Auftragsverarbeitung und Verantwortlichkeit – eben kein „Entweder-Oder“!

Unter (kleineren) Auftragsverarbeitern herrscht oftmals Unklarheit, wo die Grenzen zwischen einer Datenverarbeitung im eigenen Verantwortungsbereich und der Auftragsverarbeitung verlaufen. Warum diese Unterscheidung aber wichtig ist und wo Sie die Grenze ziehen müssen, erfahren Sie in diesem Beitrag.

Welche Pflichtinhalte hat eine AVV?

Viele unserer Mandanten sind Auftragsverarbeiter. Das bedeutet, dass sie für jemand Anderen – den Verantwortlichen –  Daten weisungsgebunden verarbeiten. Erster Schritt, den die DSGVO für einen solchen Fall fordert, ist dann der Abschluss einer Auftragsverarbeitungsvereinbarung (oder kurz: AVV). So weit – so gut – so richtig. 

Diese AVV ist dann Grundlage für die weitere Beziehung zwischen dem Auftragsverarbeiter und dem Kunden – zumindest datenschutzrechtlich. Eine AVV muss nach Art 28 Abs. 3 DSGVO zudem bestimmte Mindestinhalte haben. Unter anderem gehören detaillierte Angaben zu den im Auftrag verarbeitete Daten und zu den Verarbeitungszwecken in jede AVV. Allerdings verschwimmen in der weiteren Folge oftmals die Grenzen zwischen den verschiedenen Rollen des Auftragsverarbeiters, nämlich als Auftragsverarbeiter auf der einen und als Verantwortlicher auf der anderen Seite.

Ein Beispiel aus der Praxis

Einer unserer Mandanten, nämlich ein IT-Service-Haus, hat im Wesentlichen zwei Geschäftsfelder:

1. das Reselling von Standardsoftware, sowie
2. den Support dieser Software.

Diese Unterteilung ist wichtig, denn in den beiden Geschäftsfeldern nimmt unser Mandant eine unterschiedliche datenschutzrechtliche Rolle ein: Als Reseller ist er selbst für die verwendeten Käuferdaten verantwortlich, z.B. im Rahmen der Lizenzschlüssel-Vergabe. Im Support dagegen tritt unser Mandant als Auftragsverarbeiter auf, wofür standardmäßig eine AVV geschlossen wird. Die Auftragsverarbeitung begründet sich darin, dass unser Mandant erhält im Rahmen des Software-Supports unter Umständen auch Einblick in die eingegebenen Nutzerdaten erhält – also in die Daten der Kunden des Software-Käufers.

Soweit, so gut. Der Abschluss einer AVV ist ein guter erster Schritt, doch hierbei lauern auch Gefahren. Denn die verschiedenen datenschutzrechtlichen Rollen unseres Mandanten im Rahmen seiner beiden Geschäftsfelder müssen auch in seinen Standardverträgen klar getrennt bleiben. Konkret heißt das: In die AVV gehört nur das, was auch wirklich Auftragsverarbeitung ist!

Und genau hier lag das Problem: In der AVV unseres Mandanten wurden (unter anderem) diejenigen Daten beschrieben, die eigentlich im Reselling an den Hersteller der Software weitergegeben wurden (für den Lizenzschlüssel). Außerdem wurde der Softwarehersteller (sozusagen konsequenterweise) fälschlich als Unterauftragsnehmer ausgewiesen. Allerdings ist das Reselling wie gesagt – im Gegensatz zum Support – kein Fall von Auftragsverarbeitung, sondern untersteht der direkten Verantwortung unseres Mandanten. Folglich haben die weitergegebenen Kundendaten des Resellings nichts in der AVV unseres Mandanten verloren.

Was ist problematisch an diesem Vorgehen?

Nicht alle Daten, die ein Auftragsverarbeiter verarbeitet, verarbeitet er auch wirklich als Auftragsverarbeiter! Ein Auftragsverarbeiter, z.B. unser Mandant im Rahmen des Supports, kann für manche Daten durchaus auch selbst verantwortlich sein – z.B. im Rahmen des Resellings. Diese Unterscheidung darf auch in der abgeschlossenen AVV nicht verschwimmen. Das Motto sollte daher lauten: Weisen Sie in der AVV so viel wie nötig aus – aber so wenig wie möglich.

Werden in den Anwendungsbereich der AVV (unzutreffenderweise) Datenverarbeitungsvorgänge einbezogen, für die der Auftragsverarbeiter eigentlich selbst verantwortlich ist, kann dies unschöne Konsequenzen nach sich ziehen. Beispielsweise könnte der falsch ausgewiesene Auftraggeber (also der Käufer im Rahmen des Resellings) seine vermeintliche Rolle als Datenschutzverantwortlicher ausüben wollen und die Löschung oder Änderung der Datenverarbeitung im Rahmen des Resellings anweisen!

Sie erinnern sich: Im Support findet Auftragsverarbeitung statt, nicht im Reselling. Im Support kann der Auftraggeber (der er ja wirklich ist) durchaus die Änderung oder Löschung seiner Daten anweisen. Aber im Rahmen eines Reselling-Geschäfts, bei welchem die Daten schon allein für den Lizenzschlüssel der Software weitergegeben werden müssen, kann eine solche (durch die fehlerhafte AVV begründete) Anweisung für den Reseller zur Katastrophe werden. Achten Sie deshalb tunlichst darauf, welche Daten Sie in Ihrer AVV ausweisen, und welche nicht!

Warum ist diese Unterscheidung wichtig?

