Einführung

In der Praxis häufig anzutreffen ist das Auslagern ganzer Arbeitsprozesse, die die Verarbeitung personenbezogener Daten umfassen, an unternehmensfremde Dienstleister. Das Bundesdatenschutzgesetz (BDSG) sah bisher detaillierte Regelungen zur Auswahl und Beauftragung solcher Dienstleister vor, um eine Privilegierung des Auftragsdatenverarbeiters zu erreichen.

Änderungen

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) wird auch dieser Regelungsbereich von der unmittelbaren Wirkung der Verordnung verdrängt werden, sodass sich deutsche Unternehmen auf die im Folgenden zu umreißenden Änderungen einstellen können:

Privilegierung nach §§ 3 Abs. 8 S. 3, 11 BDSG

Bisher galt nach dem BDSG eine Privilegierung von Auftragsdatenverarbeitern im Europäischen Wirtschaftsraum. Diese rechtlich privilegierte Stellung ergibt sich aus § 3 Abs. 8 Satz 3 BDSG, wonach Personen und Stellen im Inland, in einem Mitgliedstaat oder im Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, nicht Dritte im Sinne des Gesetzes sind. Sie werden also aus Sicht des Datenschutzrechts dem Verantwortlichen zugerechnet. Konsequenz dessen ist, dass die Weitergabe von personenbezogenen Daten keine Rechtfertigungsbedürftigkeit auslöst, da sie keine Übermittlung iSd § 3 Abs. 3 BDSG darstellt, sondern vielmehr nur eine Weitergabe von Daten innerhalb derselben Organisation des Verantwortlichen. Die Weitergabe an Auftragsdatenverarbeiter in Drittländer ist jedoch von der Privilegierung ausgenommen und wäre wiederum rechtfertigungsbedürftig. 

Wie geht es weiter mit der Privilegierung?

Inwieweit die DS-GVO mit ihrem Inkrafttreten am 18. Mai 2018 Änderungen für diesen Privilegierungstatbestand mit sich bringt ist in Fachkreisen noch sehr umstritten. Einerseits wird vertreten, dass die Privilegierung weiterhin erhalten bleibt, sogar in ihrem örtlichen Anwendungsbereich noch ausgeweitet wird, sodass die Privilegierung nicht nur im Europäischen Wirtschaftsraum gilt, sondern auch in Drittländern. Andererseits werden die Normen der DS-GVO dahingehend ausgelegt, dass die Privilegierung völlig entfällt und nur der örtliche Anwendungsbereich ausgedehnt wird. Danach sind alle Datenverarbeitungen von der DS-GVO betroffen, solange entweder der Verantwortliche oder der Auftragsverarbeiter seinen Sitz in der EU hat; ob die Datenverarbeitung dann auch in der EU stattfindet oder nicht, sei unerheblich. 

Privilegierungstheorie

Die sog. Privilegierungstheorie, sieht keine Rechtfertigungsbedürftigkeit, soweit die Voraussetzungen des Art. 28 DS-GVO erfüllt sind. Die Vertreter dieser Ansicht ziehen Art. 28 Abs. 3 DS-GVO auch gleichsam als Wortlautargument für ihre Ansicht heran: Art. 28 Abs. 3 DS-GVO sieht nämlich vor, dass „die Verarbeitung durch einen Auftragsverarbeiter … auf der Grundlage eines Vertrags oder eines anderen Regelungsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten…“ erfolgen kann. Daher läge es nahe, die nach Art. 28 DS-GVO geschlossene Vereinbarung als Rechtfertigungsgrundlage anzusehen. 

Darüber hinaus ergäbe sich bei systematischer Auslegung, dass der Verarbeitungsbegriff in Art. 4 Nr. 2 DS-GVO ein einheitlicher Verarbeitungsbegriff sei, der nicht zwischen unterschiedlichen Verarbeitungsstufen unterscheide. Daher sei auch die Übermittlung an einen Auftragsverarbeiter von der Rechtfertigung gedeckt, die für die Datenverarbeitung des Verantwortlichen gilt.

Um die Begrifflichkeiten und Systematik der DS-GVO zutreffend zu verstehen, sollte die DS-GVO historisch nicht als Nachfolge des BDSG, sondern vielmehr als Nachfolge der Datenschutzrichtlinie 95/46/EG (DSRL) eingeordnet werden. Dann ist es auch nachvollziehbar, dass die DSRL die Privilegierung der Auftragsdatenverarbeitung implizit enthält und die DS-GVO diese in expliziterer Form weiterführen will. Denn beide enthalten in ihren Art. 16 DSRL und Art. 29 DS-GVO Regelungen, die ein solches Privileg voraussetzen, da diese Regelungen die weisungsgerechte Verarbeitung erlauben. Und wenn die Verarbeitung erlaubt sein soll, müsse denklogisch auch die Vorstufe der Datenüberlassung an den ordnungsgemäß verpflichteten Auftragsverarbeiter erlaubt sein.

