Datenschutzverträge: Auftragsverarbeitung, Joint Controllership oder doch zwei Verantwortliche? Welche Verträge sind mit wem zu schließen?

Viele Unternehmen haben nach Umsetzung der DSGVO immer noch erhebliche Schwierigkeiten, Datenschutzverträge mit Verantwortlichen und Auftragsverarbeitern richtig einzusetzen. Die nachfolgenden Informationen sollen Unternehmen helfen, die richtigen datenschutzrechtlichen Verträge in der Praxis anzuwenden:

1. Auftragsverarbeiter, Art 28 DSGVO

Wir beginnen mit der Auftragsverarbeitung.

Der Auftragsverarbeiter verarbeitet Personendaten im Auftrag des Verantwortlichen oder eines weiteren Auftragsverarbeiters. Die letzte Konstellation wird als sog. Unter-Auftragsverarbeitung (Sub-Processor) bezeichnet. Der Auftragsverarbeiter qualifiziert sich dadurch, dass er nur Verarbeitungen nach der strikten Weisung des Verantwortlichen durchführt und somit so stark gebunden ist, dass er keine selbstständige Entscheidung über Zweck und Mittel der Verarbeitung treffen kann.

Die Auftragsverarbeitung ist bei den meisten Unternehmen bekannt und wird rege genutzt. Es ist aber leider nicht so, dass jede Verarbeitung von personenbezogenen Daten mit Auftragnehmern eine Auftragsverarbeitung darstellt. Oftmals gibt es Konstellationen, in denen ein Auftragnehmer vielleicht selbst personenbezogene Daten in Eigenregie mit eigenen Mitteln und nicht auf Weisung des Verantwortlichen oder vielleicht nur zum Teil auf Weisung verarbeitet. Dann ändert sich das Gefüge der Auftragsverarbeitung hin zum Verantwortlichen. Woran kann man also erkennen, ob eine Auftragsverarbeitung vorliegt? Mit den nachfolgenden Kriterien kann man dies herausfinden:

• Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die personenbezogenen Daten.
• Der Auftragnehmer handelt ausschließlich auf Weisung des Unternehmens.
• Der Auftragnehmer hat keinen eigenen Geschäftszweck.
• Der Auftragnehmer unterliegt einem Nutzungsverbot über die personenbezogenen Daten.
• Der Auftragnehmer verantwortet die Datenverarbeitung
• Der Auftragnehmer hat keinen Vertrag mit Betroffenem.

Folgende Auftragnehmer sind demnach Auftragsverarbeiter: Lohnbuchhalter, Heizkostenabrechner, die vom Auftraggeber gelieferten Daten lediglich entsprechend der gesetzlichen Verpflichtungen verarbeiten aber nicht dazu beraten, oder auch ein Scan-Service, der Schriftstücke lediglich einscannt aber keine weiteren Entscheidungen dazu trifft. Zu den Auftragsverarbeitern gehören aber auch Services, die Akten oder Unterlagen vernichten, denn das Vernichten von personenbezogenen Daten ist ebenfalls Datenverarbeitung im Sinne der DSGVO.

Diese Auftragnehmer haben gemeinsam, dass sie keine eigene Entscheidungskompetenz bei der Datenverarbeitung haben und in der Regel auch nicht gegenüber den betroffenen Personen – Mietern und Eigentümern – in Erscheinung treten.

Ob ein Systemadministrator bzw. derjenige der die IT-Anlagen wartet, ein Auftragsverarbeiter ist, hängt davon ab, ob die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten besteht. Wenn das der Fall ist, dann liegt Auftragsverarbeitung vor, wenn lediglich eine rein technische Wartung erfolgt, dann soll keine Auftragsverarbeitung vorliegen.

Keine Auftragsverarbeiter sind die Post, Steuerberater oder Rechtsanwälte. Hier werden durch den Verantwortlichen fremde Fachleistungen in Anspruch genommen. Auch das externe Reinigungspersonal der Büroräume verarbeitet keine Daten im Auftrag und ist daher kein Auftragsverarbeiter (auch selbst wenn Akten offen herumliegen und der Reinigende diese anschauen könnte oder er den nicht datenrelevanten Müll entsorgt).

Liegt keine Auftragsverarbeitung vor, sollten Unternehmen an den Begriff des Verantwortlichen nach Art. 4 Nr. 7 DSGVO denken.

2. Verantwortlicher, Art 4 Nr. 7 DSGVO

„Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Begriff des Verantwortlichen ist also legaldefiniert. Wesentlicher Unterschied zum Auftragsverarbeiter ist hier, dass es auch „gemeinsam“ Verantwortliche gibt. Grundfall ist jedoch zunächst der allein Verantwortliche.

