Bei der Beteiligung mehrerer Parteien an einer Verarbeitung personenbezogener Daten ist die richtige Einordnung der datenschutzrechtlichen Verantwortlichkeit von entscheidender Bedeutung. Je nach Art der Beteiligung sind unterschiedliche Vereinbarungen und Rechtsgrundlagen erforderlich. In den meisten Fällen wird ein Unternehmen ein anderes mit einer Dienstleistung beauftragen, so dass ein Auftragnehmer – Auftraggeber-Verhältnis vorliegt. In Teil 1 dieser Reihe wurden die verwendeten Begriffe bereits kurz erklärt und im Schwerpunkt die Zusammenarbeit am Beispiel der Auftragsverarbeitung dargestellt. Neben dieser teilweise zu Recht oder Unrecht am häufigsten gewählten Form der Beauftragung besteht die Möglichkeit einer gemeinsamen Verantwortung im Sinne von Art 26 DSGVO oder einer Übermittlung an einen eigenständigen Verantwortlichen (Dritten).
Bei Übermittlung zusätzliche Rechtsgrundlage(n) erforderlich
In diesen genannten Fällen ist es ratsam, zunächst zu prüfen, ob eine Rechtsgrundlage zur Verfügung steht, die die Übermittlung der betroffenen Daten an den Auftragnehmer ermöglicht. Wenn keine andere Rechtsgrundlage vorliegt, bleibt immer noch die Möglichkeit, den Betroffenen um eine Einwilligung zu bitten. Ist diese erteilt, kann die Übermittlung auf diese gestützt werden. Anders als bei der Auftragsverarbeitung ist bei einer Verarbeitung der Daten des Auftraggebers sowohl für die Übermittlung der Daten eine Rechtsgrundlage (RGL) erforderlich, sowie auch für die Verarbeitung, die der Auftragnehmer für seine eigenen Zwecke durchführt. Damit sind also im Unterschied zu Auftragsverarbeitung grundsätzlich drei Datenverarbeitungen zu unterscheiden, die jeweils eine eigene Rechtsgrundlage erfordern:
- Die ursprünglich vom Auftraggeber beabsichtigte und beauftragte Datenverarbeitung
⇒RGL erforderlich für den Auftraggeber
- die Übermittlung vom Auftraggeber an den Auftragnehmer als eigene Datenverarbeitung
⇒RGL erforderlich für den Auftraggeber
- die vom Auftragnehmer für eigene Zwecke erfolgende Datenverarbeitung
⇒RGL erforderlich für den Auftragnehmer
Daher wäre beispielsweise bei einer Einwilligung als Rechtsgrundlage genau darauf zu achten, für welche Datenverarbeitung diese gelten soll und vor allem gegenüber welchem der Beteiligten. Holt der Auftraggeber eine Einwilligung für die Punkte 1, 2 und 3 ein, würde damit voraussichtlich keine taugliche Berechtigung in Punkt 3 vorliegen. Die Verantwortung für diesen Punkt liegt beim Auftragnehmer, so dass eine Einwilligung auch von diesem einzuholen wäre.
Einordnung Anhand des Sachverhalts
Zurück zur Einordnung einer datenschutzrechtlichen Zusammenarbeit. Welche der drei zu Beginn genannten Varianten – Auftragsverarbeitung, gemeinsame Verantwortung oder Übermittlung an einen eigenständigen Verantwortlichen – vorliegt, entscheidet sich anhand des vorliegenden Sachverhalts, und nicht danach ob die Parteien einen Vertrag zur Auftragsverarbeitung abgeschlossen haben oder nicht.
Es ist also danach zu fragen, wer verarbeitet welche Daten zu welchen Zwecken. Hierzu folgendes Beispiel: Ein Unternehmen möchte Daten, die auch personenbezogene Daten enthalten, nicht mehr ausschließlich auf eigenen Unternehmensservern speichern, sondern bei einem Cloud-Anbieter.
In diesem Beispiel der Cloud-Speicherung, verfolgt der Auftraggeber irgendeinen mit der Speicherung verbundenen Zweck, wie z. B. die Erfüllung gesetzlicher Aufbewahrungsfristen (Rechtsgrundlage Art 6 Abs. 1 lit. C DSGVO in Verbindung mit der konkreten Aufbewahrungspflicht z.B. § 7 a Abs. 2 Satz 1 UWG) oder den Austausch von Daten mit weiteren Unternehmen (z. B. Versanddienstleister) zum Zweck der Erbringung einer vertraglich geschuldeten Leistung (Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO). Wenn ein potentieller Cloud-Anbieter im Rahmen seines Angebots jedoch auch eine Verwendung dieser Daten für eigene Zwecke, wie z. B. den Test neuer Systeme mit Echtdaten, angibt, dann findet nicht mehr eine ausschließliche Verwendung auf Anweisung des Auftraggebers statt. Damit liegen die Voraussetzungen für eine Auftragsverarbeitung nicht vor.
Diese Voraussetzungen können selbstverständlich von den beteiligten Parteien im Rahmen der Beauftragung beeinflusst werden. Der Cloud-Anbieter der die Daten zum Zweck der Speicherung erhält und diese auch für eigene Zwecke, wie z. B. Tests seiner Systeme mit Echtdaten nutzen möchte, könnte diese eigene Nutzung auch unterlassen. Werden die Daten dann nur (noch) gespeichert, läge eine Auftragsverarbeitung vor. Nutzt der Auftragnehmer die Daten aber auch für sich selbst, liegt zwischen dem Auftraggeber und dem Auftragnehmer eine gemeinsame Verantwortung vor.
Was ist der Grund, dass hier eine gemeinsame Verantwortung vorliegt? Der Verantwortliche (Auftraggeber) der sich entscheidet diesen Dienstleister (Auftragnehmer), trotz dessen Verwendung der Daten auch für eigene Zwecke einzusetzen, ist damit auch für diese Verarbeitung mitverantwortlich. Die ursprünglich beim Auftraggeber liegende Verantwortung bleibt selbstverständlich erhalten. Der Auftragnehmer hat aufgrund der Mitverantwortlichkeit des Auftraggebers keine alleinige Verantwortlichkeit.
In diesem Fall gilt es, eine Regelung im Sinne von Art. 26 DSGVO zu vereinbaren. Hierbei müssen die jeweiligen Verantwortungsbereiche und datenschutzrechtlichen Pflichten geregelt werden. Es wäre zu empfehlen neben den hier erforderlichen Pflichtinhalten sehr nah an einem klassischen Vertrag zur Auftragsverarbeitung zu bleiben, um für die mit der gemeinsamen Verantwortung einhergehende Datenübermittlung, noch eine Rechtsgrundlage zu finden. Denn aller Voraussicht nach käme hier neben der unpraktikableren Einwilligung nur Art. 6 Abs. 1 lit. f DSGVO (Vorliegen eines berechtigten Interesses) in Frage. Und hier würde die Interessenabwägung wohl nur dann zugunsten des Auftraggebers ausgehen, wenn die Daten, neben weiteren Voraussetzungen, den gleichen Sicherheitsmaßnahmen wie bei einer Auftragsverarbeitung unterlägen.
Die an eine Regelung nach Art 26. DSGVO zu stellenden (Mindest-)Anforderungen werden in einem weiteren Beitrag erläutert.
Gerhard
27. Oktober 2022 @ 11:52
Wenn ein Unternehmen einem anderen Unternehmen Daten zuspielt ,ist das über Art . 6 Abs . 1 lit . f noch als “ berechtigte Interessen “ anzusehen ? Oder ist hierfür eine Einwilligung erforderlich ?