Menü
header-image

Rechtsgebiete/Datenschutz - DS-GVO/Auftragsverarbeitung Art. 28 DS-GVO

Auftragsverarbeitung nach Artikel 28 DS-GVO

Definitionen und Beispiele für Auftragsverarbeitungen

Ausgangslage

Auftragsverarbeiter ist nach Artikel 4 Nr. 8 DS-GVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dabei bleibt der Verantwortliche alleiniger Verantwortlicher der Verarbeitung. Zwischen dem Auftrag erteilenden Verantwortlichen und seinem Auftragsverarbeiter besteht ein „Innenverhältnis“. Der Auftragsverarbeiter ist nach Artikel 29 DS-GVO gegenüber dem Verantwortlichen weisungsgebunden. Die Verarbeitung durch den Auftragsverarbeiter wird daher grundsätzlich dem Verantwortlichen zugerechnet.

Nach der gesetzlichen Definition gilt:

Auftragsverarbeiter ist nach Artikel 4 Nr. 8. DS-GVO und Artikel 29 DS-GVO derjenige, der personenbezogene Daten in funktioneller und tatsächlicher Hinsicht im Auftrag und nach Weisung des Verantwortlichen verarbeitet.

Diese Definition erscheint in der Praxis jedoch vielfach zu unscharf.

Voraussetzung für das Vorliegen eines Auftragsverarbeitungsverhältnisses ist daher nach Auffassung der DSK[1] (Datenschutz-Konferenz, Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder), ob der Verantwortliche im Verhältnis zum Beauftragten in funktionaler Hinsicht allein über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet.[2]

Beauftragter in diesem Sinne ist dabei nur derjenige, der nicht der unmittelbaren und direkten Weisungsbefugnis des Verantwortlichen untersteht, wie zum Beispiel ein Mitarbeiter oder Beschäftigter.

Allerdings oder besser andererseits sollen dabei gewisse eigenverantwortliche Entscheidungsspielräume eines Beauftragten bezüglich der Mittel der Verarbeitung, also bezüglich technisch-organisatorischer Fragen, das Vorliegen einer Auftragsverarbeitung nicht ausschließen.

Eine Auftragsverarbeitung ist somit dann nicht mehr gegeben, wenn eine Inanspruchnahme fremder Fachleistungen bei einem eigenständig tätigen Verantwortlichen vorliegt, in deren Rahmen dem Beauftragten (auch) personenbezogene Daten übermittelt werden.[3] Dies stellt vielmehr eine Verarbeitung durch einen Dritten im Sinne des Artikel 4 Nr. 10 DS-GVO dar.

In diesen Fällen ist sodann gegebenenfalls weiter zu prüfen, ob eine gemeinsame Verarbeitung (Joint-Controllership) oder eine jeweils selbständige Verantwortlichkeit (Controller-Controllership) vorliegt. Diese Fragen sollen an dieser Stelle jedoch nicht weiter vertieft werden.

Mit dem Kriterium der „Inanspruchnahme fremder Fachleistungen“ ist nach Auffassung des LDA Bayern[4] (Bayerisches Landesamt für Datenschutzaufsicht) gemeint, dass keine Auftragsverarbeitung vorliegt, wenn die Inanspruchnahme fremder Fachleistungen im Vordergrund steht und die damit einhergehende Datenverarbeitung eher nebensächlich und nicht die Kerntätigkeit der Beauftragung darstellt.

„Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.“ [5]

Zur Abgrenzung bzw. zur Beurteilung, ob eine Auftragsverarbeitung vorliegt, können damit insgesamt nachfolgende (erweiterte) Kriterien herangezogen werden, wobei die Kriterien nicht kumulativ zutreffen müssen:

  • Entscheidung über die Zwecke und wesentlichen Mittel der Verarbeitung
  • Erbringung einer fremden Fachleistung steht im Vordergrund
  • Datenverarbeitung ist nur untergeordneter Nebenzweck der Beauftragung
  • Im Kern zielt der Auftrag auf eine andere Tätigkeit als die Verarbeitung der Daten
  • Die Datenverarbeitung stellt keinen wichtigen Bestandteil der Beauftragung dar
  • Keine Datennutzung zu anderweitigen Zwecken
  • Keine Verknüpfung mit anderen Daten
  • Kein eigenständiges Auftreten des Beauftragten nach außen hin
  • Keine vertragliche Beziehung zwischen Beauftragtem und Betroffenen

Die Kriterien sind dabei wie folgt zu bewerten:

Kriterium; spricht für …

Auftragsverarbeitung

eigene Verantwortlichkeit des Beauftragten

Entscheidung über die Zwecke und wesentlichen Mittel der Verarbeitung liegt bei dem …

Auftraggeber.

Beauftragten.

Erbringung einer fremden Fachleistung steht …

nicht im Vordergrund.

im Vordergrund.

Datenverarbeitung ist …

nicht nur untergeordneter Nebenzweck der Beauftragung.

nur untergeordneter Nebenzweck der Beauftragung.

Kern der beauftragten Tätigkeit zielt auf eine …

Verarbeitung personenbezogener Daten.

andere Tätigkeit als die Verarbeitung personenbezogener Daten.

Die Datenverarbeitung stellt einen …

wichtigen Bestandteil der Beauftragung dar.

nicht wichtigen Bestandteil der Beauftragung dar.

Eine Datenverarbeitung zu auch anderen (eigenen) Zwecken des Beauftragten …

 

erfolgt nicht.

erfolgt.

Eine Verknüpfung der personenbezogenen Daten durch den Beauftragten mit Daten aus anderen Quellen …

findet nicht statt.

findet statt.

Ein eigenständiges Auftreten des Beauftragten nach Außen hin …

findet nicht statt.

findet statt.

Eine direkte vertragliche Beziehung zwischen dem Beauftragten und dem Betroffenen …

besteht nicht.

besteht.

 

Es ist im weiteren Kontext zu beachten, dass unabhängig von der Beantwortung der Frage, ob eine Auftragsverarbeitung vorliegt oder nicht, stets gesondert die Rechtmäßigkeit jeder Verarbeitung dahin gehend zu prüfen ist, ob auch eine ausreichende Rechtsgrundlage nach Artikel 6 DS-GVO oder Artikel 9 DS-GVO gegeben ist.

Konkrete Beispiele von Verarbeitungen

Konkrete Beispiele für eine Einstufung als Auftragsverarbeitung oder sonstige Verarbeitung (eigene Verarbeitung, Gemeinsame Verarbeitung).

 


[1]www.datenschutzkonferenz-online.de

[2] DSK-Kurzpapier Nr. 13, Seite 1     

[3] DSK-Kurzpapier Nr. 13, Anhang B

[4]www.lda.bayern.de/de/index.html

[5] LDA Bayern, FAQ-Liste zu DS-GVO vom 20.07.2018