Auftragsverarbeitung im Sinne des Datenschutzes bedeutet die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter (Dienstleister) im Auftrag und auf Weisung des Verantwortlichen.

Das Outsourcing von Arbeitsprozessen und damit auch von Datenverarbeitungen prägt heute in weiten Teilen die Untenehmenspraxis. Aus Kosten- oder Know-How-Gründen, um Raum oder Investitionen zu sparen oder um einfach flexibler zu sein - immer mehr einzelne Prozesse und teilweise auch ganze Aufgabenbereiche werden auf externe Dienstleister ausgelagert.

Wann nun aber das Vertragsverhältnis mit einem Dienstleister einer Auftragsverarbeitung entspricht und wann nicht, ist bisweilen selbst für Juristen eine ausgesprochen schwierige Frage. Seit Geltung der DSGVO sind hier die Definitionen von »Verantwortlichem« in Artikel 4 Nummer 7 DSGVO und »Auftragsverarbeiter« in Artikel 4 Nummer 8 DSGVO entscheidend.

Artikel 4 Nummer 7 DSGVO:

„Verantwortlicher“ (ist) die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

Artikel 4 Nummer 8 DSGVO:

„Auftragsverarbeiter“ (ist) eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

Typische Erkennungsmerkmale stellen die Verarbeitung im Auftrag und auf Weisung des Auftraggebers (des Verantwortlichen) dar. Dem Auftragnehmer (dem Auftragsverarbeiter) ist es dabei untersagt, die Daten zu eigenen Zwecken (z.B. Eigenwerbung) zu nutzen; er besitzt dabei keinerlei Ermessensspielraum. Ein Auftragnehmer, der sich vertraglich ausbedingt, die überlassenen Daten auch für eigene Zwecke zu nutzen, und sei es auch nur der Test seiner eigenen Serversysteme, kann kein Auftragsverarbeiter sein. Wenn ein Lettershop mit dem Versand eines Werbebriefes an den Kundenstamm des Auftraggebers beauftragt ist und diesen Kundenstamm auch gleich mit eigenen Angeboten beglückt, verhält sich rechtswidrig. Wie gesagt dabei gibt es keine Ermessenspielräume und Dispositionsmöglichkeiten der Vertragsparteien. Die DSGVO ist da eindeutig:

Artikel 28 Absatz 10 DSGVO:

Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.

Bezüglich der Bestimmung der Mittel ist man etwas großzügiger; hier besitzt der Auftragsverarbeiter durchaus einen wenn auch kleinen Ermessensspielraum insbesondere bei Art und Umfang der Datenverarbeitung und bei den Sicherheitsmaßnahmen. Es muss aber klar sein, dass der Auftraggeber der Verantwortliche und damit auch Herr über die Ausgestaltung der Mittel bleibt. In der Praxis ist es aber so, so dass der Auftraggeber, z.B. beim Newsletterversand, gar nicht über die technischen Fertigkeiten verfügt, um den Auftragnehmer (Newsletterversender) hier Vorgaben machen zu können.

Zusammenfassend lässt sich also festhalten, dass die Auftragsverarbeitung wesentlich dadurch gekennzeichnet ist, dass der Auftraggeber (Verantwortlicher)

  • die Zwecke und Mittel der Verarbeitung bestimmt und gegenüber dem Auftragsverarbeiter
  • weisungsbefugt ist.
Kostenloses Webinar: Auftragsverarbeitung nach DSGVO
Die Auftragsverarbeitung – Ein Dauerbrenner im Datenschutz und das mit Recht. In diesem Webinar erfahren Sie, was zu beachten ist und wie die Best Practce aussieht. Jetzt kostenlos anmelden.