In Art. 4 Nr. 8 DSGVO wird ein Auftragsverarbeiter definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Dabei ist sicherzustellen, dass der zwischen einem datenschutzrechtlich Verantwortlichen und einem Auftragsverarbeiter zu schließende Auftragsverarbeitungsvertrag (AVV) Regelungen zur Weisungsgebundenheit enthält: Nach Art. 28 Abs. 3 S. 2 lit. a DSGVO hat der AVV vorzusehen, dass personenbezogene Daten „nur auf dokumentierte Weisung des Verantwortlichen“ verarbeitet werden dürfen.

Reichweite der Weisungsgebundenheit

Doch welchen Weisungen muss der Auftragsverarbeiter Folge leisten? Kann der Verantwortliche z. B. auch in den innerbetrieblichen Ablauf des Auftragsverarbeiters hineindelegieren oder plötzlich einen höheren Standard an Sicherheitsmaßnahmen (technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, kurz „TOM“) hinsichtlich der beauftragten Datenverarbeitung verlangen?

Ein zentrales Element der Auftragsverarbeitung ist die anhaltende Verantwortlichkeit des datenschutzrechtlich Verantwortlichen bzgl. der ausgelagerten Verarbeitungsvorgänge an den Auftragsverarbeiter, die im Besonderen durch umfassende Weisungsmöglichkeiten des Verantwortlichen sichergestellt wird. Die Reichweite möglicher Weisungen des Verantwortlichen wird dabei in dem Wortlaut des Art. 28 DSGVO – bis auf die unten genannten Ausnahmen (!) – kaum eingeschränkt.

Grundsätzlich empfiehlt es sich daher, Regelungen im Hinblick auf die Art der Weisungen im AVV zu treffen. Aus Sicht des Auftragsverarbeiters bietet sich dabei insbesondere eine Vereinbarung an, wonach eine Weisung eindeutig und spezifiziert sein muss. Pauschale und oberflächliche Weisungen, wie „Alle geltenden Gesetze sind einzuhalten“ oder „Es sind die höchsten technischen Sicherheitsfunktionen zu verwenden“, sollten ausgeschlossen werden, zumal die Umsetzung kaum nachweisbar ist, der Auftragsverarbeiter sich also auch nicht rechtssicher entlasten kann. Der Verantwortliche ist wiederum gut beraten, die Weisungen für den Auftragsverarbeiter in Bezug auf Art und Zweck der Datenverarbeitung konkret zu halten.

Mögliche Ausnahmen von der Weisungsgebundenheit

Eine erste gesetzliche Ausnahme von der Weisungsgebundenheit findet sich direkt in Art. 28 Abs. 3 S. 2 lit. a DSGVO. Demnach kann ein Auftragsverarbeiter die personenbezogenen Daten auch ohne Weisung des Verantwortlichen verarbeiten, wenn er durch das Unionsrecht oder Recht des EU-Mitgliedsstaats, dem er unterliegt, dazu verpflichtet ist. Er muss dem Verantwortlichen die rechtlichen Anforderungen allerdings vor der Verarbeitung mitteilen, wenn das jeweilige Recht die Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt.

Eine weitere Ausnahme von der Weisungsgebundenheit kann Art. 28 Abs. 3 UAbs. 2 DSGVO entnommen werden. Darin wird festgelegt, dass der Auftragsverarbeiter den Verantwortlichen unverzüglich informiert, falls er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder gegen andere Datenschutzbestimmungen der EU oder der Mitgliedsstaaten verstößt. Der Gesetzeswortlaut geht hier nicht von einer tatsächlichen rechtswidrigen Weisung aus, sondern legt die Meinung über den gesetzeskonformen Inhalt zunächst in die rechtliche Einschätzung des Auftragsverarbeiters. Das bedeutet aber auch, dass die Weisung zunächst eine verbindliche Weisung bleibt, selbst wenn sie sich als tatsächlich rechtswidrig herausstellt. Die reine Behauptung des Auftragsverarbeiters, nämlich dass die Weisung rechtswidrig sei, schafft diese nicht aus der Welt. Es liegt dann i. d. R. am Verantwortlichen, die Weisung zu überprüfen.

In der Praxis dürften Auftragsverarbeiter – da es keine Prüfpflicht in Bezug auf die erteilten Weisungen gibt – zumeist nur (für sie) offenkundig rechtswidrige Weisungen ansprechen. Aber wie ist damit umzugehen, wenn der Verantwortliche seine Weisung (trotzdem) als rechtmäßig betrachtet, während der Auftragsverarbeiter anderer Auffassung ist? Wie lässt sich dieser Widerspruch auflösen, wenn beide Parteien sich im Recht glauben? Ein Vorschlag in der Kommentarliteratur ist, sich an die Aufsichtsbehörde zu wenden, die dann ihre Einschätzung zu dem Fall abgeben kann. Kommt sie zu dem Ergebnis, dass die Weisung rechtmäßig ist und stellt sich die Meinung der Aufsichtsbehörde im Nachhinein als falsch heraus, sei der handelnde Auftragsverarbeiter von jeder Haftung und dem Risiko einer Geldbuße befreit (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 28). Wieso aber ein unabhängiges Gericht anschließend auch an diesen „Freifahrtschein“ gebunden sein soll, ist nicht offensichtlich und schafft so keine abschließende Rechtssicherheit.

Grundsätzlich empfiehlt es sich daher für Auftragsverarbeiter, die Folgen einer Information des Verantwortlichen über Weisungen, die als rechtswidrig eingestuft werden, vor dem Eintreten dieser Situation ebenfalls im AVV zu regeln. Dies kann z. B. im Rahmen einer Klausel erfolgen, wonach der Auftragsverarbeiter eine (begründet) als nicht rechtmäßig eingestufte Weisung nicht befolgen muss, bis der Verantwortliche diese entsprechend ändert.

Bestehende Dokumentationsanforderungen

Bei beiden Ausnahmegründen (Verpflichtung zur Datenverarbeitung nach Art. 28 Abs. 3 S. 2 lit. a DSGVO und Weigerung zur Weisungsbefolgung i. S. d. Art. 28 UAbs. 2 DSGVO) sollte der Auftragsverarbeiter die Gründe für sein Handeln mit Blick auf die Haftung nach Art. 82 DSGVO dokumentieren. Nach Art. 82 Abs. 2 S. 2 DSGVO haftet er für einen Schaden durch eine Datenverarbeitung dann, „wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung [der DSGVO, Anm. der Verf.] nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“. Das Erfüllen einer rechtlichen Verpflichtung bei einer nicht weisungsgebundenen Datenverarbeitung und/oder das Nichtbefolgen einer Weisung bei deren Unrechtmäßigkeit sollten daher begründet werden können bzw. nachweisbar sein.

Fazit

Auftragsverarbeiter sollten versuchen, Regelungen zu Weisungen und Ausnahmen von der Weisungsgebundenheit bereits innerhalb des AVV festzuhalten, um eigene Haftungsrisiken zu senken. Ferner sollte das eigene Handeln im Hinblick auf erteilte Weisungen des Verantwortlichen stets (nachweisbar) dokumentiert werden.