Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat den Ent­wurf neu­er Leit­li­ni­en zu den Begrif­fen von Con­trol­ler und Pro­ces­sor (des Ver­ant­wort­li­chen und des Auf­trags­ver­ar­bei­ters) ver­öf­fent­licht (Gui­de­lines 07/2020 on the con­cepts of con­trol­ler and pro­ces­sor in the GDPR, Ver­si­on 1.0, 2. Sep­tem­ber 2020). Der Ent­wurf befin­det sich bis zum 19. Okto­ber 2020 in der Vernehmlassung.

Die Leit­li­ni­en bau­en teil­wei­se auf den frü­he­ren Leit­li­ni­en der Arti­kel-29-Daten­schutz­grup­pe (WP29) zum glei­chen The­ma auf, die aber noch auf der Daten­schutz­richt­li­nie beruht haben. Ver­wie­sen sei zudem auf den Leit­fa­den des EDPS zu den Begrif­fen des Ver­ant­wort­li­chen, des Auf­trags­ver­ar­bei­ters und der gemein­sam Ver­ant­wort­li­chen.

Die Leit­li­ni­en umfas­sen 48 Sei­ten und glie­dern sich etwa wie folgt:

  • Defi­ni­ti­on des Verantwortlichen
  • Defi­ni­ti­on der gemein­sam Verantwortlichen
  • Defi­ni­ti­on des Auftragsverarbeiter
  • Defi­ni­ti­on des “Drit­ten” bzw. “Emp­fän­gers” (“third party”/“recipient”)
  • Bezie­hung zwi­schen dem Ver­ant­wort­li­chen und sei­nem Auftragsverarbeiter
  • Bezie­hung zwi­schen gemein­sam Verantwortlichen

Die Leit­li­ni­en ent­hal­ten zu den Begriffs­be­stim­mun­gen am Ende jeweils Fluss­dia­gram­me (s. dazu unten).

Die fol­gen­de Bemer­kun­gen zu den ein­zel­nen Punk­ten sind kei­ne rei­ne Zusam­men­fas­sung, son­dern ent­hal­ten Erläu­te­run­gen, Inter­pre­ta­tio­nen usw., und fol­gen nicht dem Auf­bau des EDSA.

Bei­trag als PDF

Zum Begriff des Verantwortlichen

Die­se Aus­füh­run­gen ent­spre­chen in wei­ten Tei­len der frü­he­ren Stel­lung­nah­me der WP29. Aus­gangs­punkt bei der Zutei­lung aller Rol­len – allei­ne oder gemein­sam Ver­ant­wort­li­cher und Auf­trags­ver­ar­bei­ter – bleibt die Bestim­mung über die Zwecke und Mit­tel der Verarbeitung.

Zwecke und Mittel”

Es ist nicht der Aus­gangs­punkt der Aus­füh­run­gen des EDSA, aber der logi­sche Aus­gangs­punkt: die Bestim­mung über der die Zwecke und Mit­tel der Verarbeitung:

  • Zweck” meint das fak­ti­sche Ergeb­nis, das mit der Ver­ar­bei­tung ange­strebt wird, also das “wozu” der Verarbeitung.
  • Mit­tel” meint die Moda­li­tä­ten der Ver­ar­bei­tung, also das “wie” der Ver­ar­bei­tung. Der Begriff ist irre­füh­rend, den Mit­tel klingt instru­men­tal; gemeint sind aber nicht nur die Hilfs­mit­tel der Ver­ar­bei­tung (eine Appli­ka­ti­on etc.), son­dern alle Umstän­de, die daten­schutz­recht­lich rele­vant sind, d.h. die sich auf die Risi­ken der Ver­ar­bei­tung für die Betrof­fe­nen aus­wir­ken können.

Denn die Funk­ti­on der Rol­len­zu­wei­sung ist die Zuwei­sung der daten­schutz­recht­li­chen Rech­te und vor allem Pflich­ten, und nach­dem das mate­ri­el­le Daten­schutz­recht dar­auf zielt, ange­mes­sen mit Risi­ken umzu­ge­hen, kann die Rol­len­zu­wei­sung und damit die Zuwei­sung der Ver­ant­wor­tung für den Umgang mit Risi­ken nur an den Risi­ko­fak­to­ren anknüpfen.

Dies zeigt sich in der Umschrei­bung der Mit­tel der Ver­ar­bei­tung (“means of pro­ce­s­sing”) durch den EDSA, der anhand der Risi­ko­ge­neigt­heit zwi­schen wesent­li­chen und ande­ren Mit­teln (“essen­ti­al means” und “non-essen­ti­al means”) unter­schei­det:

Essen­ti­al means” are clo­se­ly lin­ked to the pur­po­se and the scope of the pro­ce­s­sing [also: beson­ders risi­ko­ge­neigt] […] . Examp­les of essen­ti­al means are the type of per­so­nal data which are pro­ce­s­sed (“which data shall be pro­ce­s­sed?”), the dura­ti­on of the processing
(“for how long shall they be pro­ce­s­sed?”), the cate­go­ries of reci­pi­en­ts (“who shall have access to them?”) and the cate­go­ries of data sub­jects (“who­se per­so­nal data are being pro­ce­s­sed?”). “Non- essen­ti­al means” con­cern more prac­ti­cal aspects of imple­men­ta­ti­on, such as the choice for a par­ti­cu­lar type of hard- or soft­ware or the detail­ed secu­ri­ty mea­su­res which may be left to the pro­ces­sor to deci­de on.

Die­se Unter­schei­dung ist Aus­gangs­punkt für die Defi­ni­ti­on des Ver­ant­wort­li­chen – und spä­ter der gemein­sam Ver­ant­wort­li­chen – und die Abgren­zung zum Auftragsverarbeiter:

Deter­mi­ning the pur­po­ses and the means amounts to deci­ding respec­tively the “why” and the “how” of the pro­ce­s­sing: given a par­ti­cu­lar pro­ce­s­sing ope­ra­ti­on, the con­trol­ler is the actor who has deter­mi­ned why the pro­ce­s­sing is taking place (i.e., “to what end”; or “what for”) and how this objec­ti­ve shall be rea­ched (i.e. which means shall be employed to attain the objec­ti­ve). A natu­ral or legal per­son who exerts such influence over the pro­ce­s­sing of per­so­nal data, ther­eby par­ti­ci­pa­tes in the deter­mi­na­ti­on of the pur­po­ses and means of that pro­ce­s­sing in accordance with the defi­ni­ti­on in Artic­le 4(7) GDPR.

Begriff des Verantwortlichen

Zwecke und “essen­ti­al means”

Ver­ant­wort­li­cher ist, wer die Zwecke und Mit­tel der Ver­ar­bei­tung bestimmt (der Recht­spre­chung des EuGH fol­gend mit oder ohne Zugriff auf die Per­so­nen­da­ten). Der Ver­ant­wort­li­che muss aber nicht unbe­dingt alle Mit­tel bestim­men, son­dern eben nur die “essen­ti­al means”, denn nur die­se prä­gen das Risi­ko der Ver­ar­bei­tung so stark, dass sich der Ver­ant­wort­li­che selbst dar­um küm­mern muss; nur die Bestim­mung die­ser Mit­tel ist also aus­la­ge­rungs­feind­lich. Ande­re Umstän­de, “non-essen­ti­al means”, kön­nen dage­gen auch dem Auf­trags­ver­ar­bei­ter über­las­sen werden.

Bedeut­sam (und posi­tiv) ist in die­sem Zusam­men­hang die Fest­stel­lung des EDSA, dass nur der­je­ni­ge ein Ver­ant­wort­li­cher sein kann, der sowohl die Zwecke als auch die “essen­ti­al means” der Ver­ar­bei­tung – und nicht nur eins davon – bestimmt:

The con­trol­ler must deci­de on both pur­po­se and means of the pro­ce­s­sing as descri­bed below. As a result, the con­trol­ler can­not sett­le with only deter­mi­ning the pur­po­se. It must also make decis­i­ons about the means of the pro­ce­s­sing. Con­ver­se­ly, the par­ty acting as pro­ces­sor can never deter­mi­ne the pur­po­se of the processing.

Das hat zunächst zur Kon­se­quenz, dass der Ver­ant­wort­li­che sei­ne Pflich­ten ver­letzt, wenn er den Zweck setzt, sich aber um die Rege­lung der essen­ti­al means fou­tiert und z.B. einem Auf­trags­ver­ar­bei­ter über­lässt. Ein Arbeit­ge­ber, der eine HR-Soft­ware ein­setzt, die Auf­be­wah­rungs­dau­er der Daten aber nicht bestimmt, ver­letzt dadurch das Daten­schutz­recht und kann sich nicht dadurch exkul­pie­ren, dass er unbe­se­hen Stan­dard­ein­stel­lun­gen der Soft­ware übernimmt.

