§ 8 Auftragsverarbeitung / I. Stellung des Auftragsverarbeiters – Abgrenzung zum Verantwortlichen

Rz. 4

Art. 4 Nr. 8 DSGVO definiert den Auftragsverarbeiter als "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet". Diese Definition fand sich bereits in der Datenschutzrichtlinie. Für sich genommen ist sie kaum geeignet, den Auftragsverarbeiter von den anderen Beteiligten datenschutzrechtlicher Verarbeitungen abzugrenzen. Die Legaldefinition macht deutlich, dass der Auftragsverarbeiter im Auftrag eines "Verantwortlichen" handelt und damit seinerseits hinsichtlich der im Auftrag durchgeführten Verarbeitung nicht selbst Verantwortlicher ist. Hierfür spricht auch Art. 28 Abs. 10 DSGVO, der anordnet, dass nur ein Auftragsverarbeiter, der unter Verstoß gegen die Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf die betroffenen Verarbeitungen als Verantwortlicher gilt, was im Umkehrschluss bedeutet, dass dies in allen anderen Fällen nicht der Fall sein soll.

Rz. 5

Der Auftragsverarbeiter ist vom Verantwortlichen und insbesondere vom "gemeinsam Verantwortlichen" im Sinne des Art. 26 DSGVO abzugrenzen. Maßgeblich ist, dass nur der Verantwortliche über Mittel und Zwecke einer spezifischen Verarbeitung (das Wie und Warum) entscheidet,^[2] also Art und Umfang der Verarbeitung von Daten […] beeinflusst, steuert, gestaltet und/oder sonst kontrolliert. Eine Stelle, die weder einen rechtlichen noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie und warum personenbezogene Daten verarbeitet werden, kann nicht als für die Verarbeitung Verantwortlicher angesehen werden.^[3]

Rz. 6

Die Art. 29-Datenschutzgruppe^[4] definiert den "Zweck" als das "erwartete Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet". Die "Mittel" werden als die "Art und Weise, wie ein solches Ergebnis oder Ziel erreicht wird" definiert. Der Mittel-Begriff soll "nicht nur die technischen Methoden für die Verarbeitung, sondern auch das "Wie" der Verarbeitung, also auch die Beantwortung der Fragen danach, welche Daten überhaupt werden verarbeitet werden, wer Zugriff auf diese Daten haben soll oder wie lange die Verarbeitung andauern soll", umfassen.^[5]

Rz. 7

Jenseits der Fälle, in denen offensichtlich weder eine tatsächliche, noch eine rechtliche Einflussmöglichkeit auf den Entscheidungsprozess über das Ob, das Wie und das Warum einer Verarbeitung besteht, kann sich die Bestimmung der Verantwortlichkeit, je nachdem wie die "arbeitsteilige" Zusammenarbeit zwischen mehreren natürlichen oder juristischen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten im Einzelfall ausgestaltet ist, als schwierig erweisen.

Rz. 8

Einigkeit besteht nur insoweit, als dass die Entscheidung über die Zwecke der Verarbeitung stets eine Einstufung als für die Verarbeitung Verantwortlicher bedingt.^[6] Wo ein an der Verarbeitung Beteiligter eigene (vom Auftraggeber verschiedene) Zwecke bestimmt (oder zur Durchführung seines Auftrages bestimmen muss), scheidet eine Auftragsverarbeitung dementsprechend aus. Dies soll bei Rechtsanwälten in Bezug auf die für die Sachbearbeitung erforderlichen personenbezogenen Daten der Fall sein. Da der Schwerpunkt der Mandatsbearbeitung in der Verarbeitung personenbezogener Daten "im Auftrag" des Mandanten, sondern auf der anwaltlichen Vertretung desselben liege, die der Rechtsanwalt aufgrund einer eigenen Fachkompetenz und eigenverantwortlich wahrnehme, entscheidet dieser auch eigenständig über Zwecke (und Mittel) der Verarbeitung der in die Mandatsbearbeitung einbezogenen personenbezogenen Daten. Daher sind Rechtsanwälte stets als "unabhängige" Verantwortliche anzusehen, wenn sie im Rahmen der rechtlichen Vertretung ihrer Mandanten personenbezogene Daten verarbeiten.^[7] Dies dürfte im Ergebnis ebenso für Steuerberater, Ärzte (beispielsweise im Rahmen der Erstellung ärztlicher Begutachtungen für Dritte), aber auch genehmigte Rechtsdienstleister nach RDG^[8] gelten.

Rz. 9

Hinsichtlich der Entscheidung über die Mittel der Verarbeitung soll eine eigene Entscheidungsbefugnis des Beauftragten einer Auftragsverarbeitung nicht entgegenstehen, wenn sich die Entscheidungsbefugnis allein auf die eingesetzten oder einzusetzenden technischen und organisatorischen Mittel der Verarbeitung (genutzte Soft- und Hardware, Einsatzplanung des genutzten Personals, genauer Verarbeitungszeitpunkt usw.) erstreckt. In einem solchen Fall ist es nach Auffassung der Art. 29-Datenschutzgruppe erforderlich, dass der Verantwortliche vollständig über die verwendeten Mittel informiert wird und deren Einhaltung kontrollieren kann.^[9] Wo der Beauftragte über die technischen und organisatorischen Mittel der Verarbeitung hinaus, auch über die wesentlichen Mittel der Verarbeitung, wie die betroffenen Daten, die betroffenen Personen, die Speicherdauer personenbezogener Daten und/oder die Zugangsberechtigung Dritter, entscheidet, liegt keine Auftragsverarbeitung, sondern eine eigene Verantwortlichkeit des Beauftragten vor. Die Au...