Arbeiten also Unternehmen als jeweils allein Verantwortliche zusammen, sind zur Bestimmung andere Kriterien einzusetzen, denn Verantwortliche entscheiden allein über die Zwecke und Mittel der Datenverarbeitung. Hierbei ist eine funktionale und nicht etwa eine formelle Betrachtung zu wählen. Es ist zu identifizieren, wer „Herr der Daten“ ist und somit in beabsichtigter Weise auf das Ergebnis und auf die Art und Weise, wie dieses Ergebnis erreicht werden kann, entscheidend einzuwirken vermag. Ein Beispiel ist das Facility Management eines Einkaufzentrums. Der Eigentümer überlässt es dem Facility Manager zu 100% ein Einkaufszentrum zu unterhalten. Alle Leistungen wie z.B. Vermietung, Säuberung, Vermarktung etc. werden vom Facility Manager übernommen. Der Eigentümer erhält natürlich auch ein Reporting insbesondere über die Vermietung von Flächen. Eigentümer und Facility Manager handeln aber völlig unabhängig voneinander. So entscheidet auch der Facility Manager alleine mit welchen Mitteln wie z.B. einer Software er auch personenbezogene Daten verarbeitet.

Aus dem Umstand, dass personenbezogene Daten zwischen zwei oder mehreren Verantwortlichen ausgetauscht werden, kann noch nicht auf eine gemeinsame Verantwortlichkeit geschlossen werden. So gibt es vielfach Konstellationen, in denen eine Datenverarbeitung stattfindet, ohne dass gemeinsame Zwecke verfolgt werden. Als Beispiel können hier etwa Übermittlungen von Mitarbeiterdaten an Steuerbehörden oder Sozialversicherungsanstalten auf Grund gesetzlicher Verpflichtungen genannt werden. In diesen Fällen verfolgen die involvierten Verantwortlichen unabhängig voneinander eigene Zwecke und bestimmen auch die Mittel der Verarbeitung unabhängig voneinander. Vielfach bestimmt auch die Fachkompetenz die Eigenschaft eines Verantwortlichen. Der Eigentümer aus obigem Beispiel ist nicht in der Lage das Einkaufszentrum zu bewirtschaften. Diese Fachkompetenz hat nur der Facility Manager, dem das entsprechende Know How und die Mittel zur Verfügung stehen, das Einkaufszentrum zu steuern.

3. Joint Controllership, Art. 26 DSGVO

Von gemeinsam Verantwortlichen (Joint Controller) ist auszugehen, wenn zwei oder mehrere Verantwortliche gemeinsam die Zwecke und die Mittel der Datenverarbeitung festlegen. Die gemeinsame Verantwortung entsteht nicht notwendigerweise aus einem gemeinsamen Willen, diese Verantwortung gemeinsam zu tragen bzw. in einer bestimmten Weise aufzuteilen – maßgeblich ist ein faktisches Verhalten, das in der gemeinsamen Festlegung von Zwecken und/oder Mitteln besteht.

Beispiel: Ein Unternehmen beauftragt einen Dienstleister, im Rahmen eines Personalbedarfsplanes bei der Besetzung offener Stellen zu unterstützen. Der Dienstleister schreibt die Stellen aus, sichtet Bewerbungsunterlagen und führt eine erste Runde von Gesprächen; einige Kandidaten werden dann in die engere Auswahl genommen und dem Unternehmen vorgeschlagen, das dann eigene Gespräche führt. Das Unternehmen überlässt es dem Dienstleister, geeignete Personalfragebögen zu entwickeln und Medien für den Austausch der Daten auszuwählen (z.B. Plattform, in die geeignete Kandidaten eingestellt werden und auf das das Unternehmen zugreifen kann. Beide wirken faktisch an einem einheitlichen Prozess mit und haben gemeinsam festgelegt, wer welche Teilaufgaben wahrnimmt. Beiden kommen bestimmte Entscheidungskompetenzen zu.

4. Abgrenzung

Ist die Abgrenzung vom Auftragsverarbeiter zum Verantwortlichen und Joint Controller erst einmal gefunden und klargestellt, dass keine Auftragsverarbeitung vorliegt, bleibt lediglich zu entscheiden, ob es gemeinsam oder allein Verantwortliche sind.