Es bedeu­tet wei­ter, dass ein Auf­trags­ver­ar­bei­ter, der ausser­halb sei­ner Rol­le auch “essen­ti­al means” aber nicht die Zwecke der Ver­ar­bei­tung bestimmt, dadurch noch nicht zum Ver­ant­wort­li­chen wird. Ein sol­cher Auf­trags­ver­ar­bei­ter bleibt Auf­trags­ver­ar­bei­ter und ver­letzt sei­ne Pflich­ten, aber eben nicht die Pflich­ten eines Ver­ant­wort­li­chen (vgl. auch Art. 28 Abs. 10 DSGVO). Das bedeu­tet auch, dass nicht allein des­halb eine gemein­sa­me Ver­ant­wor­tung vor­lie­gen kann, weil ein Auf­trags­ver­ar­bei­ter sei­ne Kom­pe­ten­zen über­schrei­tet; dazu unten.

Indi­zi­en zur Bestimmung

Begriff­lich ist die Defi­ni­ti­on des Ver­ant­wort­li­chen klar, fak­tisch aber häu­fig nicht, wes­halb auf Indi­zi­en und Fall­grup­pen zurück­zu­grei­fen ist. Inter­es­sant – wenn auch nicht neu – sind in die­sem Zusam­men­hang die fol­gen­den Hin­wei­se des EDSA:

  • Die Ver­ant­wort­lich­keit kann aus­drück­lich oder – häu­fi­ger – mit­tel­bar durch das Gesetz erfol­gen. I.d.R. ist die­je­ni­ge Stel­le ver­ant­wort­lich, der das Gesetz eine Auf­ga­be über­trägt. Häu­fig sind z.B. For­mu­lie­run­gen wie in Art. 85a BVG (“Die mit der Durch­füh­rung, der Kon­trol­le oder der Beauf­sich­ti­gung der Durch­füh­rung die­ses Geset­zes betrau­ten Orga­ne […]”) oder aus­dück­li­che Auf­ga­ben­zu­wei­sun­gen wie z.B. an das ASTRA in Art. 10 OV-UVEK oder an Arbeit­ge­ber z.B. in Art. 6 ArG:

    the pur­po­se of the pro­ce­s­sing is often deter­mi­ned by the law. The con­trol­ler will nor­mal­ly be the one desi­gna­ted by law for the rea­lizati­on of this pur­po­se, this public task. For exam­p­le, this would be the case whe­re an enti­ty which is ent­ru­sted with cer­tain public tasks (e.g., social secu­ri­ty) which can­not be ful­fil­led wit­hout coll­ec­ting at least some per­so­nal data, sets up a data­ba­se or regi­ster in order to ful­fil tho­se public tasks. In that case, the law, albeit indi­rect­ly, sets out who is the controller. […]

  • Häu­fi­ger ist die Ver­ant­wort­lich­keit auf­grund fak­ti­scher Bestim­mung von Zweck und Mit­teln: Mass­ge­bend ist hier, wel­che Stel­le fak­tisch über Zwecke und Mit­tel ent­schei­det. Dabei ver­weist der EDSA z.B. auf “tra­di­tio­nel­le Rol­len­ver­ständ­nis­se” (I know it when I see it…), lässt aber natür­lich zu, dass die Qua­li­fi­ka­ti­on im Ein­zel­fall abweicht, und weist auf die Bedeu­tung ver­trag­li­cher Rege­lun­gen zwi­schen den Daten­be­ar­bei­tern als Indiz hin.
  • Bei­spie­le für Ver­ant­wort­li­che kraft Gewohn­heit sind Arbeit­ge­ber oder Anwalts­kanz­lei­en (die aber auch nach all­ge­mei­nen Regeln ver­ant­wort­lich wären).

    In prac­ti­ce, cer­tain pro­ce­s­sing acti­vi­ties can be con­side­red as natu­ral­ly atta­ched to the role or acti­vi­ties of an enti­ty ulti­m­ate­ly ent­ail­ing respon­si­bi­li­ties from a data pro­tec­tion point of view. […] exi­sting tra­di­tio­nal roles and pro­fes­sio­nal exper­ti­se that nor­mal­ly imply a cer­tain respon­si­bi­li­ty will help in iden­ti­fy­ing the con­trol­ler, for exam­p­le an employer in rela­ti­on to pro­ce­s­sing per­so­nal data about his employees, a publisher pro­ce­s­sing per­so­nal data about its sub­scri­bers, or an asso­cia­ti­on pro­ce­s­sing per­so­nal data about its mem­bers or contributors.

Gemein­sam Verantwortliche

Zum Begriff

Wer sich hier Klar­heit erhofft hat, wird ent­täuscht. Das Kon­zept der gemein­sa­men Ver­ant­wor­tung, das durch die Kasu­istik des EuGH gepräg­tes Stück­werk ist, wird nicht umfas­send und grund­sätz­lich begrün­det und aus­ge­führt. Eini­ge Hin­wei­se sind aber hilf­reich bzw. tra­gen zu Klä­run­gen bei. Man darf die Aus­sa­gen des EDSA m.E. wie folgt zusam­men­fas­sen:

  • Meh­re­re Stel­len sind gemein­sam ver­ant­wort­lich, wenn sie sowohl die Zwecke als auch die wesent­li­chen Mit­tel der Ver­ar­bei­tung bzw. eines Teils einer Ver­ar­bei­tung gemein­sam bestim­men. Es genügt nicht, wenn sich die­se gemein­sa­me Bestim­mung nur auf den Zweck oder nur auf die Mit­tel der Ver­ar­bei­tung bezieht.
  • Eine gemein­sa­me Bestim­mung liegt dann vor, wenn die Ver­ar­bei­tung in ihrer Form nicht mög­lich wäre, d.h. rele­vant anders aus­fie­le, wür­de man einen der Bei­trä­ge wegdenken.
  • Das kann auch aus wirt­schaft­li­chen Grün­den der Fall sein, näm­lich dann, wenn die Ver­ar­bei­tung auf­grund von öko­no­mi­schen Gege­ben­hei­ten durch meh­re­re Stel­len bestimmt wird. Es genügt dem­ge­gen­über nicht, dass eine Ver­ar­bei­tung dem wirt­schaft­li­chen Inter­es­se bei­der Stel­len dient; die (hypo­the­ti­sche) Kau­sa­li­tät der Bei­trä­ge bleibt erfor­der­lich.

Gemein­sa­me Bestim­mung von Zweck und Mitteln

Unklar war bis­her zunächst, ob die gemein­sa­me Ver­ant­wor­tung die gemein­sa­me Bestim­mung sowohl von Zweck als auch Mit­teln oder nur eines die­ser Fak­to­ren vor­aus­setzt. In der genann­ten frü­he­ren Stel­lung­nah­me ging die WP29 von letz­te­rem aus. Der Wort­laut von Art. 4 Nr. 7 DSGVO (eben­so wie von Erwä­gungs­grund 79) spricht aber dafür, dass sich der mass­geb­li­che Ein­fluss auf “Zwecke und Mit­tel” bezie­hen muss; das allein klärt die Fra­ge aber nicht. Auch liess sich der Face­book-Ent­scheid des EuGH (der Betrei­ber einer Fan­page ist gemein­sam ver­ant­wort­lich, weil er durch die Para­me­trie­rung der Ver­ar­bei­tung von Face­book beein­flusst) anders lesen, obwohl die Fra­ge hier weder aus­drück­lich gestellt noch beant­wor­tet wur­de; denn hier genüg­te das Ermög­li­chen der Ver­ar­bei­tung durch Face­book, ohne dass der Betrei­ber der Web­site die­se fol­gen­de Ver­ar­bei­tung inhalt­lich mit­ge­stal­tet (anders noch als beim Fan­page-Ent­scheid), ausser viel­leicht sehr indi­rekt durch die Aus­wahl des Nut­zer­krei­ses sei­ner Website.

Der EDSA stellt nun wie oben erwähnt klar, dass die gemein­sa­me Ver­ant­wor­tung vor­aus­setzt, dass jeder der gemein­sam Ver­ant­wort­li­chen sowohl den Zweck als auch die wesent­li­chen Mit­tel der Ver­ar­bei­tung mit­be­stimmt:

Not all pro­ce­s­sing ope­ra­ti­ons invol­ving seve­ral enti­ties give rise to joint con­trol­ler­ship. The over­ar­ching cri­ter­ion for joint con­trol­ler­ship to exist is the joint par­ti­ci­pa­ti­on of two or more enti­ties in the deter­mi­na­ti­on of the pur­po­ses and means of a pro­ce­s­sing ope­ra­ti­on. More spe­ci­fi­cal­ly, joint par­ti­ci­pa­ti­on needs to include the deter­mi­na­ti­on of pur­po­ses on the one hand and the deter­mi­na­ti­on of means on the other hand. If each of the­se ele­ments are deter­mi­ned by all enti­ties con­cer­ned, they should be con­side­red as joint con­trol­lers of the pro­ce­s­sing at issue.

