ТОП просматриваемых книг сайта:
DSGVO - BDSG - TTDSG. Группа авторов
Читать онлайн.Название DSGVO - BDSG - TTDSG
Год выпуска 0
isbn 9783800594207
Автор произведения Группа авторов
Серия Kommunikation & Recht
Издательство Bookwire
d) Weisungsgebundenheit
254
Kennzeichnend für eine Auftragsverarbeitung ist ferner, dass die datenverarbeitende Stelle „im Auftrag“ des Auftraggebers handelt und an dessen Weisungen gebunden ist. Die Tätigkeit als Auftragsverarbeiter ist demgemäß in erster Linie dadurch charakterisiert, dass der Auftragsverarbeiter Datenverarbeitungsverfahren im Auftrag durchführt, für die der Auftraggeber Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO ist. Vor diesem Hintergrund ist die Auftragsverarbeitung von einer Tätigkeit abzugrenzen, die der Auftragnehmer zwar im Auftrag des Verantwortlichen, jedoch nicht weisungsgebunden erbringt.
255
Anknüpfungspunkt für die Weisungsgebundenheit ist dabei die Verarbeitung der personenbezogenen Daten des Auftraggebers, nicht hingegen die Erbringung der vertragsgegenständlichen Leistung.503 Freilich wird sich dies in den meisten Fällen nicht trennscharf voneinander abgrenzen lassen. Insofern führt eine weisungsfrei zu erbringende, inhaltliche Leistung in aller Regel dazu, dass der Auftragnehmer bei der hierfür erforderlichen Verarbeitung der vom Auftraggeber zur Verfügung gestellten personenbezogenen Daten ebenfalls keinen Weisungen unterliegt.504 Insofern genügt es nicht, dass der Auftraggeber generell bestimmt, dass die jeweils betroffenen personenbezogenen Daten ausschließlich zur Erbringung der geschuldeten Leistungen verarbeitet werden dürfen, ohne anschließend jedoch wesentlichen Einfluss auf Verarbeitung durch den Auftragnehmer im Rahmen der Leistungserbringung zu nehmen bzw. nehmen zu können. Beispiel hierfür sind etwa Beratungsleistungen, zu deren Erbringung der Auftragnehmer personenbezogene Daten vom Auftraggeber erhält, etwa Rechtsanwälte, Unternehmensberater, Wirtschaftsprüfer, Steuerberater, Marktforschungsunternehmen, Softwareentwickler usw. Anderes Beispiel ist etwa das Outsourcing von Kundenservice-Dienstleistungen, sofern der Auftragnehmer die vertraglich geschuldeten Leistungen eigenständig und eigenverantwortlich durchführt.
256
Sofern der Auftragsverarbeiter weisungswidrig handelt, wird er für die von den Weisungen des Auftraggebers abweichenden Verarbeitungsvorgänge selbst zum Verantwortlichen und hat entsprechend weitergehende datenschutzrechtliche Verpflichtungen.505
3. Notwendigkeit einer (aktiven) Verarbeitung
257
Der Wortlaut von Art. 4 Nr. 8 DSGVO spricht dafür, dass eine Auftragsverarbeitungskonstellation nur dort gegeben ist, wo tatsächlich auch eine (aktive) Verarbeitung i.S.v. Art. 4 Nr. 2 DSGVO im Auftrag erfolgt. Dies wird noch der Fall sein, wo zumindest eine Kenntnisnahme der Daten durch den Datenempfänger ausdrücklich gewünscht ist,506 es sei denn, es handelt sich um eine eigenverantwortliche Verarbeitungstätigkeit des jeweiligen Dienstleisters.507
258
Betreffen die Tätigkeiten im eigentlichen Kern nicht die Verarbeitung von personenbezogenen Daten, sondern ist der Kontakt mit personenbezogenen Daten nur möglich oder ein unvermeidliches „Beiwerk“, unterfallen diese in der Regel nicht dem Regime der Auftragsverarbeitung.508 Dies ergibt sich denknotwendig auch schon aus dem Umstand, dass der Auftragnehmer nicht den Weisungen des Auftraggebers in Bezug auf die Verarbeitung von personenbezogenen Daten unterliegen kann, sofern eine solche Verarbeitung gar nicht Gegenstand der vertraglichen Leistung ist. Zu diesen Tätigkeiten zählen etwa Transportleistungen von Post- oder Kurierdiensten, Übertragungsleistungen von öffentlichen Telekommunikationsdiensten, Bewachungsdienste, Reinigungs- und Handwerksdienstleistungen oder Server-Housing. Unbeschadet etwaiger besonderer Geheimhaltungsverpflichtungen, wie dem Post-, Telekommunikations- oder Bankgeheimnis, reicht in solchen Konstellationen im Regelfall eine Geheimhaltungsverpflichtung der externen Personen aus.509
