Vor etwas über einem Jahr wurden Auftragsdatenverarbeitungsverträge nach BDSG durch Auftragsverarbeitungsverträge nach DSGVO abgelöst. Ob eine interne Verarbeitung personenbezogener Daten oder eine Auftragsverarbeitung (“AV”) Datenschutzanforderungen besser entspricht, kommt auf den Einzelfall an. Nach einer Darstellung wichtiger Entscheidungskriterien folgen Vorschläge zum Meistern wichtiger Herausforderungen bei einer Einführung einer AV.
1. Funktionsübertragung adé
Vor der DSGVO war die Auftragsdatenverarbeitung von der Funktionsübertragung abzugrenzen: Wurden gesamte Aufgaben- oder Geschäftsbereich auf den Auftragnehmer übertragen (Funktionsübertragung), war hierfür eine zusätzliche Erlaubnisnorm, z. B. eine diesbezügliche Einwilligung, erforderlich. Diese Abgrenzung war nicht stets eindeutig. Seit der DSGVO fällt diese Abgrenzung sowie die gegebenenfalls erforderliche zusätzliche Erlaubnisnorm weg. Auch eine Funktionsübertragung kann als AV und damit ohne zusätzliche Erlaubnisnorm gestaltet werden. Outsourcing ist daher in mehr Fällen leichter möglich.
2. Intern oder extern?
In der Gesamtbetrachtung können die Relativität des Personenbezugs, geteilte Verantwortlichkeiten, gute Verträge sowie die Unterstützung bei der Erfüllung der Betroffenenrechte eine AV häufig datenschutzfreundlicher gestalten als eine Verarbeitung durch den Verantwortlichen selbst. Gegen eine AV können besondere Gefahren durch negative Aggregierungs- und Zentralisierungseffekte, aber auch nicht umsetzbare Spezialanforderungen sprechen.
a. Mehr Aufgaben und Pflichten
Die Datenschutz-Pflichtenkataloge sind mit der DSGVO allgemein gewachsen. Alle Pflichten ordnungsgemäß zu erfüllen ist damit sowohl mit als auch ohne AV aufwendiger geworden. Die Spezialisierung des Auftragnehmers auf bestimmte Dienstleistungen wird die vollständige Erfüllung der vielfältigen Aufgaben und Pflichten oft erleichtern.
b. Sicherheit
Eine Spezialisierung des Auftragnehmers erlaubt diesem, sich auf viele typische Verarbeitungsumstände besser einzustellen, als dies ein Verantwortlicher könnte. Dies kann zu höherer Sicherheit führen. Technisch-Organisatorische Schutzmaßnahmen iSd. Art. 32 DSGVO sind nach dem Grundsatz der economies of scale leichter für große Verarbeitungsmengen zu implementieren.
Sicherheitsupdates werden bei einem spezialisierten externen AV-Anbieter regelmäßig schneller eingespielt als intern. Das Personal ist beieinem spezialisierten externen AV-Anbieter häufig besser für die typische Verarbeitung geschult. Im Falle einer Verletzung von datenschutzrechtlichen Anforderungen drohen dem AV-Verarbeiter vermutlich höhere Bußgelder und Schäden. Im Einzelfall muss dabei z. B. im Rahmen einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO berücksichtigt werden, ob der Auftragnehmer sich durch die zentralisierte Verarbeitung überproportional zu einer Zielscheibe für Hacker aufschwingt.
c. Haftung und Betroffenenrechte
Dass zwei Akteure für eine Verarbeitung haften können und der AV-Anbieter zu Hinweisen verpflichtet ist (Art. 28 III 3, X DSGVO), kann im Ergebnis zu mehr Datenschutz führen. Dies gilt erst recht, soweit in Zukunft eine gemeinsame Verantwortlichkeit häufiger werden sollte (siehe Kremer, Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?, CR 2019, 225-234). Auch die Erfüllung der Pflichten nach Kapitel III zu Rechten der betroffenen Person ist leichter, da der AV-Anbieter deutlich häufiger mit entsprechenden Aufgaben zu tun haben dürfte. Dadurch kann dieser eine bessere Bearbeitung sicherstellen, als ein mit sehr vielen sehr unterschiedlichen Aufgaben konfrontierter Verantwortlicher. Gegenüber dem Auftraggeber für Datenschutzverstöße haftet der Anbieter primär gemäß den vertraglichen Regelungen.
d. AV-Datenschutz durch Vertrags- und Technikgestaltung
Anonymisierung und Pseudonymisierung können bei geschickter Vertrags- und Technikgestaltung dazu führen, dass der Personenbezug von Daten in einer AV-Konstellation sowohl für den Auftraggeber, als auch für den Anbieter von AV-Leistungen im Vergleich zu interner Verarbeitung reduziert wird.
Der EuGH entschied zum alten Recht bezüglich IP-Adressen, dass ein Datum
“für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.”
(EuGH Urteil v. 19. Oktober 2016, Az. C‑582/14 – Leitsatz, Hervorhebungen hinzugefügt).
Damit steht fest, dass es auf die Mittel des jeweiligen Anbieters ankommt. Die Frage, ob ein Datum personenbezogen ist, muss also für jeden Akteur einzeln entschieden werden.
Dies kann eine datenschutzfreundlichere Verarbeitung durch AV ermöglichen: Erhält der AV-Anbieter nur ID-Nummern und keine Benutzernamen vom Anbieter, so ist für den AV-Anbieter im Idealfall nicht oder nur in Ausnahmefällen erkennbar, wessen Daten er verarbeitet. Eine AV-Vereinbarung könnte im Idealfall sogar entbehrlich sein. Auftraggeber und Auftragnehmer sollten jeweils nur das erforderliche Maß an vertraglichen und technischen Zugriffsrechten auf die zu verarbeitenden Daten erhalten.
Beispiel: Ein Arbeitgeber möchte anonym analysieren, wie oft Arbeitnehmer insgesamt bestimmte Funktionen einer internen Website nutzen. Die freiwillige Einwilligung wird sicherheitshalber angenommen. Fände die Erfassung intern statt, wäre dem Arbeitgeber technisch jederzeit faktisch möglich, mehr oder nicht anonym zu erfassen. Eine Regelung im AV-Vertrag wird ein solches Vorgehen regelmäßig ausschließen.
Im Idealfall verarbeitet der AV-Anbieter Daten, die er keiner Person, sondern nur einer nicht personenbezogenen ID zuordnen kann. Der Verantwortliche hat mangels Zugriff auf die technische Infrastruktur und Weisungsbefugnis gegenüber dem Verarbeitungspersonal sowie dank datenschutzfreundlicher Vertragsgestaltung deutlich weniger Zugriff auf personenbezogene Daten als bei eigener Verarbeitung.
Die Konstellation ist dann datenschutzfreundlicher als eine interne Verarbeitung. Denn dort hätte der Verantwortliche faktisch (Infrastruktur) wie rechtlich (Weisungsbefugnis) mehr Zugriff. Im Idealfall ist bei der AV denkbar, dass weder Anbieter noch Verantwortlicher wissen, wessen Daten gerade verarbeitet werden. Jeder Beteiligte hat nur die für ihn erforderlichen Informationen. Wessen Daten im Rahmen der AV verarbeitet werden, weiß dann, ganz im Sinne der Datenminimierung, im Regelfall nur der Betroffene. Je größer die Annäherung an diese Gestaltung, desto effektiver der Datenschutz. Sicherheitshalber sollte jedoch auch bei vermeintlich regelmäßig aufgehobenem Personenbezug ein AV-Vertrag geschlossen werden. Denn in Einzelfällen werden meist noch personenbezogene Daten anfallen.
e. Fazit
Eine AV kann aus Datenschutzgründen vorzugswürdig oder sogar geboten sein. Diese Entscheidung muss im Einzelfall in Abhängigkeit von der vertraglichen und technischen Ausgestaltung der Datenverarbeitung getroffen werden.
Für eine AV spricht:
- wenn der Personenbezug reduziert oder aufgehoben wird;
- wenn der AV-Anbieter gemäß Art. 42 DSGVO für die beauftragte AV zertifiziert ist;
- wenn der AV-Anbieter auf die Verarbeitung spezialisiert und damit erfahrener in der datenschutzfreundlichen Verarbeitung dieser Art von Daten ist;
- wenn der AV-Anbieter auf die Verarbeitung spezialisiert ist und damit die Erfüllung aller auf die spezielle Form der Verarbeitung bezogenen Pflichten, z. B. der ausführlichen Auflistung aller auf eine Person bezogenen Daten, besser gewährleisten kann;
- dass der AV-Anbieter vertrags- oder datenschutzwidrige Weisungen seltener befolgen dürfte und darauf hinweisen muss; und
- dass Art. 28 DSGVO einen ausführlichen Pflichtenkatalog für AV-Anbieter aufstellt.
