Verantwortlicher und Auftragsverarbeiter – DSGVO Grundlagen

Verantwortlicher und Auftragsverarbeiter – DSGVO Grundlagen

Die Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ sind in der DSGVO zentral. Wer Verantwortlicher oder Auftragsverarbeiter ist, den treffen entsprechende Pflichten aus der DSGVO.

Doch ab wann genau ist man Verantwortlicher oder Auftragsverarbeiter und was hat das für Folgen?

Verantwortlicher

Die Definition des Verantwortlichen findet sich in Art. 4 Nr. 7 DSGVO. Demnach ist der Verantwortliche jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Um Verantwortlicher zu sein, muss man also gerade nicht selbst die Daten erheben oder verarbeiten, sondern es genügt, dass man die Zwecke und Mittel festlegt.

Wer Verantwortlicher ist, kann durch Gesetz festgelegt sein, ansonsten ist dies aber funktional zu verstehen: Es ist zu betrachten, inwieweit tatsächlichen Handlungen von dem in Frage stehenden Akteur vorgenommen werden. 

Wird in einem Unternehmen über Zwecke und Mittel von Datenverarbeitungen entschieden, ist aber nicht der einzelne Mitarbeiter der Verantwortliche, sondern das Unternehmen als Ganzes. Handelt eine einzelne natürliche Person (z.B. der Mitarbeiter) muss also immer untersucht werden, ob das Handeln der Person selbst oder der Organisation, für die er tätig ist (z.B. dem Unternehmen), zuzurechnen ist.

Denjenigen, der Verantwortlicher ist, trifft die Rechenschaftspflicht aus Art. 5 II DSGVO. Er ist also dafür verantwortlich, dass die datenschutzrechtlichen Grundsätze aus Art. 5 I DSGVO nachweisbar eingehalten werden.

Eine Besonderheit ergibt sich bei gemeinsamer Verantwortlichkeit. Nach Art. 26 DSGVO können gemeinsam Verantwortliche vorliegen, wenn zwei oder mehr Verantwortliche die Zwecke und Mittel zur Verarbeitung festlegen. Hierbei ist es entscheidend, dass die Verarbeitung auch wirklich gemeinsam erfolgt. Dies ist der Fall, wenn gemeinsame Zwecke verfolgt werden und die Verarbeitung nur dadurch möglich ist, dass alle Verantwortliche an ihr mitarbeiten. Der EuGH hat hinsichtlich der Einbindung des Facebook Like-Buttons in eine Website eine gemeinsame Verantwortlichkeit des Websitebetreibers und Facebook bejaht. Genauso können aber auch mehrere Verantwortliche gemeinsam an einer Verarbeitung beteiligt sein, ohne gemeinsam verantwortlich zu sein. Dies liegt vor, wenn ein reiner Datenaustausch stattfindet, ohne dass gemeinsame Zwecke und Mittel festgelegt werden.

In der Praxis kann eine gemeinsame Verantwortlichkeit besonders dann vorliegen, wenn die Verarbeitung der einen Stelle nicht ohne die Verarbeitung der anderen Stelle möglich oder sinnvoll ist.

Liegt eine gemeinsame Verantwortlichkeit vor, müssen die beteiligten Verantwortlichen in einer Vereinbarung nach Art. 26 I DSGVO festlegen, wer von ihnen welche datenschutzrechtlichen Verpflichtungen wie z.B. Informationspflichten übernimmt. Diese Vereinbarung muss transparent sein, also die tatsächlichen Beziehungen und Funktionen gegenüber betroffenen Personen aufzeigen. Nach Art. 26 III DSGVO kann sich die betroffene Person bei der Geltendmachung ihrer Rechte trotzdem an jeden beliebigen der Verantwortlichen wenden.

Rechtlich selbstständige Unternehmen sind immer als eigene Verantwortliche zu betrachten, was besonders innerhalb eines Konzerns zu beachten ist. Den Verantwortlichen einzelner Teile einer Unternehmensgruppe wird aber durch Erwägungsgrund 48 der DSGVO ein berechtigtes Interesse am Austausch personenbezogener Daten innerhalb der Unternehmensgruppe zugesprochen.

