LfD Nie­der­sach­sen: FAQ zur Auf­trags­ver­ar­bei­tung; Hin­wei­se zur “Schwer­punkt­theo­rie”

Das Lan­des­amt für Daten­schutz (LfD) Nie­der­sach­sens hat ein Merk­blatt mit FAQ zur Auf­trags­ver­ar­bei­tung ver­öf­fent­licht.

Typi­sche Auf­trags­ver­ar­bei­tun­gen

Das LfD beur­teilt etwa die fol­gen­den Tätig­kei­ten i.d.R. als Auf­trags­ver­ar­bei­tung:

  • Ent­sor­gung (Ver­nich­tung, Löschung) von Daten­trä­gern mit per­so­nen­be­zo­ge­nen Daten,
  • Spei­che­rung von per­so­nen­be­zo­ge­nen Daten in der Cloud,
  • Wer­be­adres­sen­ver­ar­bei­tung in einem Let­ter-Shop,
  • Ver­ar­bei­tung von Kun­den­da­ten durch ein Call-Cen­ter ohne wesent­li­che eige­ne Ent­schei­dungs­spiel­räu­me, also z.B. bei der rei­nen Wei­ter­ver­mitt­lung der Kun­den an die jeweils zustän­di­ge Stel­le inner­halb des Unter­neh­mens oder bei der Auf­nah­me von Kon­takt­da­ten oder son­sti­gen Infor­ma­tio­nen zur Wei­ter­ga­be an die zustän­di­ge Stel­le;
  • Daten­er­fas­sung, Daten­kon­ver­tie­rung oder Ein­scan­nen von Doku­men­ten mit per­so­nen­be­zo­ge­nen Daten,
  • daten­ver­ar­bei­tungs­tech­ni­sche Arbei­ten für die Lohn- und Gehalts­ab­rech­nung oder die Finanz­buch­hal­tung durch Rechen­zen­tren,
  • elek­tro­ni­sche Rech­nungs­er­stel­lung,
  • rein tech­ni­sche Dienst­lei­stun­gen z.B. zur Aus­wer­tung und Ana­ly­se von Web­sei­ten oder zum Ver­sen­den von News­let­tern;
  • ein Dienst­lei­ster führt War­tungs­ar­bei­ten an tech­ni­schen Gerä­ten mit der Mög­lich­keit des Zugangs zu per­so­nen­be­zo­ge­nen Daten durch.

Das deckt sich mit dem übli­chen Ver­ständ­nis einer Auf­trags­ver­ar­bei­tung. Strit­tig ist aller­dings, ob bei War­tungs­ar­bei­ten mit Daten­zu­griff eine Auf­trags­ver­ar­bei­tung vor­liegt; es ent­spricht aber der DSK, d.h. der abge­stimm­ten Hal­tung der deut­schen Auf­sichts­be­hör­den (vgl. Kurz­pa­pier Nr. 13), und i.d.R. auch den Erwar­tun­gen der betei­lig­ten Unter­neh­men (und befreit den Dienst­lei­ster von der Infor­ma­ti­ons­pflicht gegen­über den auf Sei­ten des Auf­trag­ge­bers betrof­fe­nen Per­so­nen).

Kei­ne Auf­trags­ver­ar­bei­tung besteht dage­gen etwa bei

  • Rei­ni­gungs­dien­sten (was nicht bedeu­tet, dass ver­trag­lich kei­ne Bestim­mun­gen zum Umgang mit Per­so­nen­da­ten (und ande­ren ver­trau­li­chen Infor­ma­tio­nen) erfor­der­lich wären),
  • Spe­di­ti­ons­dien­sten, die einen Sub­un­ter­neh­mer beschäf­ti­gen, weil hier fach­li­che Dienst­lei­stun­gen ande­rer Art im Vor­der­grund ste­hen (s. den fol­gen­den Abschnitt zur Schwer­punkt­theo­rie);
  • Druckerei­dienst­lei­stun­gen, wobei hier zu dif­fe­ren­zie­ren sei: Druckt die Drucke­rei vor­ge­fer­tig­te, adres­sier­te Schrift­stücke, liegt kei­ne Auf­trags­ver­ar­bei­tung vor; wird der Drucke­rei dage­gen eine sepa­ra­te Adress­da­tei zur Ver­fü­gung gestellt und fügt die Drucke­rei die­se erst in das Druck­werk ein, lie­ge eine Auf­trags­ver­ar­bei­tung vor;
  • Steu­er­be­ra­tungs­lei­stun­gen.

