§ 8 Auftragsverarbeitung / III. Wesen der Auftragsverarbeitung – Privilegierungsfunktion

Rz. 31

Gelangt man im Rahmen der Prüfung eines Auftragsverhältnisses zu dem Ergebnis, dass eine Auftragsverarbeitung vorliegt, stellt sich die Frage, welche Folgen sich für die "Übermittlung" personenbezogener Daten an den Auftragnehmer ergeben. Bislang ging die absolut h.M. davon aus, dass die Auftragsverarbeitung eine datenschutzrechtliche Privilegierung darstellte und der Auftragsverarbeiter, der – unter Beachtung der an die Auftragsverarbeitung vertraglichen Anforderungen – für einen Verantwortlichen tätig wurde, nicht als "Dritter" im Sinne des Art. 4 Nr. 10 DSGVO bzw. seiner Vorgängernorm in Art. 2 lit. f) DSRL anzusehen war und die von ihm vollzogene Verarbeitung über eine gesetzliche Fiktion als solche innerhalb des Verantwortlichen einzustufen war. Für die Übermittlung der betroffenen Daten vom Verantwortlichen an den Auftragnehmer bedurfte es keiner gesonderten Rechtsgrundlage. Für die Bundesrepublik ist dies bislang explizit in § 3 Abs. 8 BDSG geregelt. Danach sind Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, nicht als Dritte anzusehen.

Rz. 32

Teilweise^[31] wird angenommen, diese Privilegierung sei in der DSGVO entfallen. Da die Verarbeitung nach der Legaldefinition in Art. 4 Nr. 2 DSGVO generell die "Übermittlung" personenbezogener Daten umfasse und eine dem § 3 Abs. 8 BDSG vergleichbare Befreiung des Übermittlungsvorganges an den Auftragsverarbeiter in der DSGVO selbst nicht normiert sei, bedürfe zukünftig auch die Übermittlung personenbezogener Daten an einen Auftragsverarbeiter generell einer gesonderten Rechtsgrundlage nach Art. 6 DSGVO. Der Auftragsverarbeiter sei nicht mehr als "Teil des Verantwortlichen", sondern als von diesem "unabhängige" Person zu qualifizieren, weswegen auch die Auftragsverarbeitung dem Verbot mit Erlaubnisvorbehalt nach Art. 5 Abs. 1 lit a) DSGVO unterfalle und daher nur zulässig sei, wenn entweder eine Einwilligung der betroffenen Person oder ein gesetzlicher Rechtfertigungsgrund vorhanden sei.^[32] Dieser könne regelmäßig in Art. 6 Abs. 1 S. 1 lit f.) DSGVO gesehen werden.

Rz. 33

Die sich abzeichnende herrschende Meinung^[33] geht weiterhin vom Vorliegen einer Privilegierung der Auftragsverabreitung und davon aus, dass der Auftragsverarbeiter nicht als "Dritter" zu qualifizieren und die "Übermittlung" an ihn nicht als rechtfertigungsbedürftige Verarbeitung einzustufen ist. Art. 28 DSGVO legitimiere die Datenüberlassung an den ordnungsgemäß verpflichteten Auftragsverarbeiter als für die Auftragsverabreitung notwendige Vorstufe.^[34]

Rz. 34

Der h.M. ist zuzustimmen. Die andere Auffassung verkennt bereits, dass das in Art. 4 Nr. 2 DSGVO normierte Regelbeispiel der Offenlegung durch "Übermittlung", "Verbreitung" oder "eine andere Form der Bereitstellung", allein die Bekanntgabe von gespeicherten oder durch Datenverarbeitung gewonnen personenbezogenen Daten an einen "Dritten"^[35] meint. Eine "Übermittlung" innerhalb der Organisation eines Verantwortlichen ist keine gesondert zu rechtfertigende Verarbeitung, sondern Teil eines einheitlich zu betrachtenden Verarbeitungsvorgangs. Hierfür spricht neben Art. 29 DSGVO auch, dass der europäische Gesetzgeber grundsätzlich an dem aus der Datenschutzrichtlinie bekannten Prinzip der Auftragsverarbeitung festhalten wollte, die ihrerseits ebenso nach h.M. keine gesonderte Erlaubnisnorm für die Übergabe personenbezogener Daten an den ordnungsgemäß verpflichteten Auftragsverarbeiter forderte.^[36] Hätte der europäische Gesetzgeber mit der Neufassung in Art. 28 DSGVO eine Änderung beabsichtigt, wäre eine entsprechende Klarstellung zur Erforderlichkeit einer gesonderten Rechtsgrundlage zu erwarten gewesen. Eine solche erfolgte nicht; stattdessen sind die maßgeblichen Definitionen des Auftragsverarbeiters, des Dritten und des Verantwortlichen wortgleich aus der Datenschutzrichtlinie in die DSGVO übernommen worden. Die Datenverarbeitung durch einen ordnungsgemäß verpflichteten Auftragsverarbeiter bedarf daher keiner gesonderten Rechtsgrundlage.

[31] Härting, ITRB 2016, 137, 138; ders., wenn auch differenzierter, Datenschutz-Grundverordnung, 2016, Rn 583; Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 165 Rn 10; Roßnagel/Kroschwald, ZD 2014, 495, 497;

[32] Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 165 Rn 10.

[33] Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2017, S. 97, Rn 22; Hartung, in: Kühling/Buchner (Hrsg.), DS-GVO, 2017, Art. 28 Rn 15–19; Plath, in: Plath (Hrsg.), BDSG/DSGVO, 2. Aufl. 2017, Art. 28 DSGVO Rn 3; Martini, in: Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung, 2017, Art. 28 Rn 9; Schmidt/Freund, ZD 2017, 14, 16; Monreal, ZD 2014, 611, 613; Bertermann, in: Ehmann/Selmayr (Hrsg.), Datenschutz-Grundverordnung, 2017. Art. 28 Rn 5; Schmitz/von Dall’Armi, ZD 201...