DA+

Aufsatz : (Fehlende) Privilegierung der Auftragsverarbeitung unter der Datenschutz-Grundverordnung? : aus der RDV 6/2016, Seite 307 bis 312

Lesezeit 20 Min.

Anders als noch die Datenschutzrichtlinie 95/46/EG regelt die Datenschutz-Grundverordnung[1] die Auftragsdatenverarbeitung äußerst detailliert. Dabei hat der europäische Verordnungsgeber jedoch auf eine ausdrückliche Privilegierung der Verarbeitung im Auftrag, wie sie im derzeit noch gültigen nationalen Datenschutzrecht gemäß § 3 Abs. 8 S. 2 und 3 BDSG enthalten ist, verzichtet. Die Weitergabe von personenbezogenen Daten vom Auftraggeber an den Auftragnehmer bedarf gleichwohl auch unter der Datenschutz-Grundverordnung keiner eigenen Rechtfertigung und ist im Rahmen der Zulässigkeit der Auftragsverarbeitung als Ganzes datenschutzrechtlich zu bewerten.

I. Einleitung

In der datenschutzrechtlichen Praxis dient die Auftragsdatenverarbeitung Unternehmen als zentrales Instrument, um externe Dienstleister in die eigenen Datenverarbeitungsvorgänge zu involvieren. Beispielsweise im Bereich des Cloud Computings oder Outsourcings kommt die Auftragsdatenverarbeitung vielfach zum Einsatz. Nicht selten sind an der Auftragsdatenverarbeitung mehr als ein spezialisierter Dienstleister beteiligt.[2] Die Einzelheiten der mit der Dienstleistung verbundenen Datenverarbeitung durch den Auftragnehmer werden in einem speziellen Auftragsdatenverarbeitungsvertrag geregelt. Dieser ist vor Beginn der Verarbeitung zwischen dem Auftraggeber und Auftragnehmer zu schließen. Mittlerweile lässt sich eine Vielzahl von Mustern für solche Verträge finden,[3] was noch einmal verdeutlicht, wie etabliert die Auftragsdatenverarbeitung in der Praxis ist.

II. Privilegierungswirkung der Auftragsdatenverarbeitung nach Datenschutzrichtlinie und BDSG

Ein Grund für die große praktische Bedeutung der Auftragsdatenverarbeitung ist ihre Privilegierungswirkung. Liegen die Voraussetzungen des § 11 BDSG für die Auftragsdatenverarbeitung vor, gilt die Datenweitergabe vom Auftraggeber an den Auftragnehmer nicht als Übermittlung i.S.d. § 3 Abs. 4 Nr. 3 BDSG.[4] Übermittlungen in Form der aktiven Weitergabe personenbezogener Daten an einen Dritten oder durch die Einrichtung von Einsichtnahme- oder Abrufmöglichkeiten sind als Verarbeitungsvorgänge grundsätzlich gemäß § 4 Abs. 1 BDSG rechtfertigungsbedürftig. Der Auftragnehmer im Rahmen der Auftragsdatenverarbeitung zählt indes gerade nicht zu den genannten „Dritten“. Hintergrund ist ein in § 3 Abs. 8 S. 2 und 3 BDSG verankerter „gesetzlicher Kunstgriff“[5], wonach Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder einem anderen Vertragsstaat des Abkommens über den europäischen Wirtschaftsraum (EWR) personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, nicht Dritte im datenschutzrechtlichen Sinne sind. Infolgedessen bedarf es für die Datenweitergabe vom Auftraggeber an den Auftragnehmer keiner Rechtfertigung in Form einer Einwilligung oder eines sonstigen gesetzlichen Erlaubnistatbestandes. Es wird insoweit sogar davon ausgegangen, dass im Anwendungsbereich des § 3 Abs. 8 S. 2 BDSG die Auftragsdatenverarbeitung die gesetzliche Zulässigkeit oder das Erfordernis einer Einwilligung „ersetzt“.[6] Die Privilegierung der Auftragsdatenverarbeitung ist jedoch nicht als Absenkung des Datenschutzniveaus bei der Einschaltung eines externen Dienstleisters zu verstehen.[7] Bei der Datenübergabe vom Auftraggeber an den Auftragnehmer bei einer Auftragsdatenverarbeitung wird die Ausnahme vom datenschutzrechtlichen Verbotsprinzip durch die Vereinbarung und zwingende Einhaltung der technischen und organisatorischen Maßnahmen kompensiert, um zu gewährleisten, dass die Daten der Betroffenen ausreichend geschützt sind. Es wird zudem in Bezug auf den Auftragsdatenverarbeiter davon ausgegangen, dass dieser grundsätzlich kein eigenes inhaltliches Interesse an den Daten der Betroffenen hat, sodass von ihm ein geringeres Risiko einer zweckfremden Datenverarbeitung ausgeht als vom Dritten i.S.v. § 3 Abs. 8 BDSG.[8]

