Kurzbeitrag : Praxisfälle zum Datenschutzrecht XXXV: Einschaltung von Dienstleistern – Besser am Anfang schon ans Ende denken : aus der RDV 4/2025, Seite 190 bis 194

Der Auftragsverarbeitungsvertrag besagt nichts Konkretes zur Art und Weise der Abwicklung der Beendigung des Vertragsverhältnisses bzw. Kosten der Beendigung, die ggf. entstehen, wenn der Auftraggeber die im Auftrag verarbeiteten Daten in einem marktüblichen Format zur Verfügung gestellt bekommen möchte. Mit Blick auf eine Beendigung des Auftragsverarbeitungsverhältnisses werden lediglich die Vorgaben nach Art. 28 Abs. 3 lit. g) DS‑GVO wiederholt.

Muss K in den sauren Apfel beißen und den hohen Betrag bezahlen oder besteht die Möglichkeit, die gewünschten Informationen über die DS‑GVO vom Dienstleister zu erhalten?

II. Musterlösung

1. Anspruch auf Herausgabe der Daten im marktüblichen Format auf Basis der Auftragsverarbeitung?

A könnte auf Basis der DS‑GVO-Bestimmungen zur Auftragsverarbeitung zur Herausgabe der verarbeiteten Mandantendatensätze an K verpflichtet sein.

Dazu müsste es sich bei der von A erbrachten Dienstleistung um eine Auftragsverarbeitung handeln und A müsste zudem als Auftragsverarbeiter (Art. 28 DS‑GVO) rechtlich verpflichtet sein, K die begehrten Daten in einem marktüblichen Format herauszugeben.

a) Vorliegen einer Auftragsverarbeitung

Maßgebliches Kriterium für die Unterscheidung zwischen einem – ggf. auch gemeinsam^[1] – datenschutzrechtlich Verantwortlichen (Art.  4 Nr.  7 DS‑GVO) und einem Auftragsverarbeiter (Art. 28 DS‑GVO) ist die Weisungsgebundenheit des Auftragsverarbeiters im Verhältnis zum Auftraggeber. Während datenschutzrechtlich Verantwortliche steuernden Einfluss auf die Zwecke und wesentlichen Mittel der personenbezogenen Datenverarbeitung haben, unterwirft sich der Auftragsverarbeiter diesbezüglich den Vorgaben des Auftraggebers und wird nur als dessen „verlängerter Arm“ tätig.

Die Bereitstellung von Speicherplatz und Ressourcen auf einem Server (sog. Hosting) stellt einen klassischen An‑ wendungsfall der Auftragsverarbeitung dar. Insbesondere haben entsprechende Dienstleister über die Erbringung des Services hinaus kein Interesse an den verarbeiteten Infor‑ mationen, d.h., sie verfolgen mit den Informationen keine eigenen Zwecke, sondern werden typischerweise rein wei‑ sungsgebunden tätig. Ausgelagert wird nur eine technische Unterstützungs-/Hilfsfunktion bezogen auf einen konkreten Teilaspekt (Datenspeicherung) des Gesamtprozesses „Mandantenbetreuung“.^[2]

A ist also mit Blick auf die Verarbeitung der Mandanten‑ datensätze als Auftragsverarbeiter i.S.v. Art. 28 DS‑GVO an‑ zusehen.

b) Verpflichtung des Auftragsverarbeiters, die verarbeiteten Daten nach Vertragsende in einem gängigen Format zur Verfügung zu stellen?

Fraglich ist allerdings, ob aus der Stellung von A als Auftragsverarbeiter des K auch eine Verpflichtung resultiert, K die verarbeiteten Daten nach Vertragsende in einem gängigen Format zur Verfügung zu stellen. Dies könnte insofern naheliegen, als es sich datenschutzrechtlich um Informationen handelt, die K als Verantwortlichem im Sinne der DS‑GVO zuzuordnen sind, und A mit Bezug auf die im Auftrag verarbeiteten Informationen keine eigenständige Verarbeitungsbefugnis zukommt.

Nach der DS‑GVO gibt es gem. Art. 28 Abs. 3 S. 2 lit. g) allerdings zwei Alternativen, wie ein Auftragsverhältnis datenschutzkonform beendet werden kann, nämlich erstens die Löschung der im Auftrag verarbeiteten Daten durch den Dienstleister und zweitens die Rückgabe der Daten an den Auftraggeber unter gleichzeitiger Löschung der vorhandenen Kopien. Jedenfalls die erste Alternative bietet der Dienstleister hier ohne zusätzliche Kosten an, wodurch dem Daten‑ schutz genüge getan sein dürfte.

Zwar stellt nach dem ausdrücklichen Wortlaut von Art. 28 Abs.  3 S. 2 lit.  g) die DS‑GVO auf die „Wahl des Verantwort‑ lichen“ ab hinsichtlich der Frage, ob im Auftrag verarbeitete Daten zurückgegeben werden sollen oder aber nur^[3]gelöscht. Der Dienstleister lässt dem Auftraggeber vorliegend aber durchaus diese Wahl, er verlangt nur im Fall einer bestimmten Entscheidung des Auftraggebers eine zusätzliche Vergütung. Fragen der Vergütung im Zusammenhang von Dienst‑ leistungen sind aber grundsätzlich auf zivilrechtlicher Ebene zu beantworten. Ob bzw. welche Vergütung für eine Leistung gefordert wird, ist im Ausgangspunkt Frage der Privatautonomie. Etwas anderes mag im Einzelfall gelten, wenn aufgrund unangemessener finanzieller Forderungen des Dienstleisters die Gefahr besteht, dass datenschutzrechtliche Pflichten vernachlässigt werden könnten. Dies kann etwa relevant werden, wenn ein Auftragsverarbeiter ein gesondertes Entgelt für die gesetzlich angelegten Kontrollen (Art.  28 Abs.  3 S. 2 lit.  h) DS‑GVO) des Verantwortlichen mit Blick auf die Auftragsverarbeitung vorsieht.^[4]Dafür bestehen mit Blick auf den hier zu beurteilenden Sachverhalt keine Ansatzpunkte.

A ist damit nicht auf Basis der DS‑GVO-Bestimmungen zur Auftragsverarbeitung zur Herausgabe der verarbeiteten Mandantendatensätze an K verpflichtet.

2. Anspruch auf Basis von Art. 20 DS-GVO (Datenportabilität)

In ihrem Art. 20 sieht die DS‑GVO explizit die Möglichkeit vor, personenbezogene Daten „in einem strukturierten, gängigen und maschinenlesbaren Format“ zu erhalten und damit in der Form, die der Kanzlei A im vorliegenden Fall weiterhelfen würde.

Mit diesem sog. Recht auf Datenportabilität, das mit Inkrafttreten der DS‑GVO neu eingeführt wurde, dessen prak‑ tische Bedeutung allerdings im Ergebnis gering geblieben ist, sollte v.a. Internetnutzern ermöglicht werden, „ihre“ Daten, die sie im Rahmen der Nutzung von Online-Diensten (etwa sozialen Netzwerken) bereitgestellt haben, zu anderen On‑ line-Diensten mitzunehmen.^[5]

Im Detail gewährt Art. 20 DS‑GVO unter den dort im Ein‑ zelnen geregelten Voraussetzungen zwei verschiedenartige Rechte: Zum einen kann die betroffene Person verlangen, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Recht auf Erhalt^[6]). Zum anderen kann die betroffene Person die direkte Übermittlung der einem (ersten) Verantwortlichen bereitgestellten personenbezogenen Daten an einen anderen (zweiten) Verantwortlichen erwirken (Recht auf Erwirkung der direkten Übermittlung^[7]). Mit Blick auf die Weiterverwendbarkeit der Informationen, die auf den Antrag hin zur Verfügung zu stellen sind, ist der Anspruch nach Art. 20 DS‑GVO insoweit weiter als derjenige auf Auskunft aus Art. 15 DS‑GVO und ergänzt diesen.

Die vorstehenden Ausführungen zeigen bereits, dass Art. 20 DS‑GVO der Anwaltskanzlei hier nicht weiterhelfen kann: Bei dem Recht aus Art. 20 DS‑GVO handelt es sich um einen Anspruch der „betroffenen Person“, d.h. derjenigen natürlichen Person, deren personenbezogene Daten verar‑ beitet werden (vgl. Art. 4 Nr. 1 DS‑GVO), gegen den Verantwortlichen. Als betroffene Personen anzusehen sind hier primär die Mandanten der Kanzlei, über welche Informatio‑ nen in den bei A gespeicherten Datensätzen enthalten sind, ggf. zudem die jeweils sachbearbeitenden Rechtsanwälte. Die Anwaltskanzlei selbst kann als juristische Person nicht betroffene Person im Sinne der DS‑GVO sein und damit auch nicht Antragstellerin im Rahmen von Art. 20 DS‑GVO. Im Übrigen ist der Anspruch aus Art.  20 DS‑GVO, wie be‑ reits ausgeführt, gegen den Verantwortlichen (Art. 4 Nr. 7 DS‑GVO) gerichtet. Vorliegend geht es aber um ein Begeh‑ ren des Verantwortlichen selbst gegen seinen Auftragsverarbeiter.

Ein Anspruch der Kanzlei gegen ihren bisherigen Dienstleister auf Herausgabe der Mandantendatensätze auf Basis von Art. 20 DS‑GVO scheidet damit aus.

III. Ergänzende Praxisinformationen

1. Zivilrechtliche Beurteilung mit Blick auf die Herausgabe der Daten

Wie dargestellt, ist die Frage, ob K für die Bereitstellung der Daten in einem gängigen Format zusätzlich zahlen muss, eine solche, die auf zivilrechtlicher Ebene zu klären ist. Datenschutzrechtlich hat K keinen Anspruch auf entsprechende Bereitstellung der durch A verarbeiteten Informationen.

Entscheidend wird zivilrechtlich insbesondere die Auslegung des zwischen den Parteien geschlossenen Dienstleistungsvertrages sein und in diesem Zusammenhang konkret die Natur der erbrachten Dienstleistung. Die Vertragsauslegung (§§  133, 157 Bürgerliches Gesetzbuch – BGB)^[8] ist ein Verfahren, um den Inhalt eines Vertrags zu ermitteln, wenn dieser nicht eindeutig ist oder eine Lücke im Vertrag besteht. Bei der Vertragsauslegung ist der wirkliche Wille der Vertragsparteien zu erforschen.

Hier ist die vertragliche Vereinbarung zwischen K und A insofern nicht eindeutig, als zwar klar ist, dass K als Auftraggeber bei Vertragsende mit Blick auf die im Auftrag verarbeiteten Daten ein Wahlrecht hat, nämlich dahingehend, ob vom Auftragnehmer eine „Rückgabe“ der Informationen oder lediglich Löschung verlangt wird, fraglich ist aber bereits, ob die getroffene Vereinbarung auch auf die Bereitstellung der Daten in einem marktüblichen Format gerichtet oder es bereits ausreichend ist, wenn der Auftragnehmer die Daten in dem Format bereitstellt, in welchem sie bei ihm vorliegen. Unklar ist des Weiteren, ob der Auftragnehmer für eine „Rückgabe“ der Daten eine extra Vergütung verlangen kann oder ob dies als Service anzusehen ist, welcher durch die erbrachten regelmäßigen Zahlungen des Auftraggebers als mitabgedeckt anzusehen ist.

Als Argument im Rahmen der Auslegung ließe sich anführen, dass, obwohl im Vertrag wie auch in der DS‑GVO beide Optionen (Löschung oder „Rückgabe“) vorgesehen sind, auf‑ grund der Natur der Dienstleistung – insbes. der weiteren Angewiesenheit auf die Informationen für das laufende Geschäft bzw. die Wahrung bestehender Aufbewahrungspflichten – im konkreten Fall nur die Rückgabe der Daten gemeint sein konnte und diese insofern auch mit den bisherigen regelmäßigen Zahlungen an den Dienstleister abgegolten ist. Zu beachten ist allerdings, dass, soweit ersichtlich, keine einschlägige Literatur bzw. Rechtsprechung zu dieser praxisrelevanten Frage besteht und es kaum prognostizierbar ist, ob ein Gericht der dargestellten Argumentation folgen würde.

Jedenfalls, dass auch die Umwandlung der Daten in ein anderes Format ohne Zusatzzahlung geschuldet ist, kann angesichts der bei der Auslegung von Verträgen zu beachtenden Wortlautgrenze mit guten Gründen bezweifelt werden. Die Wortlautgrenze ist ein entscheidendes Kriterium bei der Bestimmung, ob noch Auslegung oder bereits – unzulässige – Rechtsfortbildung betrieben wird.

Fazit: Der vorliegende Fall zeigt deutlich, wie wichtig es in der Praxis ist, bei der Vergabe von Dienstleistungen bereits am Anfang an das Ende zu denken. Es sollte nicht nur die pauschale Regelung aus Art. 28 Abs. 3 S. 2 lit. g) DS‑GVO übernommen werden in den Vertrag, sondern konkrete Ver‑ einbarungen insbes. dazu getroffen werden, in welchem Format die verarbeiteten Informationen nach Vertragsende bereitzustellen sind und ob hierfür eine zusätzliche Vergütung gezahlt werden soll.

2. Anforderungen an einen Anspruch auf Datenportabilität (Art. 20 DS-GVO)

Wie ausgeführt, scheitert ein Anspruch auf Datenportabilität aus Art. 20 DS‑GVO vorliegend bereits daran, dass es sich um einen Anspruch der betroffenen Person gegen den Verantwortlichen handelt, hier der Anspruch aber weder von einer betroffenen Person noch gegen den Verantwortlichen geltend gemacht wird.^[9]

Anders als bei dem verwandten Anspruch auf Auskunft aus Art. 15 DS‑GVO, der voraussetzungslos geltend gemacht werden kann, müssten mit Blick auf den Anspruch auf Datenportabilität im Übrigen gleich mehrere Voraussetzungen kumulativ erfüllt sein, damit ein Verantwortlicher entsprechend verpflichtet ist. Im Einzelnen stellt Art. 20 DS‑GVO folgende Anforderungen, damit ein Anspruch nach der Norm gegeben ist, d.h. wahlweise ein Recht auf Erhalt der Daten bzw. eines auf Erwirkung der direkten Übermittlung derselben^[10]:

• Es muss um solche personenbezogenen Daten gehen, welche die betroffene Person dem Verantwortlichen i.S.v. Art. 20 DS‑GVO „bereitgestellt“ hat (Beispiel: Angaben zu Kontaktdaten, Alter etc.). Durch Verantwortliche selbst generierte Daten mit Bezug auf die betroffene Person sind nicht Gegenstand des Anspruchs.^[11]
• Gegenstand des Anspruchs sind nur Daten, deren Ver‑ arbeitung aufgrund einer Einwilligung oder eines Ver‑ trages erfolgt.
• Der Anspruch bezieht sich schließlich nur auf Daten, die mithilfe automatisierter Verfahren verarbeitet werden.

* RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016.

_{[1] Vgl. Art. 26 DS‑GVO.}

_{[2] Für Kriterien zur Abgrenzung der Auftragsverarbeitung zur (alleinigen bzw. gemeinsamen) datenschutzrechtlichen Verantwortlichkeit vgl. GDD, Praxis‑ hilfe DS‑GVO Joint Controllership, Vers. 1.0 (Dez. 2019), Abschn. 9.1.}

_{[3] Im Fall der „Rückgabe“ der Daten muss der Auftragnehmer bei ihm verblei‑ bende Daten im Nachgang ebenfalls löschen}

_{[4] EDSA, Leitlinien 7/2020 (Vers. 2.0 v. 07.07.2021) Rn. 145; zum Ganzen auch BayLfD, Aktuelle Kurz-Information 6: Entgeltpflicht für Kontrollen bei der Auf‑ tragsverarbeitung?, 15.11.2021}

_{[5] Brandt/Grewe, MMR 2023, 928 (929).}

_{[6] Schwartmann/Jaspers/Thüsing/Kugelmann/Rudolph, DS‑GVO/BDSG, 3. Aufl. (2024), DS‑GVO Art. 20 Rn. 13.}

_{[7] Schwartmann/Jaspers/Thüsing/Kugelmann/Rudolph, DS‑GVO/BDSG, 3. Aufl. (2024), DS‑GVO Art. 20 Rn. 13}

_{[8] § 133 BGB: „Bei der Auslegung einer Willenserklärung ist der wirkliche Wil‑ le zu erforschen und nicht an dem buchstäblichen Sinne des Ausdrucks zu haften.“ § 157 BGB: „Verträge sind so auszulegen, wie Treu und Glauben mit Rücksicht auf die Verkehrssitte es erfordern.“}

_{[9] Vgl. oben unter II.2.}

_{[10] Vgl. auch oben II.2}

_{[11] Schwartmann/Jaspers/Thüsing/Kugelmann/Rudolph, DS‑GVO/BDSG, 3. Aufl. (2024), DS‑GVO Art. 20 Rn. 58.}