Das ist eine will­kom­me­ne und kei­nes­wegs selbst­ver­ständ­li­che Klar­stel­lung eines wesent­li­chen Punkts, denn bis­her liess sich zumin­dest nicht aus­schlie­ssen, dass ein Auf­trags­ver­ar­bei­ter, der zu gro­ssen Ein­fluss auf wesent­li­che Mit­tel der Ver­ar­bei­tung hat, zum gemein­sam Ver­ant­wort­li­chen wird (bspw. ein Auf­trags­ver­ar­bei­ter, der kon­zern­in­tern die IT nicht nur beschafft, son­dern auch kon­fi­gu­riert und dadurch Ein­fluss bspw. auf die Spei­cher­dau­er nimmt). Das dürf­te nun nicht mehr zutref­fen – ein sol­cher Auf­trags­ver­ar­bei­ter ist, wie oben ange­spro­chen, weder allei­ne noch gemein­sam ver­ant­wort­lich, son­dern bleibt ein Auf­trags­ver­ar­bei­ter (auch wenn zu gro­sser Ein­fluss des Auf­trags­ver­ar­bei­ters für bei­de Betei­lig­ten risi­ko­be­haf­tet ist). Offen ist, ob sich der EuGH die­ser Auf­fas­sung anschlös­se; gesi­chert ist das kaum.

Was heisst “gemein­sa­me” Bestimmung?

Der EDSA führt bei der Gemein­schaft­lich­keit bei der Bestim­mung von Zweck und Mit­teln eine – soweit ersicht­lich – neue Ter­mi­no­lo­gie ein:

  • die gemein­sa­me Ent­schei­dung (“com­mon decis­i­on”); hier liegt eine ein­zi­ge Ent­schei­dung über Zweck und Mit­tel vor, die meh­re­re Stel­len gemein­sam fäl­len; und
  • die kon­ver­gie­ren­den Ent­schei­dun­gen (“con­ver­ging decis­i­ons”); hier ent­schei­den die betei­lig­ten Stel­len jeweils für sich, fäl­len also meh­re­re Ent­schei­dun­gen ohne gemein­sa­men Ent­schei­dungs­pro­zess, doch “kon­ver­gie­ren” die­se Entscheidungen.

Was heisst “kon­ver­gie­ren”? Der EDSA erläu­tert dies wie folgt, wobei er das Kri­te­ri­um des “inex­tri­ca­bly lin­ked” bemüht, was schon bei der Goog­le Spain-Ent­schei­dung des EuGH nicht zur Klar­heit bei­tra­gen konn­te (Her­vor­he­bun­gen dies­mal im Original):

[…] Decis­i­ons can be con­side­red as con­ver­ging on pur­po­ses and means if they com­ple­ment each other and are neces­sa­ry for the pro­ce­s­sing to take place in such man­ner that they have a tan­gi­ble impact on the deter­mi­na­ti­on of the pur­po­ses and means of the pro­ce­s­sing. As such, an important cri­ter­ion to iden­ti­fy con­ver­ging decis­i­ons in this con­text is whe­ther the pro­ce­s­sing would not be pos­si­ble wit­hout both par­ties’ par­ti­ci­pa­ti­on in the sen­se that the pro­ce­s­sing by each par­ty is inse­pa­ra­ble, i.e. inex­tri­ca­bly lin­ked.

Gemein­sa­me Bestim­mung des Zwecks

Der EDSA nimmt hier Bezug auf das Fashion ID-Urteil, in dem der EuGH die gemein­sa­me Bestim­mung des Zwecks des­halb bejaht hat­te, weil unter­schied­li­che Inter­es­sen wirt­schaft­lich mit­ein­an­der ver­knüpft waren. Der EDSA führt wei­ter aus:

[…] joint con­trol­ler­ship may also […] be estab­lished when the enti­ties invol­ved pur­sue pur­po­ses which are clo­se­ly lin­ked or com­ple­men­ta­ry.

Was heisst nun “clo­se­ly lin­ked or com­ple­men­ta­ry”? Wie soeben fest­ge­hal­ten, dürf­te das der Fall sein, wenn bei­de Zwecke die Ver­ar­bei­tung prä­gen, die­se ohne einen der Zwecke also gar nicht oder in daten­schutz­recht­lich rele­vant ande­rer Form statt­fän­de. Das kann sei­nen Grund natür­lich auch in wirt­schaft­li­chen Gege­ben­hei­ten haben, wes­halb der EDSA fortfährt:

Such may be the case […] when the­re is a mutu­al bene­fit ari­sing from the same pro­ce­s­sing ope­ra­ti­on, pro­vi­ded that each of the enti­ties invol­ved par­ti­ci­pa­tes in the deter­mi­na­ti­on of the pur­po­ses and means of the rele­vant pro­ce­s­sing operation.

Das ist eine bedenk­li­che Aus­sa­ge, weil der EDSA den Ein­druck ent­ste­hen lässt, ein “mutu­al bene­fit” kön­ne bereits eine gemein­sa­me Ver­ant­wort­lich­keit bewir­ken. Er fügt aber an, “pro­vi­ded that each of the enti­ties par­ti­ci­pa­tes in the deter­mi­na­ti­on”. Der “mutu­al bene­fit” kann dem­nach gera­de nicht aus­rei­chend, den betei­lig­ten Stel­len eine gemein­sa­me Zweck­be­stim­mung zuzu­schrei­ben. Das ist zwar posi­tiv, doch lei­der bleibt der EDSA bei die­sem kri­ti­schen Punkt unklar. Er fährt fort:

In Fashion ID, for exam­p­le, the CJEU cla­ri­fi­ed that a web­site ope­ra­tor par­ti­ci­pa­tes in the deter­mi­na­ti­on of the pur­po­ses (and means) of the pro­ce­s­sing by embed­ding a social plug-in on a web­site in order to opti­mi­ze the publi­ci­ty of its goods by making them more visi­ble on the social net­work. The CJEU con­side­red that the pro­ce­s­sing ope­ra­ti­ons at issue were per­for­med in the eco­no­mic inte­rests of both the web­site ope­ra­tor and the pro­vi­der of the social plug-in.

Die­se Aus­sa­ge ist in einer arbeits­tei­li­gen Wirt­schaft – bei der die öko­no­mi­schen Inter­es­sen viel­fach “inex­tri­ca­bly lin­ked” sind – hoch­pro­ble­ma­tisch. Dem EDSA gelingt es ins­ge­samt nicht, die gemein­sa­me Zweck­be­stim­mung in den­je­ni­gen Fäl­len zu defi­nie­ren, in denen die betei­lig­ten Stel­len unter­schied­li­che, aber ver­bun­de­ne Zweckt verfolgen.

Schaut man aber noch­mals auf den Ent­scheid i.S. Fashion ID drängt sich eine Ein­gren­zung auf: Die gemein­sa­me Ver­ant­wor­tung war hier auf den Vor­gang der Erhe­bung von Per­so­nen­da­ten über das Face­book-Plug­in und auf die Über­mitt­lung die­ser Daten an Face­book beschränkt; nur die­ser Ver­ar­bei­tungs­schritt ist inso­weit rele­vant. Und hier­zu hat der EuGH festgehalten,

78 Mit der Ein­bin­dung eines sol­chen Social Plug­ins in ihre Web­site hat Fashion ID im Übri­gen ent­schei­dend das Erhe­ben und die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten der Besu­cher die­ser Sei­te zugun­sten des Anbie­ters die­ses Plug­ins, im vor­lie­gen­den Fall Face­book Ire­land, beein­flusst, die ohne Ein­bin­dung die­ses Plug­ins nicht erfol­gen wür­den.

Das drängt den Schluss auf, dass die Kau­sa­li­tät des Bei­trags ent­schei­dend ist: Fashion ID hat die Erhe­bung und Über­mitt­lung von Per­so­nen­da­ten durch das Ein­bin­den erst ermög­licht. Das ist der ent­schei­den­de Fak­tor. Die Zwecke einer Ver­ar­bei­tung sind also dann gemein­sam bestimmt, wenn die Ver­ant­wort­li­chen einen Zweck gemein­sam bestim­men oder wenn sie zwar unter­schied­li­che Zwecke ver­fol­gen, die Ver­ar­bei­tung ohne eine die­ser Zweck­ver­fol­gun­gen aber rele­vant anders aus­fie­le.

Das ent­spricht der oben ziter­ten Aus­sa­ge des ESDA,

Decis­i­ons can be con­side­red as con­ver­ging on pur­po­ses and means if they com­ple­ment each other and are neces­sa­ry for the pro­ce­s­sing to take place in such man­ner that they have a tan­gi­ble impact on the deter­mi­na­ti­on of the pur­po­ses and means of the processing

Im Ergeb­nis darf man also wohl den Schluss zie­hen, dass unter­schied­li­che Zwecke gemein­sam sind, wenn sie bei­de kau­sal für die betref­fen­de Ver­ar­bei­tung bzw. den betref­fen­den Ver­ar­bei­tungs­teil sind. Die­ser Schluss ist auch ver­ein­bar mit dem Face­book-Ent­scheid des EuGH, denn hier war der Zweck des Betrei­bers der Fan­page – Erkennt­nis­se über sei­ne “Fans” zu gewin­nen – durch die ent­spre­chen­de Para­me­tri­sie­rung mit­kau­sal für die Ver­ar­bei­tung durch Face­book, und mit dem Zeu­gen-Jeho­vas-Urteil, denn hier ver­folg­ten die Mit­glie­der der Gemein­schaft der Zeu­gen Jeho­vas den Ver­kün­dungs­zweck und konn­ten selbst ent­schei­den, unter wel­chen kon­kre­ten Umstän­den sie Per­so­nen­da­ten über auf­ge­such­te Per­so­nen erhe­ben, wel­che Daten sie erhe­ben und wie sie sie ver­ar­bei­ten, und die Gemein­schaft ver­folg­te den­sel­ben Zweck, ermun­ter­te zur Ver­kün­dung und führ­te die Listen der Per­so­nen, die kei­ne Besu­che mehr wünsch­ten, was wohl als Mit­be­stim­mung über die Mit­tel der Ver­ar­bei­tung ver­stan­den wer­den kann.

Gemein­sa­me Bestim­mung der Mittel

Auch die Mit­tel müs­sen gemein­sam bestimmt wer­den. Aber wie? Der EDSA sagt dazu sinn­ge­mäss folgendes:

  • Die gemein­sa­me Ver­ant­wort­lich­keit setzt nicht vor­aus, dass alle betei­lig­ten Stel­len alle wesent­li­chen Mit­tel gemein­sam bestim­men; die Bei­trä­ge an die Bestim­mung der Mit­tel kön­nen sich nicht nur in der Inten­si­tät, son­dern auch im Gegen­stand unter­schei­den;
  • es genügt sogar, wenn eine der Stel­len die Mit­tel der Ver­ar­bei­tung bestimmt und eine ande­re Stel­le ent­schei­det, sich die­ser Mit­tel zu bedie­nen (wie eben bei Fashion ID), denn die­se Ent­schei­dung ist auch eine über die Mit­tel. Das heisst, dass eine gemein­sa­me Ver­ant­wort­lich­keit nicht schon dadurch aus­ge­schlos­sen ist, dass eine der Stel­len die Mit­tel der Ver­ar­bei­tung allei­ne bestimmt, denn der Ent­scheid über den Ein­satz der Mit­tel für eine kon­kre­te Ver­ar­bei­tung ist sei­ner­seits eine Bestim­mung die­ser Mit­tel. Das bedeu­tet auch, dass eine Stel­le, die die Mit­tel der Ver­ar­bei­tung prägt, aber nicht einer kon­kre­ten Ver­ar­bei­tung (z.B. Bereit­stel­lung einer Platt­form oder einer Cloud­in­fra­struk­tur), den­noch die kon­kre­ten Ver­ar­bei­tung mitprägt.

Die­ser Punkt dürf­te vor allem auch bei Shared Ser­vices im Kon­zern rele­vant sein. Denn hier wird oft ein Stan­dard­ser­vice für die gesam­te Grup­pe ein­ge­kauft (Work­day, SAP-Dien­ste, Micro­soft 365 etc.). Die ein­zel­ne Kon­zern­ge­sell­schaft hat hier oft kei­ne Alter­na­ti­ve zu die­ser Infra­struk­tur. Da aber kein Kon­zern­da­ten­schutz­recht exi­stiert, stellt der Ein­satz die­ser Infra­struk­tur eine – wenn auch etwas unfreie – Ent­schei­dung die­ser Kon­zern­ge­sell­schaft dar, so dass eine gemein­sa­me Bestim­mung der Mit­tel im Sin­ne des EDSA vorliegt.

Dadurch kommt der EDSA einer gemein­sam Ver­ant­wort­lich­keit bei jeder gemein­sam genutz­ten Infra­struk­tur aber nahe, wes­halb er fortfährt:

It is important to under­line that the use of a com­mon data pro­ce­s­sing system or infras­truc­tu­re will not in all cases lead to qua­li­fy the par­ties invol­ved as joint con­trol­lers, in par­ti­cu­lar whe­re the pro­ce­s­sing they car­ry out is sepa­ra­ble and could be per­for­med by one par­ty wit­hout inter­ven­ti­on from the other or whe­re the pro­vi­der is a pro­ces­sor in the absence of any pur­po­se of its own […].

Damit unter­streicht der EDSA im Ergeb­nis, dass der gemein­sa­men Zweck­be­stim­mung beson­ders dann ent­schei­den­des Gewicht zukommt, wenn ein Mit­tel der Ver­ar­bei­tung in der gemein­sam genutz­ten Infra­struk­tur besteht; in sol­chen Fäl­len muss sorg­fäl­tig beur­teilt wer­den, ob wirk­lich eine gemein­sa­me Bestim­mung eines ein­zi­gen Zwecks erfolgt bzw. meh­re­re Zwecke so mit­ein­an­der ver­bun­den sind, dass die Ver­ar­bei­tung ohne einen der Zwecke anders ausfiele.

Im Bei­spiel der Shared Ser­vices ist daher nicht unbe­se­hen von einer gemein­sa­men Zweck­be­stim­mung aus­zu­ge­hen, gera­de weil kein Kon­zern­da­ten­schutz­recht exi­stiert und folg­lich jede Kon­zern­ge­sell­schaft als daten­schutz­recht­lich eigen­stän­di­ge Stel­le zu sehen ist. Zumin­dest dann, wenn die kon­zern­weit ein­ge­setz­te Infra­struk­tur Zwecken dient, die jede Kon­zern­ge­sell­schaft indi­vi­du­ell ver­folgt (HR, IT-Ser­vices, Accoun­ting usw.), ist nicht von einer gemein­sa­men Ver­ant­wor­tung aus­zu­ge­hen. Dient die Infra­struk­tur aber Zwecken, die meh­re­ren Kon­zern­ge­sell­schaf­ten gemein sind, und wird sie daher für eine Ver­ar­bei­tung genutzt, die ohne die Zwecke aller betei­lig­ten Stel­len anders aus­fie­le, liegt eine gemein­sa­me Ver­ant­wor­tung nahe, z.B. bei einem kon­zern­wei­ten Mit­ar­bei­ter­ver­zeich­nis oder einem CRM-System, das gemein­sam genutzt wird.

Gemein­sa­me Bestim­mung: in Bezug worauf?

Unklar­heit besteht fer­ner bei der Fra­ge, wor­auf sich die Bestim­mung der Rol­len genau bezieht. Der EuGH scheint hier eine kla­re Linie zu ver­fol­gen: Die Rol­le kann sich je nach Ver­fah­rens­schritt unter­schei­den und ist also rela­tiv gra­nu­lar zu bestim­men. Dabei ist nicht nach einem recht­li­chen Begriff von Ver­ar­bei­tungs­pha­sen zu suchen, son­dern zu fra­gen, wor­auf sich die Kon­trol­le der jewei­li­gen Daten­be­ar­bei­ter fak­tisch erstreckt. Wenn ein Bear­bei­ter nur für einen bestimm­ten Teil einer Ver­ar­bei­tung Zwecke und wesent­li­che Mit­tel (mit-)bestimmt, ist er nur für die­sen Teil ver­ant­wort­lich und nicht für das, was vor oder nach die­sem Ver­ar­bei­tungs­teil geschieht.

Der EuGH hat des­halb im Fashion ID-Ent­scheid festgehalten:

72 Aus die­ser Defi­ni­ti­on geht her­vor, dass eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten aus einem oder meh­re­ren Vor­gän­gen bestehen kann, von denen jeder eine der ver­schie­de­nen Pha­sen betrifft, die eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten umfas­sen kann.