Hervorzuheben ist ferner, dass die Privilegierung nur bei der Einschaltung von Dienstleistern gilt, die ihren Sitz innerhalb der EU oder im EWR haben.[9] Bei der Beauftragung von Dienstleistern aus den USA, Indien oder anderen Drittstaaten, die im Zuge der Digitalisierung erhebliche Bedeutung erlangt haben, ist die Datenweitergabe im Rahmen der Auftragsdatenverarbeitung dagegen nicht privilegiert und bedarf stattdessen einer gesonderten Erlaubnis. Dies gilt im Übrigen auch für Drittstaaten, denen die europäische Kommission ein angemessenes Datenschutzniveau[10] attestiert hat.[11]

Die Regelungen in Art. 17 Abs. 2 und 3 der Datenschutzrichtlinie 95/46/EG bilden den europarechtlichen Rahmen für die Auftragsdatenverarbeitung. Dabei beschränken sich die Vorgaben jedoch weitgehend auf Aspekte der Datensicherheit, der Kontrolle und der Art der Beauftragung. Zusätzlich wird in Art. 2 lit. e) RL 95/46/EG der „Auftragsverarbeiter“ legaldefiniert. Danach ist der „Auftragsverarbeiter“ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Ebenso wie im BDSG wird der Auftragsverarbeiter nicht als datenschutzrechtlich Dritter gemäß Art. 2 lit. f) RL 95/46/EG angesehen. Da die Datenschutzrichtlinie 95/46/ EG keine Legaldefinition der Übermittlung enthält, ist die Privilegierung der Auftragsdatenverarbeitung gemäß § 11 BDSG im Hinblick auf die Weitergabe der Daten vom Auftraggeber zum Auftragsverarbeiter nicht ausdrücklich in der Richtlinie vorgesehen und somit nicht zwingend. Der Europäische Gesetzgeber lässt also zumindest offen, ob in dieser Konstellation der Tatbestand der Übermittlung erfüllt ist oder bei der Auftragsdatenverarbeitung eine Ausnahme vom allgemeinen Verbot mit Erlaubnisvorbehalt vorliegt.

III. Datenweitergabe vom Auftraggeber an den Auftragnehmer nach der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung, welche gemäß Art. 99 Abs. 2 DS-GVO ab dem 25. Mai 2018 unmittelbar zur Anwendung kommen wird, löst künftig sowohl die Datenschutzrichtlinie 95/46/EG als auch das Bundesdatenschutzgesetz in seiner jetzigen Form ab. Aufgrund dessen wird die deutsche Privilegierung der Auftragsdatenverarbeitung in § 3 Abs. 8 S. 2 und 3 BDSG nicht mehr zur Anwendung kommen. Geplant ist, dass mittels eines Datenschutz-Anpassung- und Umsetzungsgesetz EU (DSAnpUG-EU) an die Stelle des Bundesdatenschutzgesetz ein neues Bundesdatenschutzgesetz tritt. Mangels einer Öffnungsklausel in der DatenschutzGrundverordnung bzgl. der Definitionsvorgaben in Art. 4 DSGVO wird es auch im Allgemeinen Bundesdatenschutzgesetz künftig keine Definition des datenschutzrechtlich Dritten samt einer Privilegierung für die Auftragsverarbeitung geben.

Ob und inwiefern die Datenschutz-Grundverordnung selbst die Auftragsverarbeitung weiterhin und dann gesamteuropäisch privilegiert, ist derzeit in der Diskussion. Die Verordnung bestimmt wie die Datenschutzrichtlinie, aber anders als das BDSG, nicht, wann eine Übermittlung vorliegt. Damit ist unter dem Regime der DS-GVO mangels ausdrücklicher Privilegierung nicht mehr ausgeschlossen, dass der Tatbestand der Übermittlung bzw. der Verarbeitung auch bei einer Datenweitergabe an einen Auftragsverarbeiter erfüllt ist. Dass der Auftragsverarbeiter gemäß Art. 4 Nr. 10 DS-GVO nicht Dritter ist, führt nicht automatisch zu einer Privilegierung.[12] Infolgedessen käme es auch nicht mehr zu der im nationalen Datenschutzrecht bekannten Privilegierung der Auftragsdatenverarbeitung. Die Datenweitergabe wäre gegebenenfalls zu rechtfertigen.

Im politischen Prozess bis hin zum Trilog wurden die diesbezüglichen Unklarheiten scheinbar ignoriert bzw. zumindest versäumt, in den Legaldefinitionen „Verarbeitung“, „Auftragsverarbeiter“ und „Dritter“ in Art. 4 DS-GVO die jeweiligen Zusammenhänge klar darzustellen. Dabei wurde bereits früh darauf hingewiesen, dass die DatenschutzGrundverordnung in Bezug auf die infrage stehende Privilegierungswirkung keine klare Aussage trifft,[13] sodass die derzeitige Praxis der Auftragsdatenverarbeitung von erheblicher Rechtsunsicherheit bedroht ist.

Zu der Frage, wie mit dieser Situation umzugehen bzw. wie die Regelungen der Datenschutz-Grundverordnung nun auszulegen sind, haben sich erste Ansätze herausgebildet. Denkbar sind folgende Ansätze, die die Praktikabilität der Auftragsverarbeitung trotz des Fehlens einer § 3 Abs. 8 S. 3 BDSG entsprechenden Vorschrift und der Beibehaltung des generellen Verbots mit Erlaubnisvorbehalt in der Datenschutz-Grundverordnung auch weiterhin im Ergebnis gleichwertig gewährleisten könnten:[14]

  • Rückgriff auf die allgemeinen Erlaubnistatbestände: Die Datenweitergabe vom Auftraggeber an den Auftragnehmer bzw. Auftragsverarbeiter im Rahmen der Auftragsverarbeitung könnte mittels der Rechtfertigungstatbestände der Datenschutz-Grundverordnung legitimiert werden. Insbesondere bei einfachen personenbezogenen Daten könnte der Datentransfer auf Art. 6 Abs. 1 S. 1 lit f. DS-GVO (Wahrung der berechtigten Interessen) gestützt sein.
  • Art. 28 DS-GVO als eigenständiger Erlaubnistatbestand für die Datenweitergabe: Die zentrale Norm der DatenschutzGrundverordnung für die Auftragsverarbeitung – Art. 28 DS-GVO – könnte als eigener Rechtfertigungstatbestand für die Datenverarbeitung im Zuge der Auftragsverarbeitung verstanden werden.
  • Einheitliche Bewertung des Vorgangs der Datenverarbeitung bei der Auftragsverarbeitung: Alternativ könnte die Auftragsverarbeitung als einheitlicher Vorgang betrachtet werden, der nicht gesondert in jedem einzelnen Verarbeitungsschritt, sondern als Ganzes datenschutzrechtlich zu bewerten ist. Die anfängliche Datenweitergabe vom Auftraggeber an den Auftragnehmer wäre infolgedessen ein notwendiger Teil der Auftragsverarbeitung, der zulässig wäre, wenn die Verarbeitung im Auftrag insgesamt rechtmäßig ist.

Im Weiteren sind diese einzelnen Ansätze zu bewerten.

1. Rückgriff auf die allgemeinen Erlaubnistatbestände

Der erste Ansatz betrachtet die einzelnen Vorgänge bei der (Auftrags-)Datenverarbeitung nach der Datenschutz-Grundverordnung „kleinteilig“, sodass für jeden einzelnen Verarbeitungsschritt eine eigene Rechtfertigung vorliegen muss. Dabei orientiert sich dieser am Prüfungsmuster für Datenverarbeitungen nach der „alten“ Systematik des BDSG. Demgemäß wäre zunächst die Übergabe der Daten vom Auftraggeber an den Auftragnehmer datenschutzrechtlich zu bewerten und durch eine Einwilligung oder einen anderen Rechtfertigungsgrund nach der Datenschutz-Grundverordnung zu legitimieren.[15]

Bei einfachen personenbezogenen Daten könnte der Datentransfer an den Auftragsverarbeiter nach Art. 6 Abs. 1 lit. f. DS-GVO zulässig sein. Demnach ist die Datenverarbeitung rechtmäßig, wenn diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Im Rahmen der erforderlichen Interessenabwägung sind die Voraussetzungen gemäß Art. 28 ff. DS-GVO zu beachten. Sind diese erfüllt, könnte dies dafür sprechen, dass die Abwägung im Rahmen des Art. 6 Abs. 1 lit. f. DS-GVO regelmäßig zugunsten des Auftraggebers ausfällt, der die Daten an den Auftragnehmer weiterreicht.[16] Das legitime Interesse des Auftraggebers wäre in diesem Kontext dann die Einschaltung des Auftragsverarbeiters, um beispielsweise im Wege des Outsourcings die Verarbeitung effizient zu gestalten und durch spezialisierte Dienstleister vornehmen zu lassen. Die praktischen Vorteile der Auftragsverarbeitung wären somit auch als die legitimen Interessen des Auftraggebers gemäß Art. 6 Abs. 1 lit. f. DS-GVO zu werten.

