EDSA: Fina­le Fas­sung der Leit­li­ni­en zu Ver­ant­wort­li­chen und Auftragsverarbeitern

Der Euro­päi­sche Daten­schutz­aus­schuss EDSA hat die fina­le Fas­sung der Leit­li­ni­en zu den Kon­zep­ten des Ver­ant­wort­li­chen und des Auf­trags­ver­ar­bei­ters ver­öf­fent­licht (“Gui­de­li­nes 07/2020 on the con­cepts of con­trol­ler and pro­ces­sor in the GDPR, Ver­si­on 2.0″, 7. Juli 2021). Ein Del­ta­view der fina­len gegen die Ent­wurfs­fas­sung ist hier verfügbar.

Die Abwei­chun­gen zum Ent­wurf sind begrenzt; in ande­ren Fäl­len hat der EDSA bei einer fina­len Fas­sung i.d.R. wei­ter­ge­hen­de Ände­run­gen vor­ge­nom­men. Eini­ge sind nur Klar­stel­lun­gen, z.B.

  • dass die daten­schutz­recht­li­chen Rol­len an den juri­sti­schen Per­so­nen und nicht ein­zel­nen Abtei­lun­gen anknüp­fen, selbst wenn die­se mit einem hohen Grad an Auto­no­mie handeln;
  • dass ein Tele­kom­mu­ni­ka­ti­ons­dienst­lei­ster kein Ver­ant­wort­li­cher ist für Inhalts­da­ten der über­mit­tel­ten K0mmunikation (das ist nur der Absender);
  • dass ein Hosting­dienst­lei­ster auch dann kein Ver­ant­wort­li­cher ist, wenn er den Ser­vice unab­hän­gig vom Kun­den aus­ge­stal­tet und die Ver­trags­be­din­gun­gen ein­sei­tig vor­gibt, weil es immer noch der Kun­de ist, der über die Ver­wen­dung des Dien­stes entscheidet;
  • dass die wesent­li­chen Mit­tel, über die nur der Ver­ant­wort­li­che ent­schei­den kann, jene Mit­tel sind, die mit dem Zweck und dem Aus­mass in einer engen Ver­bin­dung ste­hen, weil sie “clo­se­ly lin­ked” sei­en “to the que­sti­on of whe­ther the pro­ces­sing is law­ful, necessa­ry and proportionate”;
  • dass ein Markt­for­schungs­un­ter­neh­men, das Per­so­nen­da­ten auto­nom beschafft und aus­wer­tet und sei­nen Kun­den nur anony­me Sta­ti­sti­ken zur Ver­fü­gung stellt, ohne dass der Kun­de mit­be­stimmt, wel­che Per­so­nen­da­ten auf wel­che Wei­se bear­bei­tet wer­den, allei­ni­ger Ver­ant­wort­li­cher ist.

Bei der Fra­ge, wie gra­nu­lar die Bear­bei­tungs­vor­gän­ge bei der Rol­len­zu­wei­sung zu beur­tei­len sind, ver­sucht der EDSA mit einem neu­en Absatz Klar­heit zu schaf­fen, ohne dass dadurch viel gewon­nen wäre:

In prac­ti­ce, the pro­ces­sing of per­so­nal data invol­ving several actors may be divi­ded into several smal­ler pro­ces­sing ope­ra­ti­ons for which each actor could be con­si­de­red to deter­mi­ne the pur­po­se and means indi­vi­du­al­ly. On the other hand, a sequence or set of pro­ces­sing ope­ra­ti­ons invol­ving several actors may also take place for the same purpose(s), in which case it is pos­si­ble that the pro­ces­sing invol­ves one or more joint con­trol­lers. In other words, it is pos­si­ble that at “micro-level” the dif­fe­rent pro­ces­sing ope­ra­ti­ons of the chain appe­ar as dis­con­nec­ted, as each of them may have a dif­fe­rent pur­po­se. Howe­ver, it is necessa­ry to dou­ble check whe­ther at “macro-level” the­se pro­ces­sing ope­ra­ti­ons should not be con­si­de­red as a “set of ope­ra­ti­ons” pur­suing a joint pur­po­se using joint­ly defi­ned means.”