Auftragsverarbeiter

Der Auftragsverarbeiter wird in Art. 4 Nr. 8 DSGVO definiert als jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Es muss sich also um jemand anderen als den Verantwortlichen handeln und derjenige muss im Auftrag des Verantwortlichen handeln.

Der Auftragsverarbeiter ist nicht selbst Verantwortlicher. Er handelt allein auf Weisung des Verantwortlichen. Für die Einhaltung der datenschutzrechtlichen Vorschriften ist weiter der Verantwortliche verantwortlich. Wenn der Auftragsverarbeiter sich allerdings über seinen Auftrag hinwegsetzt und selbst Zwecke und Mittel der Verarbeitung bestimmt, gilt er insoweit als Verantwortlicher (Art. 28 X DSGVO).

Am Einzelfall zu messen ist, welchen Spielraum dem Auftragsverarbeite bei der Verarbeitung trotz seiner Weisungsgebundenheit noch bleiben darf. Hat er zu viel Eigenverantwortlichkeit, wird er schließlich zum Verantwortlichen.

Ein Auftragsverarbeiter liegt in der Praxis vor, wenn technische Hilfstätigkeiten und Datenverarbeitungsprozesse an externe Dienstleister ausgelagert werden. Typische Fälle von Auftragsverarbeitung sind z.B. die Aktenvernichtung, Speicherung von Daten durch Cloud-Dienste oder Verarbeitung von Daten in Callcentern.

Werden dem Auftragsverarbeiter bei seinem Auftrag personenbezogene Daten offengelegt, ist er zugleich Empfänger nach Art. 4 Nr. 9 DSGVO.

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Sobald ein Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) zwingend erforderlich. Dieser Vertrag muss nach Art. 28 Abs. 3 DSGVO bestimmte Mindestinhalte aufweisen.

Zunächst müssen Gegenstand und Dauer der Verarbeitung klar definiert werden. Der AVV muss festlegen, welche Arten personenbezogener Daten verarbeitet werden und welche Kategorien betroffener Personen betroffen sind. Zudem muss der Zweck der Verarbeitung eindeutig beschrieben sein.

Der AVV muss die Pflichten und Rechte des Verantwortlichen festlegen. Dazu gehört insbesondere das Recht, dem Auftragsverarbeiter Weisungen hinsichtlich der Datenverarbeitung zu erteilen. Der Auftragsverarbeiter ist an diese Weisungen gebunden und darf die Daten nicht für eigene Zwecke verarbeiten.

Weitere Pflichtinhalte des AVV umfassen die Gewährleistung der Vertraulichkeit durch Mitarbeiter des Auftragsverarbeiters, die Umsetzung technisch-organisatorischer Maßnahmen nach Art. 32 DSGVO, die Regelung zur Einschaltung von Unterauftragsverarbeitern, die Unterstützung bei der Wahrnehmung von Betroffenenrechten, die Löschung oder Rückgabe der Daten nach Beendigung des Auftrags sowie die Ermöglichung von Überprüfungen und Audits durch den Verantwortlichen.

Ein fehlender oder mangelhafter AVV stellt einen Verstoß gegen die DSGVO dar und kann mit erheblichen Bußgeldern geahndet werden. In der Praxis werden Auftragsverarbeitungsverträge häufig als Musterverträge verwendet, die jedoch unbedingt auf die konkrete Verarbeitungssituation angepasst werden müssen.

Abgrenzung zur gemeinsamen Verantwortlichkeit

Die Unterscheidung zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit ist in der Praxis oft schwierig, aber rechtlich von großer Bedeutung. Der entscheidende Unterschied liegt in der Frage, wer über die Zwecke und Mittel der Verarbeitung entscheidet.

Bei der Auftragsverarbeitung bestimmt allein der Verantwortliche die Zwecke und wesentlichen Mittel der Verarbeitung. Der Auftragsverarbeiter führt die Verarbeitung lediglich nach Weisung durch. Er hat keinen eigenen Entscheidungsspielraum hinsichtlich des „Warum“ und „Wie“ der Datenverarbeitung.