Die berechtigten Interessen der Betroffenen werden gewahrt, wenn insbesondere die Vorgaben nach Art. 28 Abs. 1-4 DS-GVO eingehalten werden. Dies beinhaltet insbesondere den Abschluss eines schriftlichen Auftragsverarbeitungsvertrages, der die Mindestangaben gemäß Art. 28 Abs. 3 DS-GVO regelt, die Umsetzung geeigneter technischer und organisatorischer Maßnahmen beim Auftragsverarbeiter sowie die Gewährleistung, dass sich die beim Auftragsverarbeiter beschäftigten Mitarbeiter zur Vertraulichkeit verpflichtet haben.

Die Vertreter dieses Ansatzes stellen jedoch zu Recht fest, dass die Berufung auf Art. 6 Abs. 1 lit. f DS-GVO nur im Hinblick auf einfache personenbezogene Daten prakti kabel ist.[17] Sensitive Daten nach Art. 9 Abs. 1 DS-GVO und damit insbesondere Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DS-GVO können womöglich nicht im Wege der Interessenabwägung vom Auftraggeber an den Auftragnehmer übertragen werden. Die Voraussetzungen der Verarbeitung besonderer Kategorien personenbezogener Daten sind in Art. 9 DS-GVO speziell und – mit Ausnahme des Regelungsspielraumes der Mitgliedsstatten in Art. 9 Abs. 4 DS-GVO – abschließend geregelt. In Art. 9 Abs. 2 DS-GVO erscheinen die Erlaubnistatbestände eng umrissen und erlauben voraussichtlich keine Berufung auf die in Art. 6 Abs. 1 lit. f. DS-GVO vorgesehene Wahrung berechtigter Interessen. Für verschiedene verantwortliche Stellen, die Gesundheitsdaten verarbeiten, könnte die Inanspruchnahme externer Dienstleister dadurch signifikant erschwert werden. Zu denken ist beispielsweise an Krankenhäuser und Versicherungsunternehmen.

Die Einholung einer Einwilligung nach Art. 9 Abs. 1 lit. a DS-GVO wird in der Praxis erhebliche Probleme bereiten. Dies gilt insbesondere für Bestandskunden, die nachträglich in die Datenweitergabe zum Zwecke der Auftragsverarbeitung einwilligen müssten. Erfahrungen haben gezeigt, dass viele Kunden nach Vertragsschluss oftmals gar nicht auf eine derartige Anfrage zur Abgabe einer Einwilligungserklärung reagieren. Selbst wenn es den Unternehmen gelingen sollte, die Einwilligungen einzuholen, verbleibt stets die Gefahr, dass diese von den Betroffenen widerrufen werden. Für die Betroffenen, die die Einwilligung widerrufen haben, müsste der Auftraggeber die Datenverarbeitung zukünftig wieder selbst vornehmen, was erheblichen organisatorischen Aufwand und Kosten verursachen kann und schlussendlich die Kalkulation jedes Outsourcings in diesen Bereichen verändert.

Angedacht werden könnte, die Erforderlichkeit nach Art. 9 Abs. 2 lit. f DS-GVO weit auszulegen, um eine Datenweitergabe im Rahmen der Auftragsverarbeitung in den betreffenden Branchen zu rechtfertigen. Danach ist die Verarbeitung sensitiver Daten zulässig, soweit sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Beispielsweise könnte man bei der Einschaltung eines IT-Dienstleisters argumentieren, dass diese Tätigkeit aus Kostengründen und aufgrund der hohen Spezialisierung regelmäßig ausgelagert werden muss, um Ansprüche von Kunden oder Patienten prüfen bzw. bearbeiten zu können. Diese Anspruchsbearbeitung wäre dabei als Teil der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen der Kunden oder Patienten anzusehen, zumal die Prüfung der Ansprüche als ein Aspekt der Bearbeitung regelmäßig ein erster Schritt im vorprozessualen Bereich ist. Voraussetzung für die Anwendung von Art. 9 Abs. 2 lit. f. DS-GVO wäre somit eine weite Auslegung des Erlaubnistatbestandes. Es verbleibt gleichwohl auch bei einer weiten Auslegung ein Restrisiko, ob die verschiedenen Dienstleistungen beim Outsourcing und anderer Auftragsverarbeitungen immer den Anforderungen der Erlaubnistatbestände und vor allem der datenschutzrechtlichen Erforderlichkeit genügen.

Im Beschäftigtenverhältnis könnte außerdem auf den Erlaubnistatbestand des Art. 9 Abs. 2 lit. b DS-GVO abgestellt werden.[18] Dieser enthält jedoch desgleichen das Merkmal der Erforderlichkeit und ist insbesondere auf die aus einem Beschäftigtenverhältnis erwachsenden Rechte gerichtet. Die Frage, ob die Weitergabe der Beschäftigtendaten bei der Auftragsverarbeitung regelmäßig erforderlich i.S.d. Art. 9 Abs. 2 lit. b DS-GVO ist, unterliegt ebenfalls einem erheblichen Maß an Rechtsunsicherheit.

