Sobald unterschiedliche Stellen an einer Verarbeitung personenbezogener Daten beteiligt sind, stellt sich die Frage der datenschutzrechtlichen Verantwortlichkeit. Diese Beitragsreihe soll einen verständlichen Überblick zu den häufigsten Situationen geben, um die eigene datenschutzrechtliche Verantwortlichkeit mit den sich daraus ableitenden Rechten und Pflichten besser einordnen zu können. Auf eine Wiedergabe der gesetzlichen Definitionen wird nach Möglichkeit verzichtet. Wer diese nachlesen möchte findet die sog. Legaldefinitionen zu Verantwortlicher, Auftragsverarbeiter, Empfänger, Dritter usw. in Art. 4 der Datenschutzgrundverordnung (DSGVO). Diese Begriffe haben aber im Datenschutzrecht eine spezifische Bedeutung, so dass diese hier vorab kurz erläutert wird (der Fokus liegt nicht auf einer möglichst umfassenden juristischen Definition, sondern auf einer möglichst verständlichen Erläuterung anhand gängiger Beispiele):

Verantwortlicher ist, wer über Art und Weise der Verarbeitung personenbezogener Daten entscheidet, um damit ein bestimmtes Ziel zu erreichen.

Auftragsverarbeiter ist, wer ausschließlich die Anordnung zur Verarbeitung personenbezogener Daten eines anderen ausführt und neben der Erfüllung des Auftrags keine eigenen Zwecke verfolgt. Ein Auftragsverarbeiter ist damit nicht gleichbedeutend mit einem Auftragnehmer. Der erste Begriff definiert sich datenschutzrechtlich, der zweite zivilrechtlich. Ein Auftragnehmer ist damit lediglich ein Vertragspartner, der eine Leistung (= Arbeit) schuldet und dafür eine Gegenleistung (= Geld) erhält. Jeder Auftragsverarbeiter ist ein Auftragnehmer, aber nicht jeder Auftragnehmer ist ein Auftragsverarbeiter.

Gemeinsam Verantwortliche sind mindestens zwei unterschiedliche Verantwortliche, die jeweils eigene Ziele im Rahmen einer gemeinsamen oder arbeitsteiligen Datenverarbeitung verfolgen, wobei mindestens einer der gemeinsam Verantwortlichen auch die Daten des anderen verwendet.

Empfänger ist jeder, der personenbezogene Daten selbst zur Kenntnis nimmt. Im Gegensatz zu Verantwortlichem und Auftragsverarbeiter handelt es sich hier üblicherweise nicht hauptsächlich um juristische Personen, sondern auch die natürliche Person selbst, die bspw. bei einer juristischen Person angestellt ist.

Dritter ist ein anderer Verantwortlicher.

Übermitteln bedeutet das Einräumen einer Möglichkeit zur Kenntnisnahme personenbezogener Daten.

Auslagerung einer Dienstleistung

Zurück zur Beteiligung Mehrerer an einer Verarbeitung personenbezogener Daten. Einer der häufigsten Fälle ist die Auslagerung einer Dienstleistung. Damit liegt meist ein Auftraggeber-Auftragnehmer-Verhältnis vor, so dass zunächst eine Auftragsverarbeitung unter den Voraussetzungen des Art. 28 DSGVO geprüft wird. Sofern der Auftragnehmer die Daten jedoch auch außerhalb des Auftrags, also auch zu eigenen Zwecken verarbeitet, besteht die Möglichkeit einer gemeinsamen Verantwortung im Sinne von Art 26 DSGVO oder einer Übermittlung an einen eigenständigen Verantwortlichen (Dritten). Datenschutzrechtlich sind alle drei Varianten auf vertraglicher Ebene zwischen den Beteiligten lösbar, die rechtlichen Voraussetzungen unterscheiden sich aber deutlich:

Keine Rechtsgrundlage für die Datenweitergabe an Auftragsverarbeiter

Im Fall einer Auftragsverarbeitung ist die Übermittlung der Daten an den Auftragnehmer bei vorherigem Abschluss eines Vertrags nach Art. 28 Abs. 3 DSGVO zulässig. Daher ist die Auftragsverarbeitung auch so häufig und „beliebt“, denn hier wird neben diesem Vertrag keine Rechtsgrundlage für die Weitergabe der Daten an den Auftragnehmer gefordert. Für die jeweilige Datenverarbeitung durch den Verantwortlichen selbst natürlich schon. Allerdings muss diese Rechtsgrundlage nur der Verantwortliche, also der Auftraggeber prüfen, der Auftragnehmer benötigt keine „eigene“ Rechtsgrundlage. Dass die zusätzlichen Voraussetzungen des Art. 28 DSGVO einzuhalten sind, soll nicht verschwiegen werden, bei einem Auftragsverarbeiter innerhalb der EU beschränkt sich die Prüfung jedoch auf das Vorliegen ausreichender Sicherheitsmaßnahmen nach Absatz eins und der bereits eingesetzten Subdienstleister (Absatz zwei und vier). Nur sofern der Auftragnehmer oder von diesem eingesetzte Subdienstleister ihren Sitz außerhalb der EU / des EWR haben oder tätig sind, müssen  weitere Maßnahmen, wie bspw. die sog. Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO, eingehalten werden.

Einordnung Anhand des Sachverhalts

Ob tatsächlich eine Auftragsverarbeitung vorliegt orientiert sich allein an den tatsächlichen Datenverarbeitungen durch die Beteiligten. Der gewählte Vertrag ändert daran nichts. Wenn der Auftragsverarbeiter sich nicht mehr an die Anordnung des Auftraggebers hält und mit dessen Daten auch eigene Ziele verfolgt, liegt darin eine neue Datenverarbeitung, deren Verantwortlichkeit auch neu beurteilt werden muss. Kommt der Auftragsverarbeiter erst nachdem er zunächst weisungsgemäß die Daten des Auftraggebers verarbeitet hat, auf die Idee, diese Daten beispielsweise für Tests oder Weiterentwicklung seiner eigenen (neuen) Software zu nutzen, wird er dadurch selbst Verantwortlicher dieser Datenverarbeitung – sofern keine gesetzliche oder behördliche Verpflichtung dazu vorliegt, voraussichtlich ohne Rechtsgrundlage und damit unrechtmäßig. Geschieht diese eigenmächtige Verarbeitung ohne Wissen des Auftraggebers bliebe dieser im Falle einer Prüfung oder Beanstandung voraussichtlich von behördlichen Maßnahmen verschont. Wusste der Auftraggeber allerdings von der eigenverantwortlichen Verarbeiteten seiner Daten durch den Auftragnehmer, wäre dies voraussichtlich als ein Fall der gemeinsamen Verantwortung anzusehen der mangels entsprechender Regelung mit einem Bußgeld für beide Parteien beleget werden könnte.

Wie mit einem solchen Fall umzugehen wäre wird in Teil zwei dieser Reihe erläutert.