Darf der Auf­trags­ver­ar­bei­ter Daten zu eige­nen Zwe­cken verarbeiten?

Von Mar­ke­ting­ak­tio­nen über Soft­ware zur Personal- und Kun­den­ver­wal­tung, der Papier- und Akten­ver­nich­tung bis hin zum Out­sour­cing des Rechen­zen­trums zu einem Clou­dan­bie­ter – nahe­zu alle Unter­neh­men grei­fen für ihre täg­li­chen Auf­ga­ben auf exter­ne Dienst­leis­ter zurück. Daten­schutz­recht­lich han­delt es sich dabei in der Regel um Auf­trags­ver­ar­bei­ter, wes­halb die stren­gen Vor­schrif­ten des Arti­kels 28 DSGVO ein­ge­hal­ten und ein Ver­trag zur Auf­trags­ver­ar­bei­tung mit ver­pflich­ten­den Vor­ga­ben abge­schlos­sen wer­den muss. Eine der Kern­vor­schrif­ten ist hier­bei, dass die Daten durch den Auf­trags­ver­ar­bei­ter grund­sätz­lich nur auf doku­men­tier­te Wei­sung des Ver­ant­wort­li­chen ver­ar­bei­tet wer­den dür­fen und der Auf­trags­ver­ar­bei­ter die Daten nicht für eige­ne Zwe­cke ver­wen­den darf.

Die­ser Grund­satz steht jedoch in einem Span­nungs­ver­hält­nis zu den Inter­es­sen des Auf­trags­ver­ar­bei­ters, der die Daten in der Regel ger­ne für eige­ne Zwe­cke nut­zen wür­de, bei­spiels­wei­se um die von ihm ange­bo­te­nen Dienst­leis­tun­gen oder Pro­duk­te zu ver­bes­sern oder um neue Diens­te zu ent­wer­fen. Unter Ein­hal­tung bestimm­ter Vor­aus­set­zun­gen kön­nen daher Aus­nah­men von dem oben genann­ten Grund­satz gemacht wer­den. Eine kürz­lich von der fran­zö­si­schen Daten­schutz­auf­sichts­be­hör­de Com­mis­si­on Natio­na­le de l’Informatique et des Liber­tés (CNIL) ver­öf­fent­lich­te Hand­rei­chung (nur auf Fran­zö­sisch) zu die­ser Fra­ge neh­men wir zum Anlass, einen Blick auf die dabei ein­zu­hal­ten­den Vor­aus­set­zun­gen und Bedin­gun­gen für die Wei­ter­ver­ar­bei­tung zu werfen.

1. Schrift­li­che Erlaub­nis des Verantwortlichen

Grund­vor­aus­set­zung für die Wei­ter­ver­ar­bei­tung, also die Wei­ter­ver­wen­dung der Daten durch einen Auf­trags­ver­ar­bei­tung zu eige­nen Zwe­cken, ist die Erlaub­nis durch den Ver­ant­wort­li­chen. Die­ser muss genau prü­fen, ob die Wei­ter­ver­ar­bei­tung mit dem Zweck ver­ein­bar ist, für den die Daten ursprüng­lich erho­ben wurden.

Nach Auf­fas­sung der CNIL müs­sen dabei die fol­gen­den Aspek­te berück­sich­tigt werden:

  • Es muss geprüft wer­den, ob eine Über­ein­stim­mung zwi­schen den Zwe­cken, für die die per­so­nen­be­zo­ge­nen Daten erho­ben wur­den und den Zwe­cken der geplan­ten Wei­ter­ver­ar­bei­tung besteht.
  • Berück­sich­tigt wer­den muss auch der Kon­text, in dem die per­so­nen­be­zo­ge­nen Daten erho­ben wur­den, ins­be­son­de­re mit Blick auf die Bezie­hung zwi­schen den betrof­fe­nen Per­so­nen und dem für die Ver­ar­bei­tung Verantwortlichen.
  • Von Bedeu­tung ist auch die Art der per­so­nen­be­zo­ge­nen Daten, beson­ders, wenn es sich um sen­si­ble Daten (z. B. Gesund­heits­da­ten) oder per­so­nen­be­zo­ge­ne Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten handelt.
  • Abge­wo­gen wer­den müs­sen auch die Fol­gen der geplan­ten Wei­ter­ver­ar­bei­tung für die betrof­fe­nen Personen.
  • Schließ­lich ist auch zu prü­fen, ob geeig­ne­te Garan­tien (z. B. Ver­schlüs­se­lung oder Pseud­ony­mi­sie­rung) gege­ben sind.

Als Bei­spiel nennt die CNIL einen Auf­trags­ver­ar­bei­ter, der Daten zum Zwe­cke der Ver­bes­se­rung sei­ner Cloud-Computing-Dienstleistungen wei­ter­ver­wen­den möch­te. Sofern geeig­ne­te Garan­tien, wie bes­ten­falls eine Anony­mi­sie­rung der Daten, erfolgt, kön­ne die Wei­ter­ver­wen­dung als mit der ursprüng­li­chen Ver­ar­bei­tung ver­ein­bar ange­se­hen wer­den. Die Ver­wen­dung der Daten durch den Auf­trags­ver­ar­bei­ter zum Zwe­cke kom­mer­zi­el­ler Wer­bung sei hin­ge­gen in der Regel nicht mit den ursprüng­li­chen Zwe­cken ver­ein­bar. In die­sem Fall darf der Ver­ant­wort­li­che die Zustim­mung zur Wei­ter­ver­wen­dung nicht erteilen.

In ihrer Hand­rei­chung nennt die CNIL zwei wei­te­re Vor­aus­set­zun­gen bezüg­lich der Erlaub­nis des Ver­ant­wort­li­chen: Zum einen dür­fe, da eine dies­be­züg­li­che Prü­fung für jeden Ein­zel­fall erfol­gen muss, kei­ne vor­he­ri­ge oder all­ge­mei­ne Geneh­mi­gung zur Wei­ter­ver­wen­dung von Daten erteilt wer­den. Zum ande­ren müs­se, da die DSGVO einen Ver­trag oder einen ande­ren schrift­li­chen Rechts­akt vor­schrei­be, die jewei­li­ge Geneh­mi­gung schrift­lich erteilt werden.

2. Infor­ma­ti­on der Betroffenen

Grund­sätz­lich hat der bis­he­ri­ge Ver­ant­wort­li­che die betrof­fe­nen Per­so­nen über die Wei­ter­ga­be der Daten an einen neu­en für die Ver­ar­bei­tung Ver­ant­wort­li­chen zu infor­mie­ren. Die Infor­ma­ti­on muss ins­be­son­de­re auch Anga­ben dazu ent­hal­ten, ob es den Betrof­fe­nen mög­lich ist, sich der Wei­ter­ga­be zu wider­set­zen. Sofern der Auf­trags­ver­ar­bei­ter bereits über die Kon­takt­da­ten der betrof­fe­nen Per­so­nen ver­fügt, kann der Ver­ant­wort­li­che aller­dings auch den Auf­trags­ver­ar­bei­ter mit die­ser Auf­ga­be betrauen.

3. Ein­hal­tung der gesetz­li­chen Vor­ga­ben durch den Auftragsverarbeiter

Als neu­er Ver­ant­wort­li­cher i. S. d. DSGVO obliegt es im Anschluss dem frü­he­ren Auf­trags­ver­ar­bei­ter, die Daten im Ein­klang mit den gesetz­li­chen Vor­schrif­ten zu ver­ar­bei­ten. So muss er insbesondere

  • dar­auf ach­ten, dass die Wei­ter­ver­ar­bei­tung einem klar defi­nier­ten Zweck dient und auf einer Rechts­grund­la­ge beruht, die die­sem Zweck ange­mes­sen ist,
  • die betrof­fe­nen Per­so­nen ent­spre­chend den Vor­ga­ben der DSGVO informieren,
  • über ange­mes­se­ne Auf­be­wah­rungs­fris­ten und Lösch­kon­zep­te den Grund­satz der Daten­mi­ni­mie­rung wahren,
  • die Aus­übung der ver­schie­de­nen Rech­te der betrof­fe­nen Per­so­nen ermög­li­chen und
  • geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zur Sicher­heit der Ver­ar­bei­tung treffen.

4. Abgren­zung zur eige­nen und gemein­sa­men Verantwortlichkeit

Ins­ge­samt soll­te bei der Prü­fung der Wei­ter­ver­ar­bei­tung durch den Auf­trags­ver­ar­bei­ter zudem auf eine Abgren­zung zur eige­nen Ver­ant­wort­lich­keit des Auf­trags­ver­ar­bei­ters geach­tet wer­den, denn die Gren­zen sind hier auch inner­halb eines Auf­trags­ver­hält­nis­ses flie­ßend. So ist bei­spiels­wei­se die Erhe­bung von Tele­me­trie­da­ten der Nut­zer durch die Soft­ware des Auf­trags­ver­ar­bei­ters kei­ne Auf­trags­ver­ar­bei­tung, son­dern unter­liegt der eige­nen Ver­ant­wort­lich­keit. In die­sem Zusam­men­hang ist dann mit Blick auf die aus­ufern­de Recht­spre­chung des Euro­päi­schen Gerichts­hofs zur gemein­sa­men Ver­ant­wort­lich­keit wie­der­um genau zu prü­fen, ob eine sol­che vor­lie­gend in Betracht kommt.

Fazit

Die Wei­ter­ver­ar­bei­tung von Daten durch den Auf­trags­ver­ar­bei­ter zu eige­nen Zwe­cken darf nur unter Ein­hal­tung stren­ger Vor­aus­set­zun­gen erfol­gen, ist aber kei­nes­wegs unmög­lich. Sowohl der Ver­ant­wort­li­che als auch der Auf­trags­ver­ar­bei­ter soll­ten sich jedoch im Vor­feld über die jewei­li­gen kom­ple­xen recht­li­chen Anfor­de­run­gen infor­mie­ren und – ins­be­son­de­re bei der Infor­ma­ti­on der Betrof­fe­nen – auf eine kla­re Rol­len­ver­tei­lung ach­ten. Zur Ver­mei­dung von Feh­lern bei der Wei­ter­ver­ar­bei­tung, die zu emp­find­li­chen Buß­gel­dern füh­ren kön­nen, soll­te im Zwei­fel juris­ti­sche Exper­ti­se ein­ge­holt werden.

Haus­nach­richt

Für den 23. und 24. Juni 2022 laden wir Sie ein, auf unse­rer Hybrid-Veranstaltung Digi­tal Busi­ness Con­fe­rence über aktu­el­le Ent­wick­lun­gen im Daten­schutz­recht, Updatever­pflich­tun­gen für Her­stel­ler und Ver­käu­fer von digi­ta­len Pro­duk­ten, neue regu­la­to­ri­sche Vor­ga­ben für Cyber­si­cher­heit sowie zahl­rei­che wei­te­re brand­ak­tu­el­le The­men rund um digi­ta­le Ser­vices und Pro­duk­te zu diskutieren.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.