Aufgrund der genannten Argumentation ist auch dem Ansatz mit Skepsis zu begegnen, wonach die Datenweitergabe einfacher personenbezogener Daten bei der Auftragsverarbeitung vom Auftraggeber an den Auftragnehmer nach Art. 6 Abs. 1 lit. b DS-GVO (Erfüllung eines Vertrages) zulässig sein könnte.[19] Dies würde voraussetzen, dass die Datenweitergabe an den Auftragsverarbeiter zur Erfüllung des Vertrages tatsächlich erforderlich ist. Hinsichtlich der Frage der Erforderlichkeit im Einzelfall würde wieder Rechtsunsicherheit entstehen. Diese Überlegungen verdeutlichen, dass der Rückgriff auf die allgemeinen Erlaubnistatbestände praxisuntauglich ist und der entsprechende Ansatz daher nicht vorzugswürdig ist.

2. Art. 28 DS-GVO als Rechtfertigung für die Datenverarbeitung im Rahmen der Auftragsverarbeitung

Die Weitergabe der Daten an den Auftragnehmer oder die Einräumung eines Zugriffs auf diese ist notwendige Voraussetzung für die Durchführung der Verarbeitung durch den beauftragten Dienstleister. Vor diesem Hintergrund wäre es denkbar, die Zentralnorm für Auftragsverarbeiter als Erlaubnistatbestand für die mit der Auftragsverarbeitung einhergehenden Schritte zu werten. Insoweit wurde bereits verhalten angedacht, die Privilegierungswirkung der Auftragsverarbeitung indirekt Art. 28 DS-GVO zu entnehmen oder dort „hineinzulesen“.[20]

Diese Überlegungen sind indes nicht zielführend, da Art. 28 DS-GVO keinen eigenständigen Rechtfertigungstatbestand für eine Datenübermittlung vom Auftraggeber an dessen Auftragsverarbeiter beinhaltet. Ein systematischer Vergleich zu Art. 6 ff. DS-GVO zeigt, dass der Gesetzgeber Erlaubnistatbestände als solche klar gekennzeichnet hat. Art. 6 Abs. 1 DS-GVO zählt die grundlegenden Erlaubnistatbestände auf und spricht dabei ausdrücklich die Bedingungen für die Rechtmäßigkeit der Verarbeitung an.

Hinsichtlich einer Rechtfertigung der Datenübermittlung vom Auftraggeber an den Auftragsverarbeiter ist Art. 28 DSGVO demgegenüber nicht normenklar formuliert. Das Gebot der Normenklarheit mahnte bereits das Bundesverfassungsgericht an,[21] sodass nicht nur der Ablauf des Verarbeitungsprozesses, sondern auch die Voraussetzungen sowie der Umfang der Einschränkung des Entscheidungsvorrechts der Betroffenen präzise in der Erlaubnisnorm umschrieben werden müssen.[22] Nach diesen Vorgaben sind auch Art. 6 ff. DS-GVO ausgestaltet.

Art. 28 DS-GVO enthält hingegen keine klare Bezugnahme auf die Voraussetzungen für die Rechtmäßigkeit einer Verarbeitung. Die Formulierungen verweisen auf allgemeine Anforderungen für die Einschaltung und Kontrolle von Dienstleistern; die Vorschrift ist insofern mit § 9 BDSG vergleichbar. Die Umwidmungen in einen Erlaubnistatbestand, der eine Datenübermittlung an den Auftragsverarbeiter rechtfertigen könnte, wenn die normierten Voraussetzungen der Auftragsverarbeitung nach der DS-GVO erfüllt sind, stellt lediglich eine Interpretation der Norm dar und wird den Anforderungen an die Normenklarheit nicht gerecht. Mangels Ausführungen zur Datenübermittlung und mangels einer eindeutigen Erwähnung von Anforderungen an die Recht mäßigkeit in Art. 28 DS-GVO wird man somit nicht von einem eigenen Rechtfertigungstatbestand für die Datenübermittlung im Zuge der Auftragsverarbeitung ausgehen können.