Ein weiteres Argument für diese Betrachtungsweise stützt sich auf den Schutzzweck der Norm: Würde der Rechtfertigungstheorie gefolgt werden, hätte dies zur Folge, dass dem in der Praxis häufig anzutreffenden Outsourcing von Datenverarbeitungen ein Riegel vorgeschoben würden, so dass diese Verarbeitung bei dem Verantwortlichen verbleibt, dessen Kompetenzen aber nicht auf die Verarbeitung personenbezogener Daten ausgerichtet sind. Daher ist dieser viel weniger im Stande die personenbezogenen Daten zu schützen als ein Dienstleister, der sich darauf spezialisiert hat und ein höheres Datenschutzniveau gewährleisten könnte. 

Hinzu käme dieser Ansicht nach auch noch eine Ausweitung des Anwendungsbereichs des Privilegs über die Grenzen des Europäischen Wirtschaftsraumes hinaus, sodass die DS-GVO eine deutliche Erleichterung für Unternehmen mit sich bringen würde, die ihre Datenverarbeitungsprozesse an andere Dienstleister auslagern. 

Theorie der Rechtfertigungsbedürftigkeit 

Die Theorie der Rechtfertigungsbedürftig stellt sich dem entgegen und macht ihre Argumentation hauptsächlich am Verarbeitungsbegriff des Art. 4 Nr. 2 DS-GVO fest. Die darin enthaltene Definition macht nämlich keinen Unterschied zwischen Erheben, Verarbeiten oder Nutzen von Daten, sodass es unerheblich sei, ob es sich um eine „Weitergabe“ oder „Übermittlung“ iSd § 3 Abs. 4 Nr. 3 BDSG handele. Man könne zwar noch unterscheiden, dass nach Art. 4 Nr. 2 DS-GVO die Übermittlung ein Unterfall der Offenlegung und die Offenlegung ein Unterfall der Verarbeitung darstellt. Zu einer anderen rechtlichen Konsequenz führe dies jedoch nicht, da jeder Übermittlungsvorgang einer gesetzlichen Erlaubnis, entweder in Form einer Einwilligung oder der Erfüllung der Voraussetzungen des Art. 6 Abs. 1, 9 Abs. 2 DS-GVO bedürfe. In der Praxis würde dies bedeuten, dass überprüft werden müsste, ob jede Übermittlung an einen externen Dienstleister auf einen Rechtfertigungsgrund des Art. 6 Abs.1 DS-GVO gestützt werden könnte.

Insoweit bleibt es spannend, ob auch unter Geltung der DS-GVO eine Privilegierung der Auftragsdatenverarbeiter stattfinden wird. 

Vertragliche Ausgestaltung

Wie bisher auch, darf die Auftragsverarbeitung nur auf Grundlage eines Vertrages erfolgen, der im Unterschied zur Regelung des § 11 Abs. 2 BDSG nicht schriftlich erfolgen, aber den Anforderungen des Art. 28 Abs. 3 DS-GVO entsprechen muss:

1. Die personenbezogenen Daten dürfen nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden 
2. Der Datenverarbeiter muss gewährleisten, dass verarbeitende Personen zur Vertraulichkeit verpflichtet sind und einer Verschwiegenheitspflicht unterliegen 
3. Es müssen alle nach Art. 32 erforderlichen Maßnahmen ergriffen werden 
4. Die personenbezogenen Daten müssen nach Abschluss der Dienstleistung entweder gelöscht oder zurückgegeben werden 
5. Dem Verantwortlichen müssen alle erforderlichen Informationen zum Nachweis der Einhaltung der genannten Pflichten zur Verfügung gestellt werden.

Darüber hinaus muss der Verantwortliche seine vorherige Zustimmung gem. Art. 28 Abs. 2 DS-GVO erteilen, falls der Auftragsverarbeiter einen Sub-Unternehmer mit der Verarbeitung beauftragen will. Versteht man die Pflicht des Art. 28 Abs. 4 DS-GVO aber wörtlich, sodass für jeden weiteren Auftragsverarbeiter die gleichen Datenschutzpflichten gelten und demnach der gleiche Vertrag wie zwischen dem Verantwortlichen und dem Auftragsverarbeiter gelten muss, würde in der Praxis die Beauftragung von Unterauftragnehmern sehr wahrscheinlich vereitelt werden. 

Haftungsänderungen in der DS-GVO

Weitere Änderungen sind in den Neuregelungen zur Haftung von Auftragsverarbeitern zu finden: Während zuvor nach § 11 Abs. 1 Satz 1 BDSG nur der Verantwortliche gehaftet hat, ergibt sich aus Art. 82 Abs. 1 DS-GVO nun eine gemeinsame Haftung des Verantwortlichen mit dem Auftragsverarbeiter zusammen.