259
Ähnlich verhält es sich bei der Wartung von Datenverarbeitungsanlagen, etwa in Fällen, in denen ein Dienstleister per Remote auf IT-Systeme des Kunden zugreift, um Updates aufzuspielen oder Störungen zu beheben. § 11 Abs. 5 BDSG a.F. schrieb in solchen Konstellationen eine entsprechende Anwendung der Regelungen zur Auftragsverarbeitung vor, da der Zugriff auf personenbezogene Daten durch den Dienstleister nicht ausgeschlossen werden könne.510 Demgegenüber enthält Art. 28 DSGVO keine dem § 11 Abs. 5 BDSG a.F. vergleichbare Regelung.511 Nach der hier vertretenen Ansicht sind die Voraussetzungen einer aktiven Verarbeitung deshalb nicht erfüllt, wenn nur gelegentlich einer anderen Tätigkeit (z.B. einer Reinigungs- oder Wartungsleistung) ein Zugriff auf personenbezogene Daten möglich, aber eben nicht auftragsgegenständlich ist.512 Sofern jedoch eine (aktive) Verarbeitung notwendig ist, um die jeweiligen Wartungsarbeiten vorzunehmen, ist zu prüfen, ob diese Tätigkeiten einer Auftragsverarbeitung zugänglich sind oder es sich vielmehr um eine eigenverantwortliche, datenschutzrechtlich zu rechtfertigende Verarbeitungstätigkeit des Dienstleisters handelt.513 Im letzteren Fall ist dann auch auf Seite des Kunden sicherzustellen, dass ein entsprechender Erlaubnistatbestand vorliegt, der es rechtfertigt, die personenbezogenen Daten durch den Dienstleister verarbeiten zu lassen.
260
Nicht von der DSGVO geregelt sind jene Konstellationen, in denen der Auftragnehmer zwar ohne Zweifel personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, für ihn jedoch keine Möglichkeit zur inhaltlichen Kenntnisnahme besteht. Dies kann etwa vorliegen, wenn der Auftragnehmer ausschließlich verschlüsselte Daten verarbeitet, ohne jedoch über eine Möglichkeit zur Entschlüsselung der Daten zu verfügen (z.B. Hosting von verschlüsselten Daten). In solchen Fällen ist zu beachten, dass es sich für den Auftragnehmer dabei nicht um personenbezogene Daten handelt, dies jedenfalls, sofern ihm keine „Mittel“ vernünftigerweise zur Verfügung stehen, die Daten zu entschlüsseln und so einen Personenbezug herzustellen.514 In Konsequenz würde der Auftragnehmer dann (jedenfalls aus seiner Sicht) auch keine personenbezogenen Daten im Auftrag verarbeiten. Demgemäß spricht in solchen Konstellationen vieles dafür, weder eine Auftragsverarbeitung noch eine datenschutzrechtlich relevante Verarbeitung durch bzw. Übermittlung an den Auftragnehmer anzunehmen. Da dem Auftragnehmer keine schutzbedürftigen, personenbezogenen Daten offengelegt werden, entsteht insoweit auch nicht das einer Auftragsverarbeitung ansonsten stets inhärente Risiko für die jeweils Betroffenen.515 Die (an den Auftragnehmer ausgelagerte) Verarbeitung durch den Auftraggeber unterliegt freilich datenschutzrechtlichen Limitierungen, sofern er die jeweiligen Daten entschlüsseln kann. Vor diesem Hintergrund erscheint auch der Abschluss eines Vertrags nach Art. 28 DSGVO obsolet. Freilich ist in solchen Konstellationen stets im Einzelfall zu prüfen, ob für den Auftragnehmer nicht doch eine Möglichkeit zur Entschlüsselung der Daten besteht, etwa da er in bestimmten Konstellationen einen entsprechenden vertraglichen Anspruch gegen den Auftraggeber hat.
4. Auftragsverarbeiter in Drittstaaten
261
Anders als noch unter dem BDSG a.F. differenziert die DSGVO nicht mehr zwischen in der EU und außerhalb der EU ansässigen Auftragsverarbeitern.516 Dies entspricht insoweit auch der Regelungsrichtung von Art. 3 Abs. 1 und Abs. 2 DSGVO, wonach die Verordnung unabhängig davon Anwendung finden soll, ob eine Verarbeitung in der Union stattfindet oder nicht.517 Neben dem Abschluss eines den Anforderungen von Art. 28 DSGVO entsprechenden Auftragsverarbeitungsvertrags ist bei der Beauftragung eines außerhalb der EU ansässigen Auftragsverarbeiters ein angemessenes Schutzniveau i.S.v. Art. 44ff. DSGVO sicherzustellen.518
X. Empfänger (Nr. 9)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang