Darf der Auftragsverarbeiter Daten zu eigenen Zwecken verarbeiten?

Stefan Hessel

Von Marketingaktionen über Software zur Personal- und Kundenverwaltung, der Papier- und Aktenvernichtung bis hin zum Outsourcing des Rechenzentrums zu einem Cloudanbieter – nahezu alle Unternehmen greifen für ihre täglichen Aufgaben auf externe Dienstleister zurück. Datenschutzrechtlich handelt es sich dabei in der Regel um Auftragsverarbeiter, weshalb die strengen Vorschriften des Artikels 28 DSGVO eingehalten und ein Vertrag zur Auftragsverarbeitung mit verpflichtenden Vorgaben abgeschlossen werden muss. Eine der Kernvorschriften ist hierbei, dass die Daten durch den Auftragsverarbeiter grundsätzlich nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden dürfen und der Auftragsverarbeiter die Daten nicht für eigene Zwecke verwenden darf.

Dieser Grundsatz steht jedoch in einem Spannungsverhältnis zu den Interessen des Auftragsverarbeiters, der die Daten in der Regel gerne für eigene Zwecke nutzen würde, beispielsweise um die von ihm angebotenen Dienstleistungen oder Produkte zu verbessern oder um neue Dienste zu entwerfen. Unter Einhaltung bestimmter Voraussetzungen können daher Ausnahmen von dem oben genannten Grundsatz gemacht werden. Eine kürzlich von der französischen Datenschutzaufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) veröffentlichte Handreichung (nur auf Französisch) zu dieser Frage nehmen wir zum Anlass, einen Blick auf die dabei einzuhaltenden Voraussetzungen und Bedingungen für die Weiterverarbeitung zu werfen.

1. Schriftliche Erlaubnis des Verantwortlichen

Grundvoraussetzung für die Weiterverarbeitung, also die Weiterverwendung der Daten durch einen Auftragsverarbeitung zu eigenen Zwecken, ist die Erlaubnis durch den Verantwortlichen. Dieser muss genau prüfen, ob die Weiterverarbeitung mit dem Zweck vereinbar ist, für den die Daten ursprünglich erhoben wurden.

Nach Auffassung der CNIL müssen dabei die folgenden Aspekte berücksichtigt werden:

  • Es muss geprüft werden, ob eine Übereinstimmung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden und den Zwecken der geplanten Weiterverarbeitung besteht.
  • Berücksichtigt werden muss auch der Kontext, in dem die personenbezogenen Daten erhoben wurden, insbesondere mit Blick auf die Beziehung zwischen den betroffenen Personen und dem für die Verarbeitung Verantwortlichen.
  • Von Bedeutung ist auch die Art der personenbezogenen Daten, besonders, wenn es sich um sensible Daten (z. B. Gesundheitsdaten) oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten handelt.
  • Abgewogen werden müssen auch die Folgen der geplanten Weiterverarbeitung für die betroffenen Personen.
  • Schließlich ist auch zu prüfen, ob geeignete Garantien (z. B. Verschlüsselung oder Pseudonymisierung) gegeben sind.

Als Beispiel nennt die CNIL einen Auftragsverarbeiter, der Daten zum Zwecke der Verbesserung seiner Cloud-Computing-Dienstleistungen weiterverwenden möchte. Sofern geeignete Garantien, wie bestenfalls eine Anonymisierung der Daten, erfolgt, könne die Weiterverwendung als mit der ursprünglichen Verarbeitung vereinbar angesehen werden. Die Verwendung der Daten durch den Auftragsverarbeiter zum Zwecke kommerzieller Werbung sei hingegen in der Regel nicht mit den ursprünglichen Zwecken vereinbar. In diesem Fall darf der Verantwortliche die Zustimmung zur Weiterverwendung nicht erteilen.

In ihrer Handreichung nennt die CNIL zwei weitere Voraussetzungen bezüglich der Erlaubnis des Verantwortlichen: Zum einen dürfe, da eine diesbezügliche Prüfung für jeden Einzelfall erfolgen muss, keine vorherige oder allgemeine Genehmigung zur Weiterverwendung von Daten erteilt werden. Zum anderen müsse, da die DSGVO einen Vertrag oder einen anderen schriftlichen Rechtsakt vorschreibe, die jeweilige Genehmigung schriftlich erteilt werden.

2. Information der Betroffenen

Grundsätzlich hat der bisherige Verantwortliche die betroffenen Personen über die Weitergabe der Daten an einen neuen für die Verarbeitung Verantwortlichen zu informieren. Die Information muss insbesondere auch Angaben dazu enthalten, ob es den Betroffenen möglich ist, sich der Weitergabe zu widersetzen. Sofern der Auftragsverarbeiter bereits über die Kontaktdaten der betroffenen Personen verfügt, kann der Verantwortliche allerdings auch den Auftragsverarbeiter mit dieser Aufgabe betrauen.

3. Einhaltung der gesetzlichen Vorgaben durch den Auftragsverarbeiter

Als neuer Verantwortlicher i. S. d. DSGVO obliegt es im Anschluss dem früheren Auftragsverarbeiter, die Daten im Einklang mit den gesetzlichen Vorschriften zu verarbeiten. So muss er insbesondere

  • darauf achten, dass die Weiterverarbeitung einem klar definierten Zweck dient und auf einer Rechtsgrundlage beruht, die diesem Zweck angemessen ist,
  • die betroffenen Personen entsprechend den Vorgaben der DSGVO informieren,
  • über angemessene Aufbewahrungsfristen und Löschkonzepte den Grundsatz der Datenminimierung wahren,
  • die Ausübung der verschiedenen Rechte der betroffenen Personen ermöglichen und
  • geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung treffen.

4. Abgrenzung zur eigenen und gemeinsamen Verantwortlichkeit

Insgesamt sollte bei der Prüfung der Weiterverarbeitung durch den Auftragsverarbeiter zudem auf eine Abgrenzung zur eigenen Verantwortlichkeit des Auftragsverarbeiters geachtet werden, denn die Grenzen sind hier auch innerhalb eines Auftragsverhältnisses fließend. So ist beispielsweise die Erhebung von Telemetriedaten der Nutzer durch die Software des Auftragsverarbeiters keine Auftragsverarbeitung, sondern unterliegt der eigenen Verantwortlichkeit. In diesem Zusammenhang ist dann mit Blick auf die ausufernde Rechtsprechung des Europäischen Gerichtshofs zur gemeinsamen Verantwortlichkeit wiederum genau zu prüfen, ob eine solche vorliegend in Betracht kommt.

Fazit

Die Weiterverarbeitung von Daten durch den Auftragsverarbeiter zu eigenen Zwecken darf nur unter Einhaltung strenger Voraussetzungen erfolgen, ist aber keineswegs unmöglich. Sowohl der Verantwortliche als auch der Auftragsverarbeiter sollten sich jedoch im Vorfeld über die jeweiligen komplexen rechtlichen Anforderungen informieren und – insbesondere bei der Information der Betroffenen – auf eine klare Rollenverteilung achten. Zur Vermeidung von Fehlern bei der Weiterverarbeitung, die zu empfindlichen Bußgeldern führen können, sollte im Zweifel juristische Expertise eingeholt werden.

Hausnachricht

Für den 23. und 24. Juni 2022 laden wir Sie ein, auf unserer Hybrid-Veranstaltung Digital Business Conference über aktuelle Entwicklungen im Datenschutzrecht, Updateverpflichtungen für Hersteller und Verkäufer von digitalen Produkten, neue regulatorische Vorgaben für Cybersicherheit sowie zahlreiche weitere brandaktuelle Themen rund um digitale Services und Produkte zu diskutieren.

 

[Februar 2022]