3. Einheitliche Bewertung des Vorgangs der Datenverarbeitung bei der Auftragsverarbeitung

Der zuvor angesprochene eigene Rechtfertigungstatbestand für die Datenübermittlung bei der Auftragsverarbeitung ist indes nicht erforderlich. Die Systematik der DatenschutzGrundverordnung löst sich von der „kleinteiligen“ Bewertung und Rechtfertigung der einzelnen Datenverarbeitungsschritte. Datenverarbeitungsprozesse müssen stattdessen im Ganzen bewertet werden. Die Begriffsbestimmung der Verarbeitung in Art. 4 Nr. 2 DS-GVO stellt insofern auf Vorgänge oder Vorgangsreihen im Zusammenhang mit personenbezogenen Daten ab; die bislang in § 3 Abs. 4 BDSG aufgeführten Verarbeitungsformen werden als Beispiele für Vorgänge aufgeführt.[23]

Die aufgrund des Verbots mit Erlaubnisvorbehalt zu rechtfertigende Verarbeitung umfasst jedoch ausdrücklich nicht nur den einzelnen Vorgang, sondern auch eine Reihe dieser Vorgänge wie beispielsweise eine zusammenhängende Erhebung, Speicherung, Veränderung und anschließende Übermittlung. Dementsprechend beziehen sich die in Art. 6 Abs. 1 DS-GVO aufgezählten Erlaubnistatbestände auch auf eine Reihe von Vorgängen. Verarbeitungsphasen sollen ersichtlich zusammengefasst bewertet werden. Dies muss zumindest so lange gelten, wie die einzelnen Vorgänge in einem engen Zusammenhang stehen oder sogar logisch aufeinander aufbauen. Folgerichtig kann dann auch die Datenweitergabe im Rahmen der Auftragsverarbeitung als Teil einer Reihe von Vorgängen berücksichtigt werden.

In diesem Zusammenhang wird auch darauf hingewiesen, dass die Verarbeitung nach der Datenschutz-Grundverordnung jede Form der „Einwirkung“ auf Daten umfasse und den Fokus auf die legitimierende Grundlage richte, die die „Einwirkung“ auf die Daten durch die verarbeitende Stelle zulässt.[24] Diesem Ansatz folgend müsste eine Übermittlung datenschutzrechtlich danach bewertet werden, ob die die Daten empfangende Stelle rechtmäßig auf die übermittelten Daten einwirkt. Soweit für die Verarbeitung insgesamt ein Erlaubnistatbestand vorliegt, ergebe sich daraus zugleich die Befugnis zur Weiterleitung der Daten, damit eine eingebundene empfangende Stelle darauf einwirken kann.[25] Als Korrektiv dient in Bezug auf die gesetzlichen Erlaubnistatbestände stets das Kriterium der Erforderlichkeit und im Hinblick auf die Einwilligung die Anforderungen an deren Transparenz, Informiertheit und die Angabe der Zwecke. Ein weiterer Hinweis auf die weniger kleinschrittige Systematik der datenschutzrechtlichen Bewertung der Verarbeitung findet sich in Art. 6 Abs. 1 DS-GVO, wonach eine Verarbeitung nur rechtmäßig ist, wenn eine der dort aufgeführten Bedingungen erfüllt ist. Bei der BDSG-Novellierung 2001 hatte der Gesetzgeber im Rahmen von § 4 Abs. 1 BDSG die Formulierung „wenn…“ durch „soweit…“ ersetzt. Danach sollen im derzeit noch geltenden nationalen Datenschutzrecht die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig sein, soweit die in § 4 Abs. 1 BDSG genannten Zulässigkeitsalternativen vorliegen. Der nationale Gesetzgeber wollte auf diese Weise klarstellen, dass jede einzelne Phase der Erhebung, Verarbeitung bzw. Nutzung für sich genommen zu prüfen und zu rechtfertigen ist.[26] Bei der Übersetzung der DatenschutzGrundverordnung hat man indes auf die Formulierung „soweit“ verzichtet und auch damit bewusst zum Ausdruck gebracht, dass die datenschutzrechtliche Bewertung der Zulässigkeit einer Verarbeitung nicht mehr unbedingt in einzelnen Phasen erfolgen soll.

Im Ergebnis bedeutet dies für die Auftragsverarbeitung, dass diese hinsichtlich ihrer Zulässigkeit im Ganzen datenschutzrechtlich zu bewerten ist. Sind die Auftraggeber und der Auftragnehmer im Wege der Auftragsverarbeitung befugt, auf die personenbezogenen Daten einzuwirken und sind die besonderen Voraussetzungen der Verarbeitung im Auftrag gemäß Art. 28 DS-GVO erfüllt, so ist die damit verbundene Datenweitergabe zwischen Auftraggeber und Auftragnehmer ebenfalls zulässig. Wenn also die Datenverarbeitung durch den Verantwortlichen insgesamt zulässig ist (z.B. gemäß Art. 6 DS-GVO für einfache personenbezogene Daten oder für Gesundheitsdaten nach Art. 9 DS-GVO), erstreckt sich dieser Erlaubnistatbestand und somit die Zulässigkeit auch auf die Weitergabe der Daten an den Auftragsverarbeiter und dessen Verarbeitungstätigkeiten im Auftrag.[27]

