftragsdatenverarbeitung – Änderungen im Rahmen der Datenschutzgrundverordnung

In der Praxis häufig anzutreffen ist das Auslagern ganzer Arbeitsprozesse, die die Verarbeitung personenbezogener Daten umfassen, an unternehmensfremde Dienstleister. Das Bundesdatenschutzgesetz (BDSG) sah bisher detaillierte Regelungen zur Auswahl und Beauftragung solcher Dienstleister vor, um eine Privilegierung des Auftragsdatenverarbeiters zuerreichen.

Noch Fragen?
Wir bieten Hilfe zu allen Fragen rund um das Thema Auftragsdatenverarbeitung
0228 - 74 89 80

Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) wird auch dieser Regelungsbereich von der unmittelbaren Wirkung der Verordnung verdrängt werden, sodass sich deutsche Unternehmen auf die im Folgenden zu umreißenden Änderungen einstellen können:

Privilegierung nach §§ 3 Abs. 8 S. 3, 11 BDSG

Bisher galt nach dem BDSG eine Privilegierung von Auftragsdatenverarbeitern im Europäischen Wirtschaftsraum. Diese rechtlich privilegierte Stellung ergibt sich aus § 3 Abs. 8 Satz 3 BDSG wonach, Personen und Stellen im Inland, in einem Mitgliedstaat oder im Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, nicht Dritte im Sinne des Gesetzes sind. Sie werden also aus Sicht des Datenschutzrechts dem Verantwortlichen zugerechnet. Konsequenz dessen ist, dass die Weitergabe von personenbezogenen Daten keine Rechtfertigungsbedürftigkeit auslöst, da sie keine Übermittlung iSd § 3 Abs. 3 BDSG darstellt, sondern vielmehr nur eine Weitergabe von Daten innerhalb derselben Organisation des Verantwortlichen. Die Weitergabe an Auftragsdatenverarbeiter in Drittländer ist jedoch von der Privilegierung ausgenommen und wäre wiederum rechtfertigungsbedürftig.

Wie geht es weiter mit der Privilegierung?

Inwieweit die DSGVO mit ihrem Inkrafttreten am 18. Mai 2018 Änderungen für diesen Privilegierungstatbestand mit sich bringt ist in Fachkreisen noch sehr umstritten. Einerseits wird vertreten, dass die Privilegierung weiterhin erhalten bleibt, sogar in ihrem örtlichen Anwendungsbereich noch ausgeweitet wird, sodass die Privilegierung nicht nur im Europäischen Wirtschaftsraum gilt, sondern auch in Drittländern. Andererseits werden die Normen der DSGVO dahingehend ausgelegt, dass die Privilegierung völlig entfällt und nur der örtliche Anwendungsbereich ausgedehnt wird. Danach sind alle Datenverarbeitungen von der DSGVO betroffen, solange entweder der Verantwortliche oder der Auftragsverarbeiter seinen Sitz in der EU hat; ob die Datenverarbeitung dann auch in der EU stattfindet oder nicht, sei unerheblich.

Privilegierungstheorie

Die sog. Privilegierungstheorie, sieht keine Rechtfertigungsbedürftigkeit, soweit die Voraussetzungen des Art. 28 DSGVO erfüllt sind. Die Vertreter dieser Ansicht ziehen Art. 28 Abs. 3 DSGVO auch gleichsam als Wortlautargument für ihre Ansicht heran: Art. 28 Abs. 3 DSGVO sieht nämlich vor, dass „die Verarbeitung durch einen Auftragsverarbeiter … auf der Grundlage eines Vertrags oder eines anderen Regelungsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten…“ erfolgen kann. Daher läge es nahe, die nach Art. 28 DSGVO geschlossene Vereinbarung als Rechtfertigungsgrundlage anzusehen.

Darüber hinaus ergäbe sich bei systematischer Auslegung, dass der Verarbeitungsbegriff in Art. 4 Nr. 2 DSGVO ein einheitlicher Verarbeitungsbegriff sei, der nicht zwischen unterschiedlichen Verarbeitungsstufen unterscheide. Daher sei auch die Übermittlung an einen Auftragsverarbeiter von der Rechtfertigung gedeckt, die für die Datenverarbeitung des Verantwortlichen gilt.

Um die Begrifflichkeiten und Systematik der DSGVO zutreffend zu verstehen, sollte die DSGVO historisch nicht als Nachfolge des BDSG, sondern vielmehr als Nachfolge der Datenschutzrichtlinie 95/46/EG (DSRL) eingeordnet werden. Dann ist es auch nachvollziehbar, dass die DSRL die Privilegierung der Auftragsdatenverarbeitung impizit enthält und die DSGVO diese in expliziterer Form weiterführen will. Denn beide enthalten in ihren Art. 16 DSRL und Art. 29 DSGVO Regelungen, die ein solches Privileg voraussetzen, da diese Regelungen die weisungsgerechte Verarbeitung erlauben. Und wenn die Verarbeitung erlaubt sein soll, müsse denklogisch auch die Vorstufe der Datenüberlassung an den ordnungsgemäß verpflichteten Auftragsverarbeiter erlaubt sein.

