Das Landesamt für Datenschutz (LfD) Niedersachsens hat ein Merkblatt mit FAQ zur Auftragsverarbeitung veröffentlicht.
Typische Auftragsverarbeitungen
Das LfD beurteilt etwa die folgenden Tätigkeiten i.d.R. als Auftragsverarbeitung:
- Entsorgung (Vernichtung, Löschung) von Datenträgern mit personenbezogenen Daten,
- Speicherung von personenbezogenen Daten in der Cloud,
- Werbeadressenverarbeitung in einem Letter-Shop,
- Verarbeitung von Kundendaten durch ein Call-Center ohne wesentliche eigene Entscheidungsspielräume, also z.B. bei der reinen Weitervermittlung der Kunden an die jeweils zuständige Stelle innerhalb des Unternehmens oder bei der Aufnahme von Kontaktdaten oder sonstigen Informationen zur Weitergabe an die zuständige Stelle;
- Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten mit personenbezogenen Daten,
- datenverarbeitungstechnische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
- elektronische Rechnungserstellung,
- rein technische Dienstleistungen z.B. zur Auswertung und Analyse von Webseiten oder zum Versenden von Newslettern;
- ein Dienstleister führt Wartungsarbeiten an technischen Geräten mit der Möglichkeit des Zugangs zu personenbezogenen Daten durch.
Das deckt sich mit dem üblichen Verständnis einer Auftragsverarbeitung. Strittig ist allerdings, ob bei Wartungsarbeiten mit Datenzugriff eine Auftragsverarbeitung vorliegt; es entspricht aber der DSK, d.h. der abgestimmten Haltung der deutschen Aufsichtsbehörden (vgl. Kurzpapier Nr. 13), und i.d.R. auch den Erwartungen der beteiligten Unternehmen (und befreit den Dienstleister von der Informationspflicht gegenüber den auf Seiten des Auftraggebers betroffenen Personen).
Keine Auftragsverarbeitung besteht dagegen etwa bei
- Reinigungsdiensten (was nicht bedeutet, dass vertraglich keine Bestimmungen zum Umgang mit Personendaten (und anderen vertraulichen Informationen) erforderlich wären),
- Speditionsdiensten, die einen Subunternehmer beschäftigen, weil hier fachliche Dienstleistungen anderer Art im Vordergrund stehen (s. den folgenden Abschnitt zur Schwerpunkttheorie);
- Druckereidienstleistungen, wobei hier zu differenzieren sei: Druckt die Druckerei vorgefertigte, adressierte Schriftstücke, liegt keine Auftragsverarbeitung vor; wird der Druckerei dagegen eine separate Adressdatei zur Verfügung gestellt und fügt die Druckerei diese erst in das Druckwerk ein, liege eine Auftragsverarbeitung vor;
- Steuerberatungsleistungen.
Schwerpunkttheorie
Das LfD weist darauf hin, dass eine Tätigkeit, die für sich genommen als Auftragsverarbeitung erscheint, dann ausnahmsweise nicht als Auftragsverarbeitung erscheint, wenn sie ein “ungewolltes Beiwerk” einer Hauptdienstleistung darstellt. Das deckt sich mit der verbreiteten und hilfreichen Ansicht, dass eine Auftragsverarbeitung dann vorliegt, wenn eine Dienstleistung im Schwergewicht – und nicht nur beiläufig – in einer Datenverarbeitung im Auftrag besteht, wie dies das BayLDA in seinen FAQ zur Auftragsverarbeitung ebenfalls festhält (weshalb bspw. Anwälte typischerweise keine Auftragsverarbeiter sind). Es bedeutet auch, dass Dienstleistungen datenschutzrechtlich nicht zu stark zergliedert werden sollten, denn sonst wäre praktisch jede Dienstleistung in Teilen eine Auftragsverarbeitung, was nicht praktikabel wäre. (Pro memoria: Umgekehrt gibt es bei jeder Auftragsverarbeitung in Teilen eine Bekanntgabe zwischen Verantwortlichen, weil der Auftragsverarbeiter Kontaktangaben des Verantwortlichen bzw. von dessen Hilfspersonen als Verantwortlicher bearbeitet – das wirkt sich auf Informationspflichten aus, wirft aber auch Fragen auf, wenn ein Verantwortlicher einen Auftragsverarbeiter ausserhalb des EWR beizieht und dafür Standardvertragsklauseln verwendet). Das LfD begründet diese Ansicht damit, dass eine Auftragsverarbeitung vom Verantwortlichen “gewollt” sein muss (Erwägungsgrund 81: “sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die…”).
Das hat aber auch die Folge, dass die Datenverarbeitung des Dienstleisters hier nicht privilegiert ist, also eine eigene Rechtsgrundlage braucht. In Frage kommt hier v.a. das berechtigte Interesse i.S.v. Art. 6 Abs. 1 lit. f DSGVO.
Das LfD gibt hierfür folgende Beispiele:
- “Ein Blumen- oder Weinhändler erhält zur Versendung von Blumen- beziehungsweise Weingeschenken an dritte Personen von seinem Kunden eine Liste mit Adressdaten der Empfänger.” Als Rechtsgrundlage komme hier das berechtigte Interesse in Betracht.
- “Bei sogenannten „Dreiecksverhältnissen“, soweit es um die Beziehung zwischen Online-Händler, Hersteller und Endkunden geht. Beispiel: Der Hersteller von Produkten erhält für mit Endkunden vereinbarte Direktlieferungen vom Online-Händler die Adresse des Kunden”. Rechtsgrundlage ist hier der Vertrag mit dem Endkunden.
- Das zweite Beispiel verdeutlicht einen weiteren, praktisch wichtigen Punkt: Nicht nur der Online-Händler, also der Vertragspartner des Endkunden, stützt sich auf diesen Vertrag, sondern auch der Hersteller. Das ist richtig, denn Art. 6 Abs. 1 lit. b DSGVO verlangt einen Vertrag mit der betroffenen Person, aber nicht einen Vertrag “des Verantwortlichen” mit ihr, weshalb sich eben nicht nur der Vertragspartner auf diesen Vertrag berufen kann:
Hinweise zur gemeinsamen Verantwortung
Die FAQ enthalten zur Abgrenzung von der Auftragsverarbeitung folgende Umschreibung der gemeinsamen Verantwortung:
“Ich bin zusammen mit einer oder mehreren anderen Stelle/-n gemeinsam Verantwortlicher und kann Auftraggeber sein, wenn ich mit dieser/diesen gemeinsam nach Artikel 26 DS-GVO über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheide. Ich verfüge dabei genauso wie die weiteren Verantwortlichen über die wesentliche Entscheidungsbefugnis hinsichtlich der konkreten Datenverarbeitung. Daneben besteht eine gewollte und bewusste Zusammenarbeit zwischen den weiteren Verantwortlichen und mir bezüglich der konkreten Datenverarbeitung. Dabei genügt es, wenn die weiteren Verantwortlichen und ich einen maßgeblichen und entscheidungserheblichen Beitrag zur Datenverarbeitung leisten. Außerdem muss die Verantwortlichkeit bei den anderen Beteiligten und mir nicht gleichwertig sein – eine Einbeziehung in verschiedenen Phasen der Verarbeitung und in unterschiedlichem Ausmaß ist möglich, sofern die Beiträge entscheidungserheblich bleiben. Es ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit jeder Zugang zu den betreffenden personenbezogenen Daten hat.”