[…]

74 Dar­aus folgt […], dass eine natür­li­che oder juri­sti­sche Per­son offen­bar nur für Vor­gän­ge der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, über deren Zwecke und Mit­tel sie – gemein­sam mit ande­ren – ent­schei­det, […] gemein­sam mit ande­ren ver­ant­wort­lich sein kann. Dage­gen kann […] die­se natür­li­che oder juri­sti­sche Per­son für vor- oder nach­ge­la­ger­te Vor­gän­ge in der Ver­ar­bei­tungs­ket­te, für die sie weder die Zwecke noch die Mit­tel fest­legt, nicht als im Sin­ne die­ser Vor­schrift ver­ant­wort­lich ange­se­hen werden.

[…]

76 […] ist fest­zu­stel­len, dass die Vor­gän­ge der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, für die Fashion ID gemein­sam mit Face­book Ire­land […] ent­schei­den kann, […] das Erhe­ben der per­so­nen­be­zo­ge­nen Daten der Besu­cher ihrer Web­site und deren Wei­ter­ga­be […] sind. Dage­gen ist […] auf den ersten Blick aus­ge­schlos­sen, dass Fashion ID über die […] Ver­ar­bei­tung […] ent­schei­det, die Face­book Ire­land nach der Über­mitt­lung die­ser Daten an sie vor­ge­nom­men hat […] .

Der EDSA nimmt hier­auf Bezug, aber rela­tiv knapp und ohne wei­te­re Hin­wei­se. Man kann hier anmer­ken, dass die erfor­der­li­che Unter­schei­dung nach Ver­ar­bei­tungs­schrit­ten in der Pra­xis kaum immer befolgt wird, auch nicht von den Behör­den (etwa von der DSK, wenn sie Goog­le für Goog­le Ana­ly­tics pau­schal als gemein­sam Ver­ant­wort­li­chen einstuft).

Der EDSA fügt sei­ner Stel­lung­nah­me am Ende ein Flow­chart zur gemein­sa­men Ver­ant­wort­lich­keit an:

Fol­gen der gemein­sa­men Verantwortlichkeit

Ver­ein­ba­rung: Gegenstand

Nach Art. 26 DSGVO müs­sen die gemein­sam Ver­ant­wort­li­chen “in einer Ver­ein­ba­rung in trans­pa­ren­ter Form fest[legen], wer von ihnen wel­che Ver­pflich­tung gemäß [der DSGVO] erfüllt”; d.h. sie müs­sen sämt­li­che Com­pli­ance-Pflich­ten so klar auf­tei­len, dass kei­ne nega­ti­ven Kom­pe­tenz­kon­flik­te bestehen. Die Ver­ein­ba­rung sol­le min­de­stens fol­gen­de Punk­te regeln:

  • Sicher­stel­lung der all­ge­mei­nen Bearbeitungsgrundsätze;
  • Rechts­grund­la­ge;
  • Daten­si­cher­heits­mass­nah­men;
  • Mel­dung von Ver­let­zun­gen gegen­über Behör­den und Betroffenen;
  • Daten­schutz­fol­ge­ab­schät­zun­gen;
  • Ein­satz von Auftragsverarbeitern;
  • Über­mitt­lung in Drittstaaten;
  • Kom­mu­ni­ka­ti­on mit Betrof­fe­nen; ggf. einen gemein­sam Kon­takt für Betrof­fe­ne – das ist nicht zwin­gend, aber emp­foh­len (z.B. der DPO oder dere EU-Ver­tre­ter eines der Verantwortlichen);
  • Kom­mu­ni­ka­ti­on mit Behörden.

Bei der Rol­len­zu­wei­sung haben die gemein­sam Ver­ant­wort­li­chen eine gewis­se Fle­xi­bi­li­tät. Es sind auch Über­schnei­dun­gen mög­lich, z.B. muss sich jeder der Ver­ant­wort­li­chen – sofern er Daten­zu­griff hat – an die Zweck­bin­dung hal­ten, und jeder gemein­sam Ver­ant­wort­li­che müs­se sein eige­nes Ver­fah­rens­ver­zeich­nis füh­ren und ggf. einen DPO bestel­len. Der EDSA emp­fiehlt, die Kri­te­ri­en der Auf­ga­ben­zu­wei­sung zu dokumentieren.

Der EDSA sagt fast nichts zur Fra­ge, was gilt, wenn einer der gemein­sa­men Ver­ant­wort­li­chen nicht der DSGVO unter­steht. Hier sind drei Lösun­gen denkbar:

  • Es kann kei­ne gemein­sa­me Ver­ant­wor­tung vor­lie­gen, weil der ausser­eu­ro­päi­sche Ver­ant­wort­li­che nicht unter die DSGVO und damit auch nicht unter die Defi­ni­ti­on der gemein­sa­men Ver­ant­wor­tung fällt; der euro­päi­sche Ver­ant­wort­li­che muss daher sämt­li­che Pflich­ten nach der DSGVO erfül­len, der ausser­eu­ro­päi­sche die Pflich­ten nach dem auf ihn anwend­ba­ren Recht (sofern sein IPR nicht auf die DSGVO verweist);
  • der ausser­eu­ro­päi­sche Ver­ant­wort­li­che unter­steht infol­ge der gemein­sa­men Ver­ant­wor­tung der DSGVO, auch wenn kein Tat­be­stand von Art. 3 DSGVO erfüllt ist;
  • der ausser­eu­ro­päi­sche Ver­ant­wort­li­che unter­steht nicht der DSGVO, muss sich aber ver­pflich­ten, die ihm zuge­wie­se­nen Pflich­ten nach dem Stan­dard der DSGVO zu erfül­len, denn sonst wür­de durch die­se Zuwei­sung die DSGVO unter­lau­fen. In die­sem Fall kann eine Ver­let­zung einer sol­chen Pflicht durch den ausser­eu­ro­päi­schen Ver­ant­wort­li­chen zwar nicht nach der DSGVO behörd­lich sank­tio­niert wer­den, doch wird dies durch die Mit­ver­ant­wor­tung des euro­päi­schen Ver­ant­wort­li­chen bis zu einem gewis­sen Grad kompensiert.

Gegen den ersten Fall spre­chen prak­ti­sche Über­le­gun­gen. Der EDSA scheint aber en pas­sant davon aus­zu­ge­hen, dass ausser­eu­ro­päi­sche gemein­sam Ver­ant­wort­li­che im EWR einen EU-Ver­tre­ter haben, was ein Indiz dafür wäre, dass nur gemein­sam ver­ant­wort­lich sein kann, wer der DSGVO unter­steht. Es scheint daher nicht unver­tret­bar, bei Mit­ver­ant­wort­li­chen, die Art. 3 DSGVO nicht erfül­len, nie von einer gemein­sa­men Ver­ant­wor­tung auszugehen.

Gegen den zwei­ten Fall spricht, dass kei­ne Rechts­grund­la­ge besteht für eine Anwen­dung der DSGVO in sol­chen Fällen.

Der drit­te Weg scheint eben­falls ver­tret­bar, d.h. eine Ver­ein­ba­rung, in der aus­drück­lich dar­auf hin­ge­wie­sen wird, wel­cher der gemein­sa­men Ver­ant­wort­li­chen der DSGVO nicht unter­steht und ver­ein­bart wird, dass die­ser im Rah­men der gemein­sa­men Ver­ant­wor­tung den­noch die DSGVO ein­hält. Sofern sich die betrof­fe­nen Per­so­nen im EWR auf­hal­ten, wer­den die Haupt­pflich­ten in sol­chen Fäl­len ohne­hin häu­fig beim euro­päi­schen Ver­ant­wort­li­chen lie­gen. Aus den Erwä­gun­gen des EDSA lässt sich fer­ner ablei­ten – ein­deu­tig ist das aller­dings nicht -, dass den betrof­fe­nen Per­so­nen immer ein Kon­takt­punkt inner­halb des EWR bereit­ge­stellt wer­den muss, so dass die Rol­le des Ansprech­part­ners dem Ver­ant­wort­li­chen mit Sitz in der EU zuzu­wei­sen wäre.

