Die detaillierten gesetzlichen Vorgaben haben schon in der „Vor-DSGVO-Zeit“ (§ 11 Abs. 2 BDSG a.F.) und aktuell durch Art. 28 DSGVO zu einer hohen Standardisierung von Auftragsverarbeitungsverträgen (AV-Verträgen) geführt. Deshalb finden sich im Netz zahlreiche kostenlose und vor allem durchaus brauchbare Musterverträge, die nur individualisiert werden müssen. Das hält den Aufwand für die Anwältin bzw. den Anwalt überschaubar. Problematischer ist die Abgrenzung zur eigenen Verantwortlichkeit des Dienstleisters i.S.v. Art. 4 Nr. 7 DSGVO. Erfahren Sie in diesem Beitrag, worin die Unterschiede liegen.
Viele Auftragsverarbeitungsverträge fälschlicherweise abgeschlossen
Neulich rief mich ein Steuerberater an und fragte mich nach einer praktikablen Lösung zu einem Problem mit seinen rund 600 AV-Verträgen. Er wolle ein Subunternehmen mit der Bearbeitung eines Teiles der Mandanten-Lohnbuchhaltung beauftragen und sei nun aufgrund der mit den Mandanten geschlossenen AV-Verträge verpflichtet, sich hierfür von jedem Mandanten eine Genehmigung einzuholen. Als ich ihm darlegte, dass die Erstellung der Lohnbuchhaltung durch ihn als Steuerberater keine Auftragsverarbeitung i.S.v. Art. 4 Nr. 8 DSGVO sei, war er einigermaßen verwundert. Zwar vertreten die Aufsichtsbehörden in NRW und Baden-Württemberg eine gegenteilige Auffassung, welcher aber nicht zuzustimmen ist. Steuerberater üben einen freien Beruf aus (§ 32 Abs. 2 StBerG) und sind somit weisungsfrei. Auch entscheidet der Auftraggeber in diesem Fall nicht über Zweck und Mittel der Datenverarbeitung.
Dies ist nur ein Beispiel von vielen. Datenverarbeitungen durch Dienstleister bzw. sonstige Dritte werden zurzeit häufig ohne weitere Prüfung von den Parteien als Auftragsverarbeitung eingeordnet, obwohl der Dienstleister oder sonstige Dritte gar kein Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DSGVO ist.
Was, wenn der Fall gar keine Auftragsverarbeitung darstellt?
Hält sich ein Dienstleister oder ein sonstiger Dritter aufgrund einer angenommenen Auftragsverarbeitung nicht für verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO, wird dieser im Falle der Geltendmachung von Betroffenenrechten an den vermeintlichen Verantwortlichen verweisen und damit gegen seine gesetzlichen Pflichten verstoßen. Auch die Information des Betroffenen nach Art. 13 DSGVO wird im Zweifel vom „falschen“ Verantwortlichen erteilt und führt nicht zu einer Entpflichtung des eigentlich Verantwortlichen. Vor allem aber ist die erteilte Information in diesen Fällen fehlerhaft. Schließlich wird über eine Auftragsverarbeitung informiert, die keine ist, bzw. nicht über die korrekte Stellung des Auftragnehmers als (Mit-)Verantwortlicher informiert. Auch dies sind Verstöße gegen die datenschutzrechtlichen Pflichten. Hinzu kommt, dass die Vertragsparteien den geschuldeten Pflichten aus dem AV-Vertrag in vielen Fällen nicht nachkommen können.
Zuerst prüfen, ob eine Auftragsverarbeitung vorliegt
Um derartige Datenschutzverstöße zu vermeiden, muss daher immer zuerst geprüft werden, ob im konkreten Fall eine Auftragsverarbeitung vorliegt. Die Frage, was nun eine Auftragsverarbeitung ist und was nicht, hat sich auch das Bayerische Landesamt für Datenschutzaufsicht gestellt und zur Beantwortung eine Auslegungshilfe veröffentlicht, die hier zum Download zur Verfügung steht. Nach der zutreffenden Auffassung der bayerischen Datenschützer „liegt eine Auftragsverarbeitung im datenschutzrechtlichen Sinne nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird. Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h. mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.“ Dazu hat das LDA Bayern eine Reihe von Positiv- und Negativbeispielen aufgelistet.
Hätte der Steuerberater aus meinem Beispielfall, bzw. dessen Datenschutzbeauftragter, diese Auslegungshilfe zu Rate gezogen, müsste er sich nun nicht den Kopf zerbrechen, wie er die rund 600 nicht anwendbaren AV-Verträge wieder aus der Welt schafft.
Fazit: Verantwortlichkeiten prüfen, um DSGVO-Verstöße zu vermeiden
Nicht jede Verarbeitung personenbezogener Daten durch beauftragte Dienstleister stellt eine Auftragsverarbeitung i.S.v. Art. 4 Nr. 8, 28 DSGVO dar! Wird die Datenverarbeitung aber von den Parteien fälschlicherweise als Auftragsverarbeitung gehandhabt und auch nach außen gelebt, verstoßen diese regelmäßig gegen datenschutzrechtliche Pflichten. Im Worst Case kann dies zu empfindlichen Bußgeldern führen. Daher muss zunächst geprüft werden, ob nicht eine eigene Verantwortlichkeit besteht. Das ist nicht immer einfach und es müssen stets sämtliche Umstände des Einzelfalls berücksichtigt werden. Das LDA Bayern hat hierfür eine – auch für die anwaltliche Beratung – wertvolle Auslegungshilfe zur Verfügung gestellt.