Hierfür spricht auch, dass der Verantwortliche und der Auftragsverarbeiter nach der Datenschutz-Grundverordnung weiterhin eine Verarbeitungseinheit bilden.[28] Besonders deutlich wird dies im Zuge von Art. 4 Nr. 10 DS-GVO, wonach der Auftragsverarbeiter nicht „Dritter“ ist. Die über Art. 28 DS-GVO erreichte enge Bindung zwischen den Parteien der Auftragsverarbeitung bewirkt sodann, dass als „Kompensation“ die Weitergabe der Daten vom Auftraggeber an den Auftragnehmer vom Rechtfertigungsregime der Datenschutz-Grundverordnung ausgenommen ist.[29]

Dass der Verordnungsgeber wohl von einer Systematik der einheitlichen Bewertung der datenschutzrechtlichen Zulässigkeit bei der Auftragsverarbeitung ausging, zeigt sich zudem in den vielen Regelungen zum Auftragsverarbeiter an verschiedenen Stellen in der Datenschutz-Grundverordnung. Die Rolle und die Verarbeitung des Auftragsverarbeiters wurden umfassend geregelt. Würde man jedoch bei einer „kleinteiligen“ Bewertung der Zulässigkeit einer Datenverarbeitung bleiben, hätte der Verordnungsgeber gerade im Hinblick auf sensitive Daten eine Erlaubnisgrundlage für die Datenweitergabe an den Auftragnehmer schaffen müssen. Ohne diese wäre die Verarbeitung von sensitiven Daten im Auftrag gegebenenfalls nur mittels der Einwilligung möglich und damit in der Praxis kaum durchführbar. Es ist nicht ersichtlich, dass der Verordnungsgeber solch einen Weg wählen wollte. Sinn und Zweck der Auftragsverarbeitung ist gerade eine effiziente und kostengünstigere Verarbeitung durch einen spezialisierten Dienstleister.[30] Dieser Vorteil wäre bei einer Forderung nach einer eigenen Rechtsgrundlage für die Datenweitergabe vom Auftraggeber an den Auftragnehmer in den Fällen faktisch aufgehoben, in denen eine Rechtsgrundlage nicht vorliegt oder sich zumindest nur rechtsunsicher begründen lässt.[31] Dies wäre ersichtlich nicht im Sinne des Verordnungsgebers, und daher ist die Datenweitergabe vom Auftraggeber an den Auftragnehmer im Gesamtzusammenhang der Rechtmäßigkeit der Auftragsverarbeitung datenschutzrechtlich zu bewerten.

IV. Fazit

Im Ergebnis können auch zukünftig Auftragnehmer im Rahmen des Outsourcings mit der Datenverarbeitung im Auftrag praxistauglich betraut werden. Auch ohne eine Legaldefinition der Übermittlung kommt weiterhin eine faktische Privilegierungswirkung der Auftragsverarbeitung zum Tragen. Diese ist zwar nicht mehr wie zuvor im BDSG unmittelbar der Datenschutz-Grundverordnung zu entnehmen bzw. drängt sich nicht dem Wortlaut nach sofort auf. Die Rechtfertigung erfolgt jedoch im Rahmen der Gesamtbetrachtung des vollständigen Verarbeitungsvorganges, bei dem der Verantwortliche und der Auftragsverarbeiter als Einheit zu betrachten sind. Solange die Datenverarbeitung, die letztendlich im Auftrag ausgeführt wird, insgesamt zulässig ist (z.B. nach Art. 6 oder 9 DS-GVO), ist auch eine Weitergabe der Daten vom Verantwortlichen an den Auftragsverarbeiter legitim und bedarf keines gesonderten Erlaubnistatbestandes. Dies gilt sowohl für die Verarbeitung von einfachen als auch von sensitiven Daten im Auftrag.

Ungeachtet der damit möglichen praktischen Kontinuität sind mit der Anwendbarkeit der Datenschutz-Grundverordnung bestehende Auftragsdatenverarbeitungsverträge anzupassen. Insbesondere die erweiterten Dokumentationspflichten des Auftragsverarbeiters gemäß Art. 31 DSGVO und die zwingende Pflicht zur Mitteilung von Unterauftragnehmern in Art. 28 Abs. 2 DS-GVO sowie die gesamtschuldnerische Haftung und der erweiterte Sanktionsrahmen erfordern zusätzliche vertragliche Regelungen.

Dr. Niclas Krohm ist Rechtsanwalt und für den Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) im Bereich Datenschutz/Grundsatzfragen sowie für Schürmann Wolschendorf Dreyer Rechtsanwälte tätig.

Philipp Müller-Peltzer ist Rechtsanwalt bei Schürmann Wolschendorf Dreyer Rechtsanwälte in Berlin und auf IT- und Datenschutzrecht spezialisiert. Er ist zudem als externer Datenschutzbeauftragter tätig.