Ver­ein­ba­rung: Form

Die DSGVO ver­langt in Art. 26 in der deut­schen Fas­sung eine “Ver­ein­ba­rung” zwi­schen den gemein­sam Ver­ant­wort­li­chen, in der eng­li­schen Fas­sung aber “an arran­ge­ment”. For­mel­le Erfor­der­nis­se bestehen daher nicht; der EDSA emp­fiehlt aber aus Accoun­ta­bi­li­ty- und Haf­tungs­grün­den eine gegen­sei­tig ver­bind­li­che Ver­ein­ba­rung (hält dies aber offen­bar nicht für zwin­gend). Das “arran­ge­ment” müs­se die Pflich­ten­ver­tei­lung zudem klar und deut­lich fest­hal­ten. Emp­foh­len, aber nicht zwin­gend ist fer­ner eine Beschrei­bung der gemein­sa­men Ver­ant­wor­tung, des Ver­ar­bei­tungs­zwecks, der Kate­go­rien der in gemein­sa­mer Ver­ant­wor­tung ver­ar­bei­te­ten Daten und der Kate­go­rien betrof­fe­ner Personen.

Ver­ein­ba­rung: Mit­tei­lung an die betrof­fe­nen Personen

Die Ver­ant­wort­li­chen müs­sen der betrof­fe­nen Per­son “das wesent­li­che der Ver­ein­ba­rung” “zur Ver­fü­gung” stel­len (Art. 26 Abs. 2 DSGVO). Bis­her durf­te man davon aus­ge­hen, das “Wesent­li­che” sei­en die Punk­te nach Art. 26 Abs. 1 DSGVO, d.h. wer für die Wahr­neh­mung der Betrof­fe­nen­rech­te zustän­dig ist. Der EDSA ist aber stren­ger: “Das Wesent­li­che” umfas­se für jedes Ele­ment der Infor­ma­ti­ons­pflicht nach Art. 13 und 14 DSGVO, wel­cher Ver­ant­wort­li­che für die Ein­hal­tung des jewei­li­gen Ele­ments zustän­dig ist (also ein­schliess­lich der Spei­cher­dau­er, der TOMs usw.), und zudem die Anga­be eines Kon­takt­punkts für die Betrof­fe­nen (die aller­dings frei blei­ben, sich an jeden der gemein­sam Ver­ant­wort­li­chen zu wen­den, wes­halb gere­gelt wer­den soll­te, wie Betrof­fe­nen­an­fra­gen intern behan­delt werden).

Immer­hin: Die­se Anga­ben müs­sen nicht unbe­dingt in einer DSE ent­hal­ten sein. Es ist zuläs­sig, sie erst auf Anfra­ge offen­zu­le­gen. Es lohnt sich daher, in Ver­ein­ba­run­gen gemein­sam Ver­ant­wort­li­cher nicht nur fest­zu­le­gen, wer die betrof­fe­ne Per­son infor­miert, son­dern auch wel­che Anga­ben mit wel­chem Inhalt auf spon­tan oder auf Anfra­ge zur Ver­fü­gung gestellt wer­den (ggf. mit einem Musterdokument).

Auf­trags­ver­ar­bei­tung

Begriff des Auftragsverarbeiters

Die Defi­ni­ti­on des Auf­trags­ver­ar­bei­ters ist ein­fach: Ein Auf­trags­ver­ar­bei­ter ist eine Stel­le, die nicht Teil des Ver­ant­wort­li­chen ist, son­dern eine eigen­stän­di­ge Stel­le (eine Abtei­lung eines Unter­neh­mens ist daher nie Auf­trags­ver­ar­bei­te­rin, eben­so­we­nig wie ein Arbeit­neh­mer oder Free­lan­cer), und die Per­so­nen­da­ten nicht für eige­ne Zwecke ver­ar­bei­tet, son­dern für jene des Ver­ant­wort­li­chen. Sie darf über nicht-wesent­li­che Mit­tel der Ver­ar­bei­tung bestim­men, und sie kann über wesent­li­che Mit­tel mit­be­stim­men; letz­te­res darf sie nicht, wird dadurch aber nicht zum Ver­ant­wort­li­chen, weder zum gemein­sam noch zum allei­ni­gen Verantwortlichen.

Der EDSA hält hier­zu fest, dass nicht jeder Dienst­lei­ster ein Auf­trags­ver­ar­bei­ter ist. Mass­ge­bend ist die Natur (“the natu­re”) der Dienst­lei­stung. Hier schliesst sich der EDSA der Schwer­punkt­theo­rie des BayL­DA an:

In prac­ti­ce, whe­re the pro­vi­ded ser­vice is not spe­ci­fi­cal­ly tar­ge­ted at pro­ce­s­sing per­so­nal data or whe­re such pro­ce­s­sing does not con­sti­tu­te a key ele­ment of the ser­vice, the ser­vice pro­vi­der may be in a posi­ti­on to inde­pendent­ly deter­mi­ne the pur­po­ses and means of that pro­ce­s­sing which is requi­red in order to pro­vi­de the service.

Kei­ne Auf­trags­ver­ar­bei­ter sind daher typi­scher­wei­se etwa Taxi­zen­tra­len oder Anwalts­kanz­lei­en. Bei vie­len Dienst­lei­stern hängt die Ein­stu­fung von der Aus­ge­stal­tung ab – ein Dienst­lei­ster ist ein Auf­trags­ver­ar­bei­ter, wenn der Ver­ant­wort­li­che aus­rei­chen­de Kon­trol­le über die Daten­ver­ar­bei­tung hat bzw. wenn der Dienst­lei­ster die­se nicht hat. Ein Call Cen­ter bspw. ist ein Auf­trags­ver­ar­bei­ter, soweit sein Kun­de über die Ver­ar­bei­tung der Daten durch das Call Cen­ter bestimmt und letz­te­res Daten nur im Rah­men der Wei­sun­gen ver­ar­bei­ten darf.

Im Fall von IT-Sup­port­lei­stun­gen ist eben­falls zu unterscheiden:

  • Ver­langt die Art der Sup­port- und Main­ten­an­ce-Lei­stun­gen zwin­gend den syste­ma­ti­schen Zugriff auf Per­so­nen­da­ten des Kun­den, ist der Dienst­lei­ster ein Auftragsverarbeiter.
  • Ermög­licht die Sup­port­lei­stung dage­gen nur punk­tu­ell den Zugriff auf Per­so­nen­da­ten (“purely inci­den­tal and the­r­e­fo­re very limi­t­ed in prac­ti­ce”), ist der Dienst­lei­ster weder ein Auf­trags­ver­ar­bei­ter noch ein Ver­ant­wort­li­cher, son­dern ein Drit­ter, und sein Kun­de ist gehal­ten, den Daten­zu­griff durch geeig­ne­te Sicher­heits­mass­nah­men mög­lichst zu beschränken.

Ein Anbie­ter umfas­sen­der IT-Lei­stun­gen (im Bsp. des EDSA eines Pro­dukts wie z.B. M365, das Kom­mu­ni­ka­ti­on, Video­kon­fe­ren­zen, Doku­men­ten­ma­nage­ment, Kalen­der­funk­tio­nen und Text­ver­ar­bei­tung umfasst, ist eben­falls ein Auf­trags­ver­ar­bei­ter – der Kun­de muss hier aber die essen­ti­al means bestim­men, d.h. dafür Sor­ge tra­gen, dass die Anfor­de­run­gen bspw. an die Daten­lö­schung umge­setzt wer­den, und zwar sei­ne Anfor­de­run­gen und nicht ein­fach Standardeinstellungen.

Ein Rei­ni­gungs­in­sti­tut ist eben­falls weder Auf­trags­ver­ar­bei­ter noch Ver­ant­wort­li­cher, son­dern Drit­ter, weil die Daten­ver­ar­bei­tung – so eine sol­che über­haupt erfolgt – nicht bestim­mungs­ge­mäss erfolgt, son­dern wie­der­um nur “inci­den­ti­al­ly”. Die Ver­ein­ba­rung mit dem Rei­ni­gungs­in­sti­tut muss die Ver­ar­bei­tung von Per­so­nen­da­ten daher wie­der­um unter­sa­gen, und der Ver­ant­wort­li­che muss den Zugriff auf Per­so­nen­da­ten durch ange­mes­se­ne Mass­nah­men minimieren.

Auch hier­zu fin­det sich in der Stel­lung­nah­me des EDSA ein Flowchart:

Rechts­fol­gen der Auftragsverarbeitung

Der EDSA bestä­tigt die unbe­strit­te­ne Auf­fas­sung, dass die Auf­trags­ver­ar­bei­tung pri­vi­le­giert ist, d.h. dass Rechts­grund­la­ge für die Ver­ar­bei­tung durch den Ver­ant­wort­li­chen auch Rechts­grund­la­ge ist für die Über­mitt­lung an den Auf­trags­ver­ar­bei­ter und für des­sen Verarbeitung.

