Die Praxis der Auftragsverarbeitung, Teil 2: Auftragsverarbeitung für Privatpersonen?

In dieser neuen Reihe (hier geht’s zu Teil 1) erklären wir Ihnen typische Probleme und Lösungen zum Thema Auftragsverarbeitung aus unserer Beratungspraxis. Wir befassen uns dabei vor allem mit Konstellationen, die in der Praxis häufig unerkannt bleiben und deshalb nicht „sauber“ geregelt werden, obwohl das wichtig ist. In diesem zweiten Teil geht es um die Probleme der Auftragsverarbeitung für Privatpersonen.

Einleitung und Rechtslage

Bei vielen unserer Mandanten handelt es sich um Auftragsverarbeiter. Die DSGVO verpflichtet sie in Art. 28 Abs. 1 S. 1 daher zum Abschluss einer Vereinbarung über die Auftragsverarbeitung (auch Auftragsverarbeitungsvereinbarung; oder kurz: AVV) mit fest definierten Mindestbedingungen. Die Pflicht zur Vereinbarung einer AVV gilt grundsätzlich immer im Verhältnis zu den Kunden. Die meisten Unternehmen, die Leistungen erbringen, welche datenschutzrechtlich als Auftragsverarbeitung zu qualifizieren sind, wissen um diese Pflicht und schließen daher standardmäßig mit allen Kunden eine AVV ab. Grundsätzlich ist diese Vorgehen empfehlenswert, und wenn man als Auftragsverarbeiter für andere Unternehmen tätig ist, ist es von der DSGVO sogar vorgeschrieben. Denn: Liegt faktisch eine Auftragsverarbeitung vor und haben die Parteien keine AVV geschlossen, handelt der Auftragsverarbeiter selbst als Verantwortlicher mit der Folge, dass er in den allermeisten Fällen über keine Rechtsgrundlage für die Verarbeitung der Daten verfügt; schließlich hat er ja keine (vertragliche) Beziehung zum Betroffenen, dessen Daten durch den Auftragsverarbeiter verarbeitet werden, auf die sich die Datenverarbeitung stützen ließe.

Das Problem: Auftragsverarbeitung für Privatpersonen gibt es nicht

Diese standardmäßige Vorgehen bringt jedoch ein Problem mit sich, nämlich immer dann, wenn sich unter die Kunden des Auftragsverarbeiters eine Privatperson geschlichen hat. Problematisch ist dies deshalb, weil eine Privatperson in einem solchen Fall nicht als Verantwortlicher im Sinne der DSGVO handelt.

Ein Fallbeispiel aus der Praxis

Unternehmen A bietet einen Online-Chat zur Einbindung in Websites an. Die Leistung wird als SaaS erbracht und richtet sich in erster Linie an Unternehmenskunden. Und weil im Rahmen des Chats eine Menge an personenbezogenen Daten der Website-Nutzer (z.B. die Nachrichten-Inhalte, IP-Adressen, etc.) verarbeitet werden, stellt sich das Ganze datenschutzrechtlich als Auftragsverarbeitung dar. Standardmäßig wird daher mit jedem Kunden des Unternehmen eine AVV geschlossen.

Max Mustermann, der zu privaten Zwecken eine Website unterhält, um seiner Familie in einem geschlossenen Nutzerbereich die neuesten Fotos seiner Enkelkinder zu präsentieren, entschließt sich zur Nutzung des Chat-Tools des Unternehmens A. Er durchläuft den regulären Anmeldeprozess und schließt in diesem Zuge auch eine AVV mit Unternehmen A ab. Im Unternehmen A fällt dies zunächst nicht auf.

Nachdem sie den Chat mit Ihrem Vater mehrere Male genutzt hat, meldet sich eines Tages die Tochter des Max Mustermann bei Unternehmen A und macht diesem gegenüber datenschutzrechtliche Auskunftsansprüche geltend. Die bisher theoretische Frage bekommt damit plötzlich praktische Relevanz.