Bei der gemein­sa­men Ver­ant­wor­tung prä­zi­siert der EDSA, dass der gemein­sa­me Vor­teil (“mutu­al bene­fit”) bei­der Par­tei­en aus einer Bear­bei­tung nur ein Indiz für eine gemein­sa­me Ver­ant­wor­tung und für sich genom­men nicht mass­geb­lich sein kann. Das Kon­zept der gemein­sa­men Ver­ant­wor­tung wird vom EDSA aber nicht neu defi­niert. Unver­än­dert bleibt auch die fol­gen­de Pas­sa­ge, wonach es für eine gemein­sa­me Ver­ant­wor­tung die Mit­be­stim­mung nur über die Zwecke oder nur über die wesent­li­chen Mit­tel einer Bear­bei­tung nicht ausreicht:

The over­ar­ching cri­ter­ion for joint con­trol­lership to exist is the joint par­ti­ci­pa­ti­on of two or more enti­ties in the deter­mi­na­ti­on of the pur­po­ses and means of a pro­ces­sing. More spe­ci­fi­cal­ly, joint par­ti­ci­pa­ti­on needs to inclu­de the deter­mi­na­ti­on of pur­po­ses on the one hand and the deter­mi­na­ti­on of means on the other hand. If each of the­se ele­ments are deter­mi­ned by all enti­ties con­cer­ned, they should be con­si­de­red as joint con­trol­lers of the pro­ces­sing at issue.

Bei der Auf­trags­ver­ar­bei­tung fin­det sich eben­falls wenig Neu­es. Der EDSA emp­fiehlt aber neu, einen Auf­trags­ver­ar­bei­tungs­ver­trag als Teil einer wei­ter­ge­hen­den Ver­ein­ba­rung (Dienst­lei­stungs­ver­trag, SLA usw.) aus Doku­men­ta­ti­ons­grün­den nicht unmi­tel­bar in die­se zu inte­grie­ren, son­dern sepa­rat bspw. als eigen­stän­di­gen Anhang auszugestalten.

Inter­es­sant sind dage­gen die Ergän­zun­gen zum Audit­recht des Ver­ant­wort­li­chen, ein bei ADV beson­ders oft ver­han­del­ter Punkt:

  • Hier hält der EDSA fest, dass der Auf­trags­ver­ar­bei­ter zwar einen Audi­tor vor­schla­gen kann, dass es aber der Ver­ant­wort­li­che ist, der abschlie­ssend über die Per­son des Audi­tors ent­schei­det. Wenn ein Audit durch eine vom Pro­ces­sor vor­ge­schla­ge­ne Stel­le durch­ge­führt wird (z.B. als regel­mä­ssi­ges Selbstau­dit), müs­se der Con­trol­ler das Ergeb­nis bestrei­ten kön­nen. Im Ergeb­nis ver­langt der EDSA daher wohl, dass der Ver­ant­wort­li­che das Recht haben muss, zumin­dest als Eska­la­ti­onstu­fe einen eige­nen Audi­tor zu bestim­men bzw. ein eige­nes Audit zu veranlassen.
  • Fer­ner müs­se auch die Letzt­ent­schei­dung über die Art des Audits beim Ver­ant­wort­li­chen lie­gen (z.B. ob remo­te oder on-site). Das dürf­te der Sache nach auch einer Rege­lung ent­ge­gen­ste­hen, dass ein Audit aus­nahms­los nur z.B. ein­mal jähr­lich erfol­gen kann.
  • Aus­drück­lich geht der EDSA auch auf die Zuwei­sung der Audit­ko­sten ein. Das sei eine Fra­ge, die die DSGVO nicht reg­le und als kom­mer­zi­el­ler Punkt ver­han­delt wer­den kön­ne. Unzu­läs­sig wären nur pro­hi­bi­ti­ve Kosten, die das Audit­recht unterlaufen.