Die Antwort ist einfach: An der Auflistung der im Auftrag verarbeiteten Datenarten merkt man in sehr vielen Fällen, dass ein Auftragsverarbeiter datenschutzrechtlich nicht sonderlich gut aufgestellt ist. Denn sehr häufig, gerade bei kleineren IT-Unternehmen, finden sich in der Auflistung der Datenarten Angaben über Datenverarbeitungen, die ganz eindeutig ausschließlich dem eigenen Verantwortungsbereich des Auftragsverarbeiter zuzuordnen sind. Das ist eindeutig falsch! Zudem wird der aufmerksame Leser der AVV (im Regelfall wird dies der Kunde des Auftragsverarbeiters sein) dann die Frage stellen: Kann der Auftragsverarbeiter wirklich das geforderte Maß an Zuverlässigkeit für die Datenverarbeitung bieten, wenn bereits nicht klar ist, welche Daten überhaupt im Auftrag verarbeitet werden? Die Antwort wird wohl häufig lauten: eher Nein.

Zudem können Unsauberkeiten böse Konsequenzen nach sich ziehen: Über alle Datenverarbeitungen im eigenen Verantwortungsbereich muss ein Verantwortlicher nach Art. 13 DSGVO umfassend informieren. Tut er dies nicht, liegt ein Verstoß gegen die DSGVO vor, der von den Aufsichtsbehörden mit einem Bußgeld geahndet werden kann. Logischerweise muss der Auftragsverarbeiter sich seiner Rolle als Verantwortlicher bewusst sein, um in einem nächsten Schritt die Informationspflicht nach Art. 13 DSGVO mit einer Datenschutzerklärung zu erfüllen. Hat er jedoch keine positive Kenntnis davon, dass er bestimmte Datenverarbeitungsvorgang in eigener Verantwortung vornimmt oder macht sich schlichtweg keine Gedanken darüber, wo die Grenze zwischen eigener Verantwortung und Auftragsverarbeitern verläuft, kann er folglich auch seine Pflichten aus Art. 13 DSGVO nicht erfüllen. Ein Fall, wie wir ihn häufig in der Praxis erleben.

Wo verläuft die Grenze zwischen eigener Verantwortung und Auftragsverarbeitung?

Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Hierbei kommt es maßgeblich auf die Entscheidung über die Verarbeitungszwecke an, während die Entscheidung über die technisch-organisatorischen Fragen der Verarbeitung auch auf den Auftragsverarbeiter delegiert werden kann. Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO wiederum eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Die Frage, wie man die eigene Verantwortlichkeit und die Auftragsverarbeitung voneinander abgrenzen kann, ist gerade in Randbereichen oftmals nicht besonders leicht zu beantworten und wird auch durch die gesetzliche Definition in der DSGVO nicht leichter. Allerdings muss man sich die Grundsituation eines Auftragsverarbeiters vor Augen führen. Denn jeder Auftragsverarbeiter ist ja per se ein „ganz normales Unternehmen“ mit ganz normalen Datenverarbeitungsprozessen, wie sie jedes Unternehmen in Europa hat beziehungsweise haben muss. So muss jeder Auftragsverarbeiter Rechnungen ausstellen, mit seinen Kunden kommunizieren, E-Mails beantworten und Unterlagen für die Buchhaltung aufbewahren. Grundsätzlich unterscheidet sich ein Auftragsverarbeiter also nicht von einem Verantwortlichen. Es gibt ein gewisses „Basis-Setup“ an Datenverarbeitungen, die (fast) jedes Unternehmen durchführt. Für diese Datenverarbeitungen ist das Unternehmen dann selbst verantwortlich, auch wenn es in anderen Bereichen als Auftragsverarbeiter tätig wird. 

Wenn die Datenverarbeitung hauptsächlich im Interesse des Auftragsverarbeiters vorgenommen wird und der Auftraggeber an der Verarbeitung als solcher kein Interesse hat, handelt es sich im Regelfall um eine Datenverarbeitung in eigener Verantwortung des Auftragsverarbeiters. Sind die Rollen jedoch vertauscht und die Datenverarbeitung stellt für den Auftragsverarbeitung lediglich das „Mittel zum Zweck“ der Vertragserfüllung dar, wird in der Regel eine Auftragsverarbeitung vorliegen.

Welcher Handlungsbedarf ergibt sich daraus für meine AVV?

Sie sollten sich in einem ersten Schritt fragen, ob sie in der Lage sind, die Grenze zwischen dem eigenen Verantwortungsbereich und der Auftragsverarbeitung haarscharf ziehen zu können. Sofern Sie diese Frage bejahen können, sollten Sie ihre AVV daraufhin überprüfen, ob nur diejenigen Datenverarbeitungsvorgänge genannt werden, die tatsächlich in den Anwendungsbereich der AVV fallen.

Brauchen Sie Hilfe?

Zusammenfassend lässt sich sagen, dass die Abgrenzung zwischen eigener Verantwortung und Auftragsverarbeitung nicht immer leicht ist. Wenn man jedoch ein paar Kontrollfragen stellt, entwickelt man ziemlich schnell  ein Gespür dafür, wo der eigene Verantwortungsbereich endet und die Auftragsverarbeitung beginnt.

Sofern Sie dabei Hilfe benötigen oder Sie eine AVV benötigen, die vollständig auf Ihre Bedürfnisse und Ihre Situation zugeschnitten ist: Kontaktieren Sie uns, wir helfen Ihnen gerne!

Redaktionelle Anmerkung: Dieser Artikel wurde erstmals am 4. November 2020 veröffentlicht und zuletzt am 10. August 2021 inhaltlich überarbeitet.