[1] Der Beitrag gibt ausschließlich die persönliche Meinung der Autoren wieder.

[2] Siehe zu sog. Auftragsdatenverarbeitungsketten Krohm, PinG 2015, 205 ff.

[3] Mustervereinbarung des Hessischen Datenschutzbeauftragten, abrufbar unter: https://www.datenschutz.hessen.de/ft-auftragsdatenverarbeit.htm; Mustervertragsanlage zur Auftragsdatenverarbeitung des Bitkom e.V., abrufbar unter: http://www.bitkom.org/files/documents/140109_Mustervertragsanlage.pdf; GDD-Muster zur Auftragsdatenverarbeitung gemäß § 11 BDSG, abrufbar unter: https://www. gdd.de/links/downloads/deutschsprachiges-muster-zur-auftragsdatenverarbeitung.

[4] Rammos/Böhm, in: Gierschmann/Saeugling, Systematischer Praxiskommentar Datenschutzrecht, 2015, § 11 Rn. 2; vgl. hierzu ebenso Eckhardt, DuD 2013, 585.

[5] Eckhardt, DuD 2013, 585.

[6] Eckhardt, DuD 2013, 585

[7] Vgl. Petri, ZD 2015, 305 (306).

[8] Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 162 m.w.N.

[9] Eckhardt, DuD 2013, 585 mit Nachweisen zu kritischen Stimmen an dieser Wertung. Trotz der Kritik, dass die Datenschutzrichtlinie 95/46/EG keine solche Begrenzung der Auftragsdatenverarbeitung auf die EU oder den EWR vorgibt, halten die Datenschutzaufsichtsbehörden an der einschränkenden Wertung fest, vgl. Kompetenzzentrum Trusted Cloud, Leitfaden – Datenschutz und Cloud Computing, Nr. 11, S. 12, abrufbar unter: http://www.digitale-technologien.de/DT/Redaktion/DE/Downloads/Publikation/Trusted-Cloud/trustedcloudap11-datenschutz-cloud-computing.pdf?__blob=publicationFile&v=3.

[10] Derzeit sind dies: Andorra, Argentinien, Kanada, Schweiz, Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland und Uruguay, abrufbar unter: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/InternationalerDatenverkehr/Inhalt2/Schutz_der_Persoenlichkeitsrechte/Schutz_der_Persoenlichkeitsrechte.php.

[11] Eckhardt, DuD 2013, 585.

[12] Vgl. hierzu jedoch auch die Ausführungen unter Ziff. III. 3.

[13] Eckhardt, DuD 2013, 585; Eckhardt/Kramer, DuD 2013, 287 (291); Eckhardt/Kramer/Mester, DuD 2013, 623 (626); Gola/Schulz, RDV 2013, 1 (6); Nebel/Richter, ZD 2012, 407 (411).

[14] Härting, Datenschutz-Grundverordnung – Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 140; Härting, ITRB 2016, 137 (138).

[15] Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 165 f.; Roßnagel/Kroschwald, ZD 2014, 495 (497).

[16] Koós/Englisch, ZD 2014, 276 (284); Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 166.

[17] Koós/Englisch, ZD 2014, 276 (284).

[18] Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 166.

[19] Vgl. hierzu auch Nebel/Richter, ZD 2012, 407 (411), die ebenfalls davon ausgehen, dass dieser Ansatz beispielsweise das ganze Geschäftsmodell des Cloud-Computing infrage stellen könnte.

[20] Eckhardt/Kramer, DuD 2013, 287 (291).

[21] BVerfGE 65, 1 (44).

[22] So Simitis, in: Simitis, BDSG, 8. Aufl. 2014, § 1 Rn. 100 im Hinblick auf ein „andere Rechtsvorschriften“ i.S.v. § 1 Abs. 3 BDSG.

[23] In der englischen Sprachfassung wird diese Neuerung etwas deutlicher. Dort heißt es in Art. 4 Nr. 2 DS-GVO: „‚processing‘ means any operation or set of operations which is performed on personal data or on sets of personal data […]“.

[24] Härting, Datenschutz-Grundverordnung – Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 84 f.

[25] Härting, Datenschutz-Grundverordnung – Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 85.

[26] Scholz/Sokol, in: Simitis, BDSG, 8. Aufl. 2014, § 4 Rn. 12.

[27] Vgl. auch Härting, ITRB 2016, 137 (139).

[28] Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2016, Teil 5 Rn. 22.

[29] Martini, in: Paal/Pauly, Datenschutz-Grundverordnung, 2017, Art. 28 Rn. 10.

[30] Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2016, Teil 5 Rn. 22.

[31] Vgl. auch Martini, in: Paal/Pauly, Datenschutz-Grundverordnung, 2017, Art. 28 Rn. 10.