Ein weiteres Argument für diese Betrachtungsweise stützt sich auf den Schutzzweck der Norm: Würde der Rechtfertigungstheorie gefolgt werden, hätte dies zur Folge, dass dem in der Praxis häufig anzutreffenden Outsourcing von Datenverarbeitungen ein Riegel vorgeschoben wird, sodass diese Verarbeitung bei dem Verantwortlichen verbleibt, dessen Kompetenzen aber nicht auf die Verarbeitung personenbezogener Daten ausgerichtet sind. Daher ist dieser viel weniger im Stande die personenbezogenen Daten zu schützen als ein Dienstleister, der sich darauf spezialisiert hat und ein höheres Datenschutzniveau gewährleisten könnte.

Hinzu käme dieser Ansicht nach auch noch eine Ausweitung des Anwendungsbereichs des Privilegs über die Grenzen des Europäischen Wirtschaftsraumes hinaus, sodass die DSGVO eine deutliche Erleichterung für Unternehmen mit sich bringen würde, die ihre Datenverarbeitungsprozesse an andere Dienstleister auslagern.

Theorie der Rechtfertigungsbedürftigkeit

Die Theorie der Rechtfertigungsbedürftig stellt sich dem entgegen und macht ihre Argumentation hauptsächlich am Verarbeitungsbegriff des Art. 4 Nr. 2 DSGVO fest. Die darin enthaltene Definition macht nämlich keinen Unterschied zwischen Erheben, Verarbeiten oder Nutzen von Daten, sodass es unerheblich sei, ob es sich um eine „Weitergabe“ oder „Übermittlung“ iSd § 3 Abs. 4 Nr. 3 BDSG handele. Man könne zwar noch unterscheiden, dass nach Art. 4 Nr. 2 DSGVO die Übermittlung ein Unterfall der Offenlegung und die Offenlegung ein Unterfall der Verarbeitung darstellt. Zu einer anderen rechtlichen Konsequenz führe dies jedoch nicht, da jeder Übermittlungsvorgang einer gesetzlichen Erlaubnis, entweder in Form einer Einwilligung oder der Erfüllung der Voraussetzungen des Art. 6 Abs. 1, 9 Abs. 2 DSGVO bedürfe. In der Praxis würde dies bedeuten, dass überprüft werden müsste, ob jede Übermittlung an einen externen Dienstleistern auf einen Rechtfertigungsgrund des Art. 6 Abs.1 DSGVO gestützt werden könnte.

Insoweit bleibt es spannend, ob auch unter Geltung der DSGVO eine Privilegierung der Auftragsdatenverarbeiter stattifinden wird.

Vertragliche Ausgestaltung

Wie bisher auch, darf die Auftragsverarbeitung nur auf Grundlage eines Vertrages erfolgen, der im Unterschied zur Regelung des § 11 Abs. 2 BDSG nicht schriftlich erfolgen, aber den Anforderungen des Art. 28 Abs. 3 DSGVO entsprechen muss:

  1. Die personenbezogenen Daten dürfen nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden
  2. Der Datenverarbeiter muss gewährleisten, dass verarbeitenden Personen zur Vertraulichkeit verpflichtet sind und einer Verschwiegenheitspflicht unterliegen
  3. Es müssen alle nach Art. 32 erforderlichen Maßnahmen ergriffen werden
  4. Die personenbezogenen Daten müssen nach Abschluss der Dienstleistung entweder gelöscht oder zurückgegeben werden
  5. Dem Verantwortlichen müssen alle erforderlichen Informationen zum Nachweis der Einhaltung der genannten Pflichten zur Verfügung gestellt werden.

Darüber hinaus muss der Verantwortliche seine vorherige Zustimmung gem. Art. 28 Abs. 2 DSGVO erteilen, falls der Auftragsverarbeiter einen Sub-Unternehmer mit der Verarbeitung beauftragen will. Versteht man die Pflicht des Art. 28 Abs. 4 DSGVO aber wörtlich, sodass für jeden weiteren Auftragsverarbeiter die gleichen Datenschutzpflichten gelten und demnach der gleiche Vertrag wie zwischen dem Verantwortlichen und dem Auftragsverarbeiter gelten muss, würde in der Praxis die Beauftragung von Unterauftragnehmern sehr wahrscheinlich vereitelt werden.

Haftungsänderungen in der DSGVO

Weitere Änderungen sind in den Neuregelungen zur Haftung von Auftragsverarbeitern zu finden: Während zuvor nach § 11 Abs. 1 Satz 1 BDSG nur der Verantwortliche gehaftet hat, ergibt sich aus Art. 82 Abs. 1 DSGVO nun eine gemeinsame Haftung des Verantwortlichen mit dem Auftragsverarbeiter zusammen.