Wich­ti­ger sind die wei­te­ren Hin­wei­se des EDSA, der ins­ge­samt eine stren­ge Hal­tung ein­nimmt (die für KMU umsetz­bar sein dürf­te, in Tei­len aber nicht für grö­sse­re Provider):

Aus­wahl des Auf­trags­ver­ar­bei­ters; “hin­rei­chen­de Garantien”

Der EDSA betont, dass der Ver­ant­wort­li­che ver­pflich­tet ist, nur Auf­trags­ver­ar­bei­ter ein­zu­set­zen, die hin­rei­chend Garan­tien für geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche (Sicherheits-)Massnahmen (“TOMs”) bie­ten (vgl. Art. 28 Abs. 1 DSGVO). Der Auf­trags­ver­ar­bei­ter muss die­se TOMs dabei so benen­nen, dass der Ver­ant­wort­li­che eine eige­ne Ent­schei­dung über ihre Ange­mes­sen­heit tref­fen und die­se Ent­schei­dung – gemäss dem Accoun­ta­bi­li­ty-Grund­satz – doku­men­tie­ren kann.

Der Ver­ant­wort­li­che kann sich des­halb nicht dar­auf beschrän­ken, ver­trag­lich “ange­mes­se­ne Sicher­heits­mass­nah­men” zu ver­lan­gen. Er muss viel­mehr eine den Umstän­den ange­mes­se­ne, eige­ne und doku­men­tier­te Risi­ko­ein­schät­zung tref­fen. Dabei hat er neben der Sen­si­ti­vi­tät der Daten ins­be­son­de­re fol­gen­de Fak­to­ren zu berücksichtigen:

  • das Fach­wis­sen des Auftragsverarbeiters;
  • sei­ne Zuverlässigkeit;
  • sei­ne Ressourcen;
  • u.U. auch sei­ne Reputation;
  • die Ein­hal­tung geneh­mig­ter Verhaltensregeln.

Die­se Sicher­heit muss der Auf­trags­ver­ar­bei­ter dau­er­haft bie­ten. Der EDSA sieht den Ver­ant­wort­li­chen daher in der Pflicht, sie “in regel­mä­ssi­gen Abstän­den” zu über­prü­fen, ggf. durch Audits.

Ver­ein­ba­rung mit dem Auftragsverarbeiter

Form

Der EDSA bestä­tigt zunächst, dass die Ver­ein­ba­rung zwi­schen Ver­ant­wort­li­chem und Auf­trags­ver­ar­bei­ter i.S.v. Art. 28 Abs. 3 DSGVO (“Auf­trags­da­ten­ver­ar­bei­tungs­ver­ein­ba­rung”; “ADV”) in jeder Text­form geschlos­sen wer­den kann, also auch elek­tro­nisch ohne den Ein­satz qua­li­fi­zier­ter Signa­tu­ren, nicht aber münd­lich. Der EDSA emp­fiehlt aber Unterschriftlichkeit.

Inhalt

Der Inhalt der Ver­ein­ba­rung wird in Tei­len in Art. 28 Abs. 3 DSGVO vor­ge­ge­ben. Der EDSA nimmt hier aber eine stren­ge Hal­tung ein, die ADV deut­lich umfang­rei­cher und die ent­spre­chen­den Ver­hand­lun­gen schwie­ri­ger machen könnte.

Fol­gen­de Punk­te müs­sen ADV gemäss dem EDSA ent­hal­ten (nicht abschlie­ssend; vor­be­hal­ten blei­ben die wei­te­ren Inhal­te nach Art. 28 Abs. 3 DSGVO):

  • Die Pflich­ten des Ver­ant­wort­li­chen (was sich aus Art. 28 Abs. 3 DSGVO nicht ergibt), z.B. die Pflicht, 
    • Wei­sun­gen zu geben und zu doku­men­tie­ren (was anschei­nend nicht dem Auf­trags­ver­ar­bei­ter über­las­sen wer­den darf; klar ist das aber nicht);
    • die Recht­mä­ssig­keit der Ver­ar­bei­tung sicherzustellen;
    • die Ver­ar­bei­tung des Auf­trags­ver­ar­bei­ters zu über­wa­chen (wobei der EDSA nicht begrün­det, wes­halb die­se Pflich­ten auch ver­trag­lich gegen­über dem Auf­trags­ver­ar­bei­ter zu über­neh­men sind, und in der Pra­xis ist das auch sel­ten der Fall).
  • gene­rell die Pflich­ten des Auf­trags­ver­ar­bei­ters, wobei es nicht genü­ge, nur den Wort­laut von Art. 28 DSGVO zu wiederholen;
  • die TOMs – das ist nach dem EDSA zwin­gen­der Bestand­teil des Ver­trags, der die TOMs nen­nen oder jeden­falls auf sie ver­wei­sen muss, und die TOMs müs­sen so detail­liert sein, dass der Ver­ant­wort­li­che ihre Ange­mes­sen­heit beur­tei­len (und sei­ner Accoun­ta­bi­li­ty-Pflicht nach­kom­men) kann;
  • zudem müs­se eine Pflicht ver­ein­bart wer­den, bei Ände­run­gen der TOMs die Zustim­mung des Ver­ant­wort­li­chen ein­zu­ho­len (was aller­dings nicht gel­ten kann, wenn das Sicher­heits­ni­veau dadurch nicht gesenkt wird); und eine Pflicht, die TOMs regel­mä­ssig zu prü­fen;
  • eine Beschrei­bung der Ver­ar­bei­tung, die dem Auf­trags­ver­ar­bei­ter ein Ver­ständ­nis der Risi­ken erlaubt und so detail­liert ist, dass der Gegen­stand der Ver­ar­bei­tung klar ist;
  • die Dau­er der Ver­ar­bei­tung oder die Kri­te­ri­en für ihre Bestimmung;
  • die Art und der Zweck der Ver­ar­bei­tung, so dass Drit­te – z.B. Auf­sichts­be­hör­den – den Gegen­stand und die Risi­ken der Ver­ar­bei­tung ein­schät­zen können;
  • die Art der ver­ar­bei­te­ten Daten, wobei “Per­so­nen­da­ten” nicht reicht; bei beson­de­ren Kate­go­rien von Per­so­nen­da­ten soll­ten die­se spe­zi­fi­ziert wer­den (“Gesund­heits­da­ten” usw.);
  • die Kate­go­rien der Betrof­fe­nen, eben­falls aus­rei­chend detailliert;
  • das Ver­bot der Unter­be­auf­tra­gung ohne Geneh­mi­gung des Ver­ant­wort­li­chen, wobei die­se Geneh­mi­gung wie von der DSGVO vor­ge­se­hen in all­ge­mei­ner Form mit einem Veto­recht kom­bi­niert ver­ein­bart wer­den kann. In die­sem Zusam­men­hang genü­ge es nicht, wenn der Auf­trags­ver­ar­bei­ter ledig­lich eine Liste der Unter­auf­trags­ver­ar­bei­ter nach­führt, ohne den Ver­ant­wort­li­chen dar­auf hin­zu­wei­sen; der Auf­trags­ver­ar­bei­ter muss Wech­sel viel­mehr aktiv mit­tei­len (“actively indi­ca­te or flag”);
  • auch muss der Auf­trags­ver­ar­bei­ter geneh­mig­ten Unter­auf­trags­ver­ar­bei­tern in der Sache die Pflich­ten aus dem ADV über­bin­den. Dazu gehö­re auch das Audit­recht “des Ver­ant­wort­li­chen” oder eines von die­sem beauf­trag­ten Prü­fers, was danach klingt, dass der Ver­ant­wort­li­che selbst – und nicht der Auf­trags­ver­ar­bei­ter – die­ses Recht haben muss, durch die gan­ze Ket­te von Auf­trags­ver­ar­bei­tern hin­durch (ein­deu­tig ist der EDSA hier aber eben­falls nicht);
  • die Pflicht des Auf­trags­ver­ar­bei­ters, dem Ver­ant­wort­li­chen bei der Beant­wor­tung von Betrof­fe­nen­be­geh­ren zu unter­stüt­zen, wobei es genü­gen kann, wenn der Auf­trags­ver­ar­bei­ter Anfra­gen wei­ter­lei­tet (eine Erstreckung der Ant­wort­frist kom­me nicht in Fra­ge, nur weil Infor­ma­tio­nen des Auf­trags­ver­ar­bei­ters beschafft wer­den müs­sen). Jeden­falls sol­le der Ver­ant­wort­li­che selbst ent­schei­den, wie auf Betrof­fe­nen­be­geh­ren zu reagie­ren ist;
  • die Pflicht, den Ver­ant­wort­li­chen im Zusam­men­hang mit Sicher­heits­mass­nah­men zu unter­stüt­zen. Hier genü­ge es nicht, die­se Unter­stüt­zungs­pflich­ten ledig­lich zu wie­der­ho­len; viel­mehr müs­se der ADV spe­zi­fi­zie­ren, auf wel­che Wei­se zu unter­stüt­zen ist (zum Bei­spiel durch ver­ein­bar­te Abläu­fe und Vor­la­gen in einem Annex). Aller­dings kön­ne Art und Umfang der Unter­stüt­zung stark schwan­ken. Sicher­heits­ver­let­zun­gen sei­en aber jeweils unver­züg­lich mit­zu­tei­len; emp­foh­len sei die Ver­ein­ba­rung einer maxi­ma­len Mit­tei­lungs­frist und eines Ansprechpartners;
  • die Pflicht, Daten nach dem Ende der Auf­trags­ver­ar­bei­tung zu löschen oder zurück­zu­ge­ben. Der ADV kann das Ver­fah­ren fest­le­gen (wobei der Ver­ant­wort­li­che sei­ne Mei­nung in die­sem Fall spä­ter ändern darf) oder eine ent­spre­chen­de Anwei­sung des Ver­ant­wort­li­chen vor­be­hal­ten, wobei hier der Pro­zess der ent­spre­chen­den Anwei­sung abge­bil­det wer­den sol­le. Der Auf­trags­ver­ar­bei­ter soll­te die Löschung bestätigen;
  • die Pflicht, beim Nach­weis der Com­pli­ance zu unter­stüt­zen. Der ADV sol­le fest­le­gen, wel­che Infor­ma­tio­nen dazu wie häu­fig über­mit­telt wer­den sol­len, z.B. Anga­ben über die Funk­ti­on der Syste­me den Auf­trags­ver­ar­bei­ters, Sicher­heits­mass­nah­men, Stand­ort und Auf­be­wah­rung von Daten, Zugriff auf und Über­mitt­lun­gen von Daten, Unter­auf­trags­ver­ar­bei­ter usw.;
  • den Umgang mit wider­recht­li­chen Wei­sun­gen, z.B. ein Abstim­mungs­ver­fah­ren und ein Kün­di­gungs­recht des Auf­trags­ver­ar­bei­ters, soll­te der Ver­ant­wort­li­che an einer wider­recht­li­chen Wei­sung festhalten.

