CNIL: Leit­li­ni­en für die Wei­ter­ver­wen­dung von Daten durch Auftragsbearbeiter

Die fran­zö­si­sche Auf­sichts­be­hör­de, CNIL, hat am 12. Janu­ar 2022 Leit­li­ni­en für die Wei­ter­ver­wen­dung von im Auf­trag bear­bei­te­ten Per­so­nen­da­ten durch Auf­trags­be­ar­bei­ter ver­öf­fent­licht (“Sous-trai­tants : la réuti­li­sa­ti­on de don­nées con­fiées par un respons­able de traitement”).

Die CNIL geht vom Grund­satz aus, dass Auf­trags­be­ar­bei­ter Per­so­nen­da­ten nur auf doku­men­tier­te Wei­sung des Ver­ant­wort­li­chen bear­bei­ten dür­fen, nicht aber für eige­ne Zwecke und aus eige­ner Initia­ti­ve (unter Vor­be­halt recht­li­cher Pflich­ten, die eine abwei­chen­de Bear­bei­tung ver­lan­gen). Andern­falls wird der Auf­trags­be­ar­bei­ter zum Ver­ant­wort­li­chen und hat ent­spre­chen­de Haf­tungs- und Sanktionsrisiken.

Auf­trags­be­ar­bei­ter haben aber häu­fig das nach­voll­zieh­ba­re Bedürf­nis, Auf­trags­da­ten auch für eige­ne Zwecke zu ver­wen­den, beson­ders im Bereich von IT-Dienst­lei­stun­gen, die auf einer Form von Machi­ne Lear­ning beru­hen. Der Ver­ant­wort­li­che darf eine sol­che Ver­wen­dung unter bestimm­ten Vor­aus­set­zun­gen zulas­sen, und zugleich ist der Auf­trags­be­ar­bei­ter auf die­se Zustim­mung angewiesen.

Hier setzt die CNIL an – der Ver­ant­wort­li­che müs­se wie folgt vorgehen:

  • Kom­pa­ti­bi­li­täts­test: Soweit die Wei­ter­ver­wen­dung durch den Auf­trags­be­ar­bei­ter einem ande­ren Zweck dient als dem Zweck, der die ursprüng­li­che Erhe­bung (Beschaf­fung) recht­fer­tig­te, muss der Ver­ant­wort­li­che prü­fen, ob die­ser neue Zweck mit dem Ursprungs­zweck ver­ein­bar ist (sofern der Betrof­fe­ne in die Bear­bei­tung für den neu­en Zweck nicht ein­ge­wil­ligt hat oder die Wei­ter­be­ar­bei­tung aus­nahms­wei­se recht­lich vor­ge­ge­ben ist). Die CNIL erläu­tert die Kri­te­ri­en die­ses Kom­pa­ti­bi­li­täts­tests und gibt dazu fol­gen­des Bei­spiel (Über­set­zung durch DeepL):

    Ein Auf­trags­ver­ar­bei­ter möch­te Daten wei­ter­ver­wen­den, um sei­ne Cloud-Com­pu­ting-Dien­ste zu ver­bes­sern. Die­se Wei­ter­ver­wen­dung könn­te als mit der ursprüng­li­chen Ver­ar­bei­tung ver­ein­bar ange­se­hen wer­den, vor­be­halt­lich geeig­ne­ter Garan­tien wie der Anony­mi­sie­rung der Daten, wenn die­se iden­ti­fi­zie­ren­den Daten nicht erfor­der­lich sind. Dage­gen wür­de ihre Wei­ter­ver­wen­dung für einen Zweck der kom­mer­zi­el­len Wer­bung den “Kom­pa­ti­bi­li­täts­test” nur schwer­lich erfüllen.</blockquote

  • Kei­ne gene­ri­sche Geneh­mi­gung vor­ab: Der Kom­pa­ti­bi­li­täts­test muss jeweils kon­kret für eine bestimm­te Bear­bei­tung durch­ge­führt wer­den. Eine vor­he­ri­ge, all­ge­mei­ne Geneh­mi­gung zur Wei­ter­ver­wen­dung sei daher nicht rechtmässig.
  • Schrift­lich­keit: Die Geneh­mi­gung müs­se schrift­lich (auch in elek­tro­ni­scher Form) vorliegen.
  • Infor­ma­ti­on: Der ursprüng­li­che Ver­ant­wort­li­che muss die betrof­fe­nen Per­so­nen infor­mie­ren und ins­be­son­de­re ange­ben, ob ein Wider­spruch gegen die Wei­ter­be­ar­bei­tung mög­lich ist. Mög­lich ist aller­dings auch eine Dele­ga­ti­on der Infor­ma­ti­on an den neu­en Ver­ant­wort­li­chen (d.h. den Auftragsbearbeiter).
  • Recht­mä­ssig­keit: Der neue Ver­ant­wort­li­che muss sicher­stel­len, dass sei­ne Bear­bei­tung den Vor­schrif­ten entspricht.