Bei der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO entscheiden hingegen zwei oder mehr Stellen gemeinsam über Zwecke und Mittel. Dies erfordert den Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit, die klar regelt, wer welche Pflichten übernimmt und wie die Betroffenenrechte gewahrt werden.

Ein typisches Beispiel für die Abgrenzungsproblematik ist die Nutzung von Social-Media-Plattformen durch Unternehmen. Der Europäische Gerichtshof hat in mehreren Entscheidungen klargestellt, dass Betreiber von Facebook-Fanpages gemeinsam mit Facebook für die dort stattfindende Datenverarbeitung verantwortlich sind. Diese Rechtsprechung hat weitreichende Konsequenzen für Unternehmen, die Social-Media-Kanäle nutzen.

Praktische Konsequenzen für Unternehmen

Für Unternehmen ergeben sich aus der Unterscheidung zwischen Verantwortlichem und Auftragsverarbeiter konkrete Handlungspflichten. Zunächst sollte jedes Unternehmen eine vollständige Bestandsaufnahme aller Datenverarbeitungsprozesse durchführen und dabei klären, in welcher Rolle es jeweils agiert.

Als Verantwortlicher müssen Sie sicherstellen, dass alle datenschutzrechtlichen Grundsätze eingehalten werden. Dazu gehören die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten, die Durchführung von Datenschutz-Folgenabschätzungen bei risikoreichen Verarbeitungen, die Umsetzung angemessener technisch-organisatorischer Maßnahmen und die Benennung eines Datenschutzbeauftragten, wenn die gesetzlichen Voraussetzungen erfüllt sind.

Wenn Sie Auftragsverarbeiter einsetzen, müssen Sie diese sorgfältig auswählen und regelmäßig überprüfen. Der Auftragsverarbeiter muss hinreichende Garantien dafür bieten, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Die Überprüfung kann durch Audits, Zertifizierungen oder regelmäßige Berichte erfolgen.

Die Dokumentation aller dieser Maßnahmen ist entscheidend für die Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO. Nur wer nachweisen kann, dass er seine datenschutzrechtlichen Pflichten erfüllt, ist im Fall einer Prüfung durch die Aufsichtsbehörde auf der sicheren Seite.

Fazit

Die korrekte Einordnung als Verantwortlicher oder Auftragsverarbeiter ist eine grundlegende Weichenstellung im Datenschutzrecht. Sie bestimmt, welche Pflichten ein Unternehmen treffen und welche vertraglichen Vereinbarungen erforderlich sind. Angesichts der Komplexität dieser Materie und der hohen Bußgelder bei Verstößen empfiehlt sich eine professionelle Beratung durch einen erfahrenen Datenschutzbeauftragten.

Drittlandtransfers und internationale Auftragsverarbeitung

Besondere Anforderungen gelten, wenn ein Auftragsverarbeiter personenbezogene Daten in ein Drittland außerhalb des Europäischen Wirtschaftsraums übermittelt. Nach Art. 44 ff. DSGVO ist eine solche Übermittlung nur zulässig, wenn ein angemessenes Datenschutzniveau im Empfängerland gewährleistet ist. Dies kann durch einen Angemessenheitsbeschluss der Europäischen Kommission, durch Standardvertragsklauseln oder durch verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) sichergestellt werden.

Seit dem Schrems-II-Urteil des EuGH vom Juli 2020 müssen Verantwortliche zusätzlich eine Transferfolgenabschätzung (Transfer Impact Assessment) durchführen, um festzustellen, ob das Datenschutzniveau im Drittland tatsächlich gewährleistet ist. Dies betrifft insbesondere Auftragsverarbeiter mit Sitz in den USA, auch wenn seit dem EU-US Data Privacy Framework wieder ein Angemessenheitsbeschluss existiert. Unternehmen sollten dennoch prüfen, ob ihre konkreten Auftragsverarbeiter unter das Framework fallen und die Anforderungen einhalten.