Schwer­punkt­theo­rie

Das LfD weist dar­auf hin, dass eine Tätig­keit, die für sich genom­men als Auf­trags­ver­ar­bei­tung erscheint, dann aus­nahms­wei­se nicht als Auf­trags­ver­ar­bei­tung erscheint, wenn sie ein “unge­woll­tes Bei­werk” einer Haupt­dienst­lei­stung dar­stellt. Das deckt sich mit der ver­brei­te­ten und hilf­rei­chen Ansicht, dass eine Auf­trags­ver­ar­bei­tung dann vor­liegt, wenn eine Dienst­lei­stung im Schwer­ge­wicht – und nicht nur bei­läu­fig – in einer Daten­ver­ar­bei­tung im Auf­trag besteht, wie dies das BayL­DA in sei­nen FAQ zur Auf­trags­ver­ar­bei­tung eben­falls fest­hält (wes­halb bspw. Anwäl­te typi­scher­wei­se kei­ne Auf­trags­ver­ar­bei­ter sind). Es bedeu­tet auch, dass Dienst­lei­stun­gen daten­schutz­recht­lich nicht zu stark zer­glie­dert wer­den soll­ten, denn sonst wäre prak­tisch jede Dienst­lei­stung in Tei­len eine Auf­trags­ver­ar­bei­tung, was nicht prak­ti­ka­bel wäre. (Pro memo­ria: Umge­kehrt gibt es bei jeder Auf­trags­ver­ar­bei­tung in Tei­len eine Bekannt­ga­be zwi­schen Ver­ant­wort­li­chen, weil der Auf­trags­ver­ar­bei­ter Kon­takt­an­ga­ben des Ver­ant­wort­li­chen bzw. von des­sen Hilfs­per­so­nen als Ver­ant­wort­li­cher bear­bei­tet – das wirkt sich auf Infor­ma­ti­ons­pflich­ten aus, wirft aber auch Fra­gen auf, wenn ein Ver­ant­wort­li­cher einen Auf­trags­ver­ar­bei­ter ausser­halb des EWR bei­zieht und dafür Stan­dard­ver­trags­klau­seln ver­wen­det). Das LfD begrün­det die­se Ansicht damit, dass eine Auf­trags­ver­ar­bei­tung vom Ver­ant­wort­li­chen “gewollt” sein muss (Erwä­gungs­grund 81: “soll­te ein Ver­ant­wort­li­cher, der einen Auf­trags­ver­ar­bei­ter mit Ver­ar­bei­tungs­tä­tig­kei­ten betrau­en will, nur Auf­trags­ver­ar­bei­ter her­an­zie­hen, die…”).

Das hat aber auch die Fol­ge, dass die Daten­ver­ar­bei­tung des Dienst­lei­sters hier nicht pri­vi­le­giert ist, also eine eige­ne Rechts­grund­la­ge braucht. In Fra­ge kommt hier v.a. das berech­tig­te Inter­es­se i.S.v. Art. 6 Abs. 1 lit. f DSGVO.

Das LfD gibt hier­für fol­gen­de Bei­spie­le:

  • Ein Blu­men- oder Wein­händ­ler erhält zur Ver­sen­dung von Blu­men- bezie­hungs­wei­se Wein­ge­schen­ken an drit­te Per­so­nen von sei­nem Kun­den eine Liste mit Adress­da­ten der Emp­fän­ger.” Als Rechts­grund­la­ge kom­me hier das berech­tig­te Inter­es­se in Betracht.
  • Bei soge­nann­ten „Drei­ecks­ver­hält­nis­sen“, soweit es um die Bezie­hung zwi­schen Online-Händ­ler, Her­stel­ler und End­kun­den geht. Bei­spiel: Der Her­stel­ler von Pro­duk­ten erhält für mit End­kun­den ver­ein­bar­te Direkt­lie­fe­run­gen vom Online-Händ­ler die Adres­se des Kun­den”. Rechts­grund­la­ge ist hier der Ver­trag mit dem End­kun­den.
  • Das zwei­te Bei­spiel ver­deut­licht einen wei­te­ren, prak­tisch wich­ti­gen Punkt: Nicht nur der Online-Händ­ler, also der Ver­trags­part­ner des End­kun­den, stützt sich auf die­sen Ver­trag, son­dern auch der Her­stel­ler. Das ist rich­tig, denn Art. 6 Abs. 1 lit. b DSGVO ver­langt einen Ver­trag mit der betrof­fe­nen Per­son, aber nicht einen Ver­trag “des Ver­ant­wort­li­chen” mit ihr, wes­halb sich eben nicht nur der Ver­trags­part­ner auf die­sen Ver­trag beru­fen kann:

Hin­wei­se zur gemein­sa­men Ver­ant­wor­tung

Die FAQ ent­hal­ten zur Abgren­zung von der Auf­trags­ver­ar­bei­tung fol­gen­de Umschrei­bung der gemein­sa­men Ver­ant­wor­tung:

Ich bin zusam­men mit einer oder meh­re­ren ande­ren Stel­le/-n gemein­sam Ver­ant­wort­li­cher und kann Auf­trag­ge­ber sein, wenn ich mit dieser/diesen gemein­sam nach Arti­kel 26 DS-GVO über die Zwecke und Mit­tel der Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten ent­schei­de. Ich ver­fü­ge dabei genau­so wie die wei­te­ren Ver­ant­wort­li­chen über die wesent­li­che Ent­schei­dungs­be­fug­nis hin­sicht­lich der kon­kre­ten Daten­ver­ar­bei­tung. Dane­ben besteht eine gewoll­te und bewuss­te Zusam­men­ar­beit zwi­schen den wei­te­ren Ver­ant­wort­li­chen und mir bezüg­lich der kon­kre­ten Daten­ver­ar­bei­tung. Dabei genügt es, wenn die wei­te­ren Ver­ant­wort­li­chen und ich einen maß­geb­li­chen und ent­schei­dungs­er­heb­li­chen Bei­trag zur Daten­ver­ar­bei­tung lei­sten. Außer­dem muss die Ver­ant­wort­lich­keit bei den ande­ren Betei­lig­ten und mir nicht gleich­wer­tig sein – eine Ein­be­zie­hung in ver­schie­de­nen Pha­sen der Ver­ar­bei­tung und in unter­schied­li­chem Aus­maß ist mög­lich, sofern die Bei­trä­ge ent­schei­dungs­er­heb­lich blei­ben. Es ist nicht erfor­der­lich, dass bei einer gemein­sa­men Ver­ant­wort­lich­keit jeder Zugang zu den betref­fen­den per­so­nen­be­zo­ge­nen Daten hat.”