Wie grenze ich nun den Auftragsverarbeiter vom Allein-Verantwortlichen oder Joint Controller ab? Hierzu hat FPS die Triple-Matrix Datenschutzverträge erstellt, anhand derer eine eindeutige Identifizierung erfolgen kann: Sind die Kriterien zum überwiegenden Teil der „geringen Wahrscheinlichkeit“ zuzuordnen, handelt es sich um einen Auftragsverarbeiter, bei „mittlerer Wahrscheinlichkeit“ um einen Joint Controller oder Allein-Verantwortlichen bei „hoher Wahrscheinlichkeit“. Alle Kriterien beziehen sich hierbei auf den Auftragnehmer. Wir haben unsere Matrix mit drei Beispielen gefüttert und diese den Kriterien der Matrix zugeordnet, so dass anhand der Beispiele nachvollzogen werden kann, wie die Kriterien in der Praxis angewandt werden.

FPS Triple-Matrix Datenschutzverträge

Tätigkeit als WEG-Verwalter

Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern 

Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben 

Um die Matrix besser anwenden zu können, haben wir ein HowTo verfasst, das die Kriterien erklärt:

Datenerhebung

1. Ein abgestimmtes Vorgehen bei der Datenerhebung liegt vor, wenn zwischen den Beteiligten eine konkrete Absprache besteht, die regelt wer, wie, welche Daten erhebt.

2. Kann der Auftragnehmer z.B. personenbezogene Daten, die nicht für einen Verantwortlichen geeignet sind, berechtigterweise an Dritte weiterleiten?

Datenverarbeitung

3. Eine (Mit-)Entscheidungsbefugnis über die Mittel und Zwecke der Datenverarbeitung liegt z.B. bei technischen und organisatorischen Mitteln (das Wie der Verarbeitung z.B. hinsichtlich Zugriffsrechte oder Speicherfristen) vor, über die ein Auftragnehmer entscheiden kann. Handelt es sich um gemeinsame Festlegungen oder um klare Vorgaben eines Beteiligten?

4. Die Beratungsfunktion bei der Datenverarbeitung umfasst eine Unterrichtung und Beratung über die Art und Weise der Verarbeitung personenbezogener Daten.

5. Der Handlungsspielraum bei der Datenverarbeitung bezieht sich auf die Annahme einer Stellung des Auftragnehmers bei der Datenverarbeitung, wonach eine Verschiebung der Risikolage und der Verantwortung hin zum Auftragnehmer anzunehmen ist. Beispiel: Organisation für die Umwandlung personenbezogener Daten in „kodierte Daten“, um die Verarbeitung für historische, wissenschaftliche und statistische Zwecke zu ermöglichen, sofern die zwischengeschaltete Organisation selbständig die Art und Weise der Kodierung bestimmen und dabei auch verschiedene Datenbestände verschiedener Auftraggeber zusammenführen kann und Wechselwirkungen berücksichtigen muss.

6. Ein eigenes Interesse bei der Datenverarbeitung ist gegeben, wenn der Auftragnehmer eigene Interessen an den personenbezogenen Daten verfolgt. Der Auftragnehmer agiert in diesem Fall nicht mehr als „verlängerter Arm“ des Verantwortlichen.

7. Wenn ein Auftraggeber den Beauftragten permanent sorgfältig beaufsichtigt, ist dies ein Indiz für die alleinige Kontrolle des Auftraggebers.

8. Gemeinsame Absprachen sind Vereinbarungen zwischen den Beteiligten über das „Ob“ und „Wie“ der Verarbeitung von personenbezogenen Daten. Hierbei besteht kein reines Weisungsrecht des Auftraggebers.

9. Eine Weisungsgebundenheit des Auftragnehmers qualifiziert sich dadurch, dass er nur Verarbeitungen nach strikten Anweisungen und Kriterien des Auftraggebers durchführt und somit so stark gebunden ist, dass er keine selbstständige Entscheidung über den Zweck und Mittel der Verarbeitung treffen kann.

Äußere Kriterien

10. Der Auftragnehmer tritt im Außenverhältnis gegenüber den Betroffenen auf, wenn ein Kontakt zwischen ihm und den Betroffenen regelmäßig entsteht.

11. Eine Unabhängigkeit der Parteien besteht in den Fällen, wenn die involvierten Parteien unabhängig voneinander eigene Zwecke verfolgen und auch die Mittel der Verarbeitung unabhängig voneinander bestimmen können.

12. Die Fachkompetenz des Auftragnehmers bezieht sich auf die persönliche Fähigkeit, fachbezogene und fachübergreifende Daten zu verknüpfen, zu vertiefen, kritisch zu prüfen sowie in Handlungszusammenhängen anzuwenden (z.B. Beauftragung eines Wirtschaftsprüfers).