Gegen eine Auslagerung sprechen:
- für den AV-Anbieter untypische, gerade nicht seiner Spezialisierung entsprechende Verarbeitungen;
- überdurchschnittlich hohe Risiken der Verarbeitung, soweit diese nur intern angemessen reduziert werden können; und
- wenn Risiken überhaupt erst durch die AV entstehen, z. B. durch eine erhebliche zusätzliche Akkumulation oder Aggregation personenbezogener Daten bei einem einzigen AV-Anbieter.
Spezialisierte Anbieter mit fairen Verträgen und überzeugenden technisch-organisatorischen Maßnahmen werden der internen Verarbeitung oft vorzuziehen sein.
3. AV-Hürden meistern
Die DSGVO stellt für eine AV in Art. 28 DSGVO erhebliche Hürden auf: Besonders aufwendig ist in der Praxis die Auswahl datenschutzfreundlicher Anbieter, das Aushandeln von gesetzeskonformen und fairen Verträgen, vor allem bei Drittländerbezug oder gemeinsamer Verantwortung.
An dieser Stelle ein Aufruf, keinen eigenen AV-Vertrag zur Verwendung in der Praxis zu entwerfen. Individual- und Insellösungen, die oft nicht einmal die gesetzlichen Mindestanforderungen von Art. 28 DSGVO erfüllen, sind weder im Sinne des Auftragnehmers, noch dem Auftraggeber zumutbar. Sie verhindern einen effizienten Abschluss. Dies gefährdet sowohl einen schnellen, umfassenden Schutz der Daten als auch durch Verzögerung des Vertragsschlusses den Umsatz der beteiligten Unternehmen.
Vielmehr sollten Auftraggeber und Auftragnehmer im Interesse aller Beteiligten standardisierte Mustervertragsvorlagen, die typische Sonderfälle als Optionen zur Verfügung stellen sollten, als Grundlage für eigene Verträge verwenden. Diese Muster sollten auch Verarbeitung in Drittländern absichern. Zumindest bei außerhalb der DACH-Region tätigen Anbietern sind englischsprachige Verträge sinnvoll. Besonderheiten können in Anhängen geregelt werden. Zu hoffen ist, dass sich irgendwann eine Art EVB-IT für AV durchsetzt.
Durch einheitliche Vertragsmuster lässt sich auch die Pflicht gem. Art 28 Abs. 4 Satz 1 DSGVO, Auftragsverarbeitern des Auftragsverarbeiters dieselben Datenschutzpflichten aufzuerlegen, besser erfüllen. Damit eine Anpassung an die Umstände der Verarbeitung des Auftragnehmers effizient umfassend möglich ist, sollte regelmäßig der AV-Vertrag in der Fassung des Auftragnehmers die Grundlage der trotzdem teilweise erforderlichen Verhandlungen zu Sonderregelungen bilden.
Eine weitere Herausforderung: Die Gerichte haben noch nicht abschließend entschieden, wo die AV iSd. Art. 28 DSGVO aufhört und die gemeinsamer Verantwortlichkeit iSd. Art. 26 DSGVO anfängt. In Zukunft könnten gemischte Verarbeitungsverträge, möglicherweise mit Regelungen zur teilweisen AV und teilweisen gemeinsamen Verantwortlichkeit, häufiger werden. Auch für diese Vertragsform gelten die Ausführungen zu Mustervertragsvorlagen.
All dies sorgt für erhebliche Hürden beim Auslagern von personenbezogener Datenverarbeitung. Ein elektronischer oder konkludenter Vertragsschluss und die Einbeziehung als AGB kommen als effektive Methoden zum Vertragsschluss in Betracht. In Zukunft könnte eine Zertifizierung sowie eine Vereinheitlichung von AV-Verträgen die Einführung einer AV erleichtern.
Insgesamt kann die Auslagerung wie dargestellt durchaus die datenschutzfreundliche Alternative zu interner Verarbeitung sein. Datenschutz ist dann ein weiteres Argument für das Auslagern bestimmter Aufgaben. Dem Auslagern einer Verarbeitung steht jedoch auch bei Verbesserung des Datenschutzniveaus oft noch ein erheblicher Aufwand gegenüber.