Nun mag man meinen, dass diese Konstellation keinen Einfluss auf die Auftragsverarbeitung hat, denn ein Auftraggeber ist ja weiterhin vorhanden, auch wenn es sich dabei um eine Privatperson handelt. Aber: Weit gefehlt! Das liegt an der Grundkonstruktion der Auftragsverarbeitung in der DSGVO. Denn Auftraggeber einer Auftragsverarbeitung kann nur ein datenschutzrechtlich Verantwortlicher sein.

Nach Art. 4 Nr. 7 DSGVO ist ein Verantwortlicher eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet …“. Handelt die natürliche Person aber in „Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“, findet die DSGVO nach deren Art 2 Abs. 2 lit. c keine Anwendung (sog. „Haushaltsprivileg“); eine natürliche Person, die Daten ausschließlich für Privatzwecke verarbeitet, kann daher auch nicht Partei einer Auftragsverarbeitung sein.

Wenn es nun aber (datenschutzrechtlich betrachtet) keinen Auftraggeber gibt, kann es dann überhaupt eine Auftragsverarbeitung und einen Auftragsverarbeiter geben? Und falls es keine Auftragsverarbeitung gibt, welche datenschutzrechtliche Rolle kommt dann dem bisherigen Auftragsverarbeiter zu?

Die Lösung

Wie man diese Frage beantwortet, ist (wie so vieles im Datenschutzrecht) umstritten. Denn: In Erwägungsgrund 18 zur DSGVO (dabei handelt es sich um eine Art Gesetzesbegründung) ist geregelt, dass, auch wenn das Haushaltsprivileg eingreift, die DSGVO für den Auftragsverarbeiter trotzdem gelten soll. Das wiederum kann zweierlei Bedeutungen haben:

Entweder der Auftragsverarbeiter bleibt Auftragsverarbeiter, dann allerdings ohne Auftraggeber; oder aber der Auftragsverarbeiter wird mangels Vorhandensein eines Auftraggebers quasi automatisch und ohne eigenes Zutun zum Verantwortlichen.

Wir sind der Meinung, dass der Erwägungsgrund 18 zur DSGVO nur so verstanden werden kann, dass ohne Auftraggeber die gesamte Auftragsverarbeitung als Konstrukt hinfällig wird; der Auftragsverarbeiter wird damit zum Verantwortlichen. Denn der Auftragsverarbeiter leitet seine „privilegierte“ Rechtsstellung (er trägt ja für die Datenverarbeitung keine Verantwortung) von seinem Auftraggeber ab. Fehlt aber ein solcher, befände sich der Auftragsverarbeiter quasi in einem datenschutzrechtlichen Vakuum, ohne dass es einen Verantwortlichen für die Verarbeitung gäbe. Das entspricht nicht gerade unserem logischen Verständnis.

Allerdings hat das für den nun „verantwortlichen Auftragsverarbeiter“ unangenehme Konsequenzen. Er ist nun selbst Verantwortlicher und muss sich auf eine Rechtsgrundlage berufen können, um die Daten legal zu verarbeiten. Zudem ist er direkter Ansprechpartner der Betroffenen und hat diesen gegenüber Informations- und Auskunftspflichten. Beides wird in der Praxis in aller Regel übersehen, weil sich der Auftragsverarbeiter in vermeintlicher Sicherheit wiegt: Er hat doch eine (von uns erstellte) hervorragende AVV mit seinem Kunden geschlossen, also wird schon alles passen! 😉

Und das alles nur, weil man (vielleicht „aus Versehen“) einen Vertrag mit einer Privatperson geschlossen hat? Ja, so ist es leider!

Unser Rat

Unsere Empfehlung lautet daher: Ein jedes Unternehmen, das Leistungen erbringt, die eigentlich als Auftragsverarbeitung zu qualifizieren wären, sollte eine feste Zielgruppe vor Augen haben und dieses Szenario datenschutzrechtlich sauber abbilden.

Wenn man als Unternehmen seine AV-Leistungen auch an Private erbringen möchte, sollte man die dