§ 12 Datenschutzrecht / 2. Abgrenzung der Auftragsverarbeitung zur eigenverantwortlichen Datenverarbeitung

Rz. 49

Die Auftragsverarbeitung durch den Dienstleister ist abzugrenzen von einer eigenverantwortlichen Datenverarbeitung. Damit stellt sich die Frage, wann ein Unternehmen noch als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO handelt und wann er weisungsgebundener Dienstleister ist.

Rz. 50

Nach der DSGVO wird ein Unternehmen als Verantwortlicher für eine Datenverarbeitung angesehen, wenn es über die Zwecke und Mittel der Datenverarbeitung entscheiden kann.^[21] Im Gegensatz dazu entscheidet der Auftragsverarbeiter gerade nicht über die Zwecke und Mittel der Datenverarbeitung, sondern führt die Weisungen aus, die der Verantwortliche hinsichtlich der Verarbeitung von personenbezogenen Daten getroffen hat. Der Dienstleister setzt die Datenverarbeitung so um, wie es der Verantwortliche vorgibt. Wesentliches Kennzeichen der Auftragsverarbeitung ist somit die fehlende Befugnis des Dienstleisters, über die Zwecke und Mittel der Datenverarbeitung zu bestimmen.^[22] Typische Anwendungsfälle der Auftragsverarbeitung sind etwa das Hosting von personenbezogenen Daten, die Nutzung von Lettershops zum Versand von postalischer Werbung oder die Beauftragung von E-Mail-Service-Providern, die entsprechende Datenverarbeitungskapazitäten zur Verfügung stellen.^[23]

Rz. 51

Der Anwendungsbereich der Auftragsverarbeitung wird verlassen, sobald der Dienstleister vereinbarungsgemäß über die Zwecke und Mittel der Datenverarbeitung mitentscheiden kann. Kann der Dienstleister Einfluss auf die Datenverarbeitung nehmen, ist zu prüfen, ob eine einfache Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen oder ein Fall der Gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO vorliegt.

Rz. 52

Allein die Tatsache, dass der Dienstleister vorkonfigurierte Anwendungen zur Nutzung bereitstellt, führt nicht dazu, dass er zum Verantwortlichen wird. Hier ist derjenige der Verantwortliche, der die Entscheidung darüber trifft, dass diese Applikationen zur Verarbeitung von personenbezogenen Daten eingesetzt werden sollen.^[24]

Rz. 53

In einigen Fällen steht die Erbringung einer vertraglich vereinbarten Leistung im Vordergrund und die Weitergabe der personenbezogenen Daten zur Umsetzung dieser Leistung stellt nur einen untergeordneten Aspekt dar. In diesem Fall liegt keine Auftragsverarbeitung vor.^[25] Klassisches Beispiel ist etwa die Weitergabe der Anschrift eines Mieters durch den Vermieter an einen Handwerker, um Reparaturmaßnahmen durchzuführen. In diesem Fall soll der Handwerker nicht die Daten des Mieters für den Vermieter verarbeiten, sondern die Reparatur durchführen. Die Nutzung der Adresse des Mieters für die Anfahrt ist nur ungewolltes Beiwerk der zu erbringenden Leistung.^[26]

Rz. 54

Sobald ein Dienstleister nach der vertraglichen Regelung oder der zwischen den Parteien praktizierten Leistungserbringung mitentscheiden oder Einfluss darauf nehmen kann, zu welchen Zwecken die Datenverarbeitung erfolgt, ist er als Gemeinsamer Verantwortlicher i.S.v. Art. 26 DSGVO anzusehen. Dies ist regelmäßig der Fall, wenn der Dienstleister die im Rahmen der Auftragsverarbeitung verwendeten Daten für die Erstellung von Statistiken oder sonstigen anonymen Reports für seine eigenen Zwecke verwenden darf. In diesem Fall nimmt der Dienstleister Einfluss darauf, zu welchem Zweck die von ihm für den Auftraggeber verarbeiteten personenbezogenen Daten genutzt werden. Der Dienstleister nutzt diese personenbezogenen Daten nicht mehr ausschließlich für Zwecke des Auftraggebers, sondern auch für seine eigenen Zwecke. Dies ist auch der Fall, wenn der Dienstleister die für den Auftraggeber gespeicherten Daten "nur" zur Fortentwicklung seiner Services oder bereitgestellten IT-Anwendungen nutzt. Die Abgrenzung kann im Einzelfall recht schwierig sein. Aufsichtsbehörden für den Datenschutz bieten hier FAQ an, die bei der Abgrenzung hilfreich sein können.^[27]

Rz. 55

Umstritten ist nach wie vor die Frage, wann eine Fernwartung als Anwendungsfall der Auftragsverarbeitung anzusehen ist.^[28] Nach Ansicht einiger Aufsichtsbehörden aus Deutschland soll ein Vertrag zur Auftragsverarbeitung erforderlich sein, sobald nicht ausgeschlossen ist, dass der Dienstleister theoretisch im Rahmen seiner Tätigkeit Zugriff auf personenbezogene Daten erhalten kann.^[29] Das erscheint systemwidrig, denn Gegenstand einer solchen Auftragsverarbeitung wäre die Weisung, personenbezogene Daten nicht zu verarbeiten. Der Europäische Datenschutzausschuss verfolgt daher einen weniger strengen Ansatz. Sofern die Dienstleistung nicht auf die Verarbeitung personenbezogener Daten ausgerichtet ist, genügen entsprechende vertragliche Vorkehrungen, um die IT-Sicherheit zu gewährleisten.^[30] In diesem Fall ist es gerade nicht Aufgabe des Dienstleisters, personenbezogene Daten zu verarbeiten, so dass auch kein Vertrag zur Auftragsverarbeitung erforderlich ist. Anders ist dagegen der Fall zu bewerten, dass umfangreiche IT-Services bei einem Dienstleister eingekauft werden und dies mit entsprechenden Verarbeitungen...