Wei­sungs­bin­dung

Der Auf­trags­ver­ar­bei­ter ist defi­ni­ti­ons­ge­mäss an die Wei­sungs­ge­walt des Ver­ant­wort­li­chen gebun­den. Über­schrei­tet er sei­ne Kom­pe­ten­zen, kann er zum Ver­ant­wort­li­chen wer­den (sofern er Zwecke und essen­ti­al means (mit-)bestimmt).

Die Wei­sun­gen kön­nen sich laut EDSA z.B. auf den Umgang mit Per­so­nen­da­ten und Sicher­heits­mass­nah­men bezie­hen. Eine abschlie­ssen­de Liste fin­det sich hier nicht; klar ist aber, dass sich das Wei­sungs­recht nur auf die Ver­ar­bei­tung von Per­so­nen­da­ten bezieht, wes­halb der Auf­trags­ver­ar­bei­ter kaum zu befürch­ten braucht, mit dem Wei­sungs­recht wer­de der Lei­stungs­ver­trag aus­ge­he­belt (auch wenn dies in der Pra­xis zu Ver­hand­lun­gen führt).

Wei­sun­gen sind fer­ner zu doku­men­tie­ren (wie ange­spro­chen wohl durch den Ver­ant­wort­li­chen). Der EDSA emp­fiehlt des­halb, in die Ver­ein­ba­rung einen Pro­zess zur Ertei­lung der Wei­sun­gen auf­zu­neh­men, z.B. durch eine Muster­wei­sung; zwin­gend ist das aber nicht, es reicht, Wei­sun­gen in Text­form zu über­mit­teln. Sie soll­ten laut EDSA aber zusam­men mit der Ver­ar­bei­tung auf­be­wahrt wer­den. Das deu­tet dar­auf hin, dass es kei­ne “Wei­sung” in die­sem Sin­ne dar­stellt, wenn der Ver­ant­wort­li­che selbst mit den Auf­trags­da­ten inter­agiert, z.B. geho­ste­te Daten löscht, obwohl die­se Löschung Infra­struk­tur des Auf­trags­ver­ar­bei­ters ver­wen­det. Ent­spre­chend müs­sen sol­che Wei­sun­gen auch nicht eigens doku­men­tiert wer­den (soweit sich eine Nach­ver­folg­bar­keit nicht aus dem Gebot der Daten­si­cher­heit ergibt).

Ver­trau­lich­keit

Der Auf­trags­ver­ar­bei­ter muss sicher­stel­len – und der ADV muss dies vor­schrei­ben -, dass die Per­so­nen unter sei­ner unmit­tel­ba­ren Ver­ant­wor­tung (z.B. Arbeit­neh­mer) einer Ver­trau­lich­keits­pflicht unter­lie­gen. Hier genügt aber eine gesetz­li­che Pflicht, z.B. aus dem Arbeits- oder Auf­trags­recht; der Auf­trags­ver­ar­bei­ter ist daher nicht ver­pflich­tet, NDAs unter­schrei­ben zu lassen.

Unter­auf­trags­ver­hält­nis­se

Wie bereits erwähnt müs­se der Auf­trags­ver­ar­bei­ter den Ver­ant­wort­li­chen auch bei einer all­ge­mei­nen Geneh­mi­gung jeweils aktiv mit­tei­len, wel­che Unter­auf­trags­ver­ar­bei­ter er ein­zu­set­zen beab­sich­tigt. Dabei müs­se der Auf­trags­ver­ar­bei­ter min­de­stens den Stand­ort, das Auf­ga­ben­ge­biet und die getrof­fe­nen Sicher­heits­mass­nah­men mit­tei­len (“pro­of of what safe­guards have been imple­men­ted”). Die­se Infor­ma­ti­on sei not­wen­dig, damit der Ver­ant­wort­li­che sei­ner Accoun­ta­bi­li­ty-Pflicht ent­spre­chen kann. In die­sem System sol­le der Ver­ant­wort­li­che zudem ange­ben, nach wel­chen Kri­te­ri­en der Auf­trags­ver­ar­bei­ter sei­ne Unter­auf­trags­ver­ar­bei­ter aus­zu­wäh­len hat. Das dürf­te in der Pra­xis noch zu reden geben.

Wei­te­re Begriffsbestimmungen

Art. 4 Nr. 10 DSGVO defi­niert den “Drit­ten” in Abgren­zung zum den ande­ren Rol­len und erwähnt dabei auch Stel­len, die “unter der unmit­tel­ba­ren Ver­ant­wor­tung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters” tätig wer­den. Dar­auf nimmt Art. 29 DSGVO Bezug; die­se Bestim­mung hält fest, dass “dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter unter­stell­te” Per­so­nen Daten nur wei­sungs­ge­mäss ver­ar­bei­ten dür­fen. Dabei han­delt es sich jeweils um den glei­chen Per­so­nen­kreis, näm­lich Arbeit­neh­mer und arbeit­neh­mer­ähn­li­che Personen:

It is, howe­ver, gene­ral­ly under­s­tood asre­fer­ring to per­sons that belong to the legal enti­ty of the con­trol­ler or pro­ces­sor (an employee or a role high­ly com­pa­ra­ble to that of employees, e.g. inte­rim staff pro­vi­ded via a tem­po­ra­ry employment agen­cy) but only inso­far as they are aut­ho­ri­zed to pro­cess per­so­nal data.

Ein “Drit­ter” ist sodann jede Stel­le, die weder betrof­fe­ne Per­son noch Ver­ant­wort­li­cher noch Auf­trags­ver­ar­bei­ter ist und weder als Mit­ar­bei­ter ange­stellt noch in ver­gleich­ba­rer Posi­ti­on für einen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter tätig ist (Art. 4 Nr. 10 DSGVO).

Ein “Emp­fän­ger” schliess­lich ist jede Stel­le ausser­halb des Ver­ant­wort­li­chen, der die­ser Per­so­nen­da­ten zugäng­lich macht, z.B. ein ande­rer Ver­ant­wort­li­cher oder ein Auf­trags­ver­ar­bei­ter (ausser EU-Behör­den im Rah­men einer Unter­su­chung; Erwä­gungs­grund 31: “Behör­den, gegen­über denen per­so­nen­be­zo­ge­ne Daten auf­grund einer recht­li­chen Ver­pflich­tung für die Aus­übung ihres offi­zi­el­len Auf­trags offen­ge­legt wer­den […] soll­ten nicht als Emp­fän­ger gelten”).