Die französische Aufsichtsbehörde, CNIL, hat am 12. Januar 2022 Leitlinien für die Weiterverwendung von im Auftrag bearbeiteten Personendaten durch Auftragsbearbeiter veröffentlicht (“Sous-traitants : la réutilisation de données confiées par un responsable de traitement”).
Die CNIL geht vom Grundsatz aus, dass Auftragsbearbeiter Personendaten nur auf dokumentierte Weisung des Verantwortlichen bearbeiten dürfen, nicht aber für eigene Zwecke und aus eigener Initiative (unter Vorbehalt rechtlicher Pflichten, die eine abweichende Bearbeitung verlangen). Andernfalls wird der Auftragsbearbeiter zum Verantwortlichen und hat entsprechende Haftungs- und Sanktionsrisiken.
Auftragsbearbeiter haben aber häufig das nachvollziehbare Bedürfnis, Auftragsdaten auch für eigene Zwecke zu verwenden, besonders im Bereich von IT-Dienstleistungen, die auf einer Form von Machine Learning beruhen. Der Verantwortliche darf eine solche Verwendung unter bestimmten Voraussetzungen zulassen, und zugleich ist der Auftragsbearbeiter auf diese Zustimmung angewiesen.
Hier setzt die CNIL an – der Verantwortliche müsse wie folgt vorgehen:
- Kompatibilitätstest: Soweit die Weiterverwendung durch den Auftragsbearbeiter einem anderen Zweck dient als dem Zweck, der die ursprüngliche Erhebung (Beschaffung) rechtfertigte, muss der Verantwortliche prüfen, ob dieser neue Zweck mit dem Ursprungszweck vereinbar ist (sofern der Betroffene in die Bearbeitung für den neuen Zweck nicht eingewilligt hat oder die Weiterbearbeitung ausnahmsweise rechtlich vorgegeben ist). Die CNIL erläutert die Kriterien dieses Kompatibilitätstests und gibt dazu folgendes Beispiel (Übersetzung durch DeepL):
Ein Auftragsverarbeiter möchte Daten weiterverwenden, um seine Cloud-Computing-Dienste zu verbessern. Diese Weiterverwendung könnte als mit der ursprünglichen Verarbeitung vereinbar angesehen werden, vorbehaltlich geeigneter Garantien wie der Anonymisierung der Daten, wenn diese identifizierenden Daten nicht erforderlich sind. Dagegen würde ihre Weiterverwendung für einen Zweck der kommerziellen Werbung den “Kompatibilitätstest” nur schwerlich erfüllen.</blockquote
- Keine generische Genehmigung vorab: Der Kompatibilitätstest muss jeweils konkret für eine bestimmte Bearbeitung durchgeführt werden. Eine vorherige, allgemeine Genehmigung zur Weiterverwendung sei daher nicht rechtmässig.
- Schriftlichkeit: Die Genehmigung müsse schriftlich (auch in elektronischer Form) vorliegen.
- Information: Der ursprüngliche Verantwortliche muss die betroffenen Personen informieren und insbesondere angeben, ob ein Widerspruch gegen die Weiterbearbeitung möglich ist. Möglich ist allerdings auch eine Delegation der Information an den neuen Verantwortlichen (d.h. den Auftragsbearbeiter).
- Rechtmässigkeit: Der neue Verantwortliche muss sicherstellen, dass seine Bearbeitung den Vorschriften entspricht.