Die Auftragsverarbeitung im B2B-Bereich

Kategorie: Datenschutz Branche: Automotive, Konsumgüter, Kosmetik Autor: Jahr:

Der Einsatz von Dienstleistern und die DSGVO

Wie entscheidet man, mit welchem Dienstleister ein Auftragsverarbeitungsvertrag abgeschlossen werden muss und mit welchem nicht? 

Schon im Vorfeld des 25. Mai 2018, an dem die EU Datenschutz-Grundverordnung (DSGVO) Geltung erlangte, waren viele Unternehmen mit der Frage konfrontiert, mit welchem ihrer externen Dienstleister sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen müssen und mit welchem nicht, um den zukünftigen Anforderungen der DSGVO zu genügen. Fast drei Monate danach wird deutlich, dass es kaum die eine Standardantwort auf diese Frage gibt. Die DSGVO selbst erwähnt keine Fallbeispiele. In den vergangenen Monaten konnten wir daher in der Beratung der Mandanten beobachten, dass viele Unternehmen Auftragsverarbeitungsverträge offensichtlich an jeglichen Kunden oder Dienstleister versenden, selbst wenn eine nähere Betrachtung ergab, dass es sich um kein Auftragsverarbeitungsverhältnis handelt. 

Wie stellt man fest, ob ein Auftragsverarbeitungsvertrag erforderlich ist?

Bei der Beantwortung der Frage, ob ein Auftragsverarbeitungsvertrag abzuschließen ist, kommt es in erster Linie darauf an, ob die Datenverarbeitung im Auftrag des Verantwortlichen erfolgt oder ob das Unternehmen alleine oder gemeinsam mit einer anderen Stelle über Mittel und Zwecke der Datenverarbeitung entscheidet. Zweck dieser Abgrenzung ist die klare Verantwortungszuweisung der von der DSGVO vorgesehenen Rollen in den Fällen, in denen mehrere Akteure hinsichtlich des Umgangs mit personenbezogenen Daten zusammenwirken. 

Der funktional geprägte Abgrenzungsansatz der DSGVO stellt auf den rechtlichen und tatsächlichen Einfluss bei der Datenverarbeitung ab. Nach Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Nach Art. 4 Nr. 7 DSGVO ist der Verantwortlicher dagegen die Stelle, die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Bereits für die Rechtslage vor Anwendbarkeit der DSGVO wurde von der Artikel-29-Gruppe (der Versammlung der europäischen Datenschutzaufsichtsbehörden) die Position vertreten, dass die Entscheidung über die Verarbeitungszwecke bei dieser Abgrenzungsfrage das maßgebliche Kriterium ist, während die Entscheidung über die technisch-organisatorischen Fragen der Verarbeitung (z. B. die eingesetzte IT oder Software) auch auf den Auftragsverarbeiter delegiert werden kann; dies kann dem Grunde nach auch auf die heutigen Bestimmungen der DSGVO übertragen werden. 

Bei dem Einsatz externer Dienstleister ist also zum einen der Blick darauf zu werfen, wer über Mittel und Zwecke entscheidet. Zum anderen kann ein Unternehmen dann als ein Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO qualifiziert werden, wenn es im Schwerpunkt tatsächlich mit der Verarbeitung personenbezogener Daten von dem Verantwortlichen beauftragt worden ist. Wichtig ist, dass tatsächlich die Datenverarbeitung im Vordergrund der Beauftragung steht. Die Kerntätigkeit des Dienstleisters muss sich auf den Umgang mit personenbezogenen Daten beziehen. Geht es dagegen um fachliche Dienstleistungen anderer Art, bei denen die Verarbeitung personenbezogener Daten nicht im Vordergrund steht, sondern der Dienstleistung lediglich immanent ist, liegt keine Auftragsverarbeitung im Sinne des Art. 4 Nr. 8 DSGVO vor und es muss kein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen werden. 

Bereits im Kurzpapier Nr. 13 „Auftragsverarbeitung, Art. 28 DSGVO“ der deutschen Datenschutzkonferenz (DSK) vom 16. Januar 2018 heißt es, dass keine Auftragsverarbeitung vorliegt, wenn ein Unternehmen lediglich eine fremde Fachleistung bei einem eigenständig Verantwortlichen in Anspruch nimmt. Dort sind als Beispiele die Einbeziehung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer), eines Inkassobüros mit Forderungsübertragung, eines Bankinstituts für den Geldtransfer sowie eines Postdienstes für den Brieftransport genannt. 

Nun hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zu diesen wichtigen Abgrenzungsfragen detaillierte und praxisrelevante FAQ („Was ist Auftragsverarbeitung und was nicht?“) veröffentlicht. Dort wird unter anderem beschrieben, dass die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund stehe bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmache, keine Auftragsverarbeitung im datenschutzrechtlichen Sinne darstellt. 

Zusätzlich zu den von der DSK (Kurzpapier Nr. 13) genannten Beispielen nennt das BayLDA weitere Tätigkeiten, die nach Ansicht der Aufsichtsbehörde nicht als Auftragsverarbeitung einzuordnen sind. So sollen z.B. nachfolgende Tätigkeiten keine Auftragsverarbeitung darstellen: 

  • Detektiv bei der Observierungs-/Überwachungs-/Ausforschungstätigkeit
  • Hersteller und Großhändler, die von Einzelhändlern für mit Endkunden vereinbarte Direktlieferungen die Endkundenadressen erhalten (beauftragte Warenzusendung)
  • Blumen- oder Weinversender, die eine Liste mit Adressdaten zur Versendung der Blumen- bzw. Weingeschenke an dritte Personen erhalten (beauftragte Warenzusendung)
  • Insolvenzverwalter
  • Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern 

Welche Rechtsfolgen hat ein Auftragsverarbeitungsvertrag, wenn zwischen zwei Unternehmen kein Auftragsverarbeitungsverhältnis vorliegt?

Zwar bedarf es für die Vereinbarung einer Auftragsverarbeitung einer rechtlichen Grundlage – eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedsstaaten –, jedoch hat diese nach Art. 28 DSGVO erforderliche Voraussetzung keine konstitutive Wirkung. Dies bedeutet, dass ein Verantwortlicher nicht zu einem Auftragsverarbeiter wird, bloß weil er mit einem anderen Verantwortlichen einen Auftragsverarbeitungsvertrag im Sinne des Art. 28 DSGVO abschließt. Nach dem funktionellen Ansatz der DSGVO müssen zunächst die tatsächlichen Verhältnisse überprüft werden, ob eine Auftragsverarbeitung vorliegt und darauf basierend kann festgestellt werden, ob eine rechtliche Bindung durch einen Vertrag herbeizuführen ist. Liegt eine Auftragsverarbeitung vor, stellt eine fehlende oder unvollständige Vereinbarung eine Verletzung der Vorgaben der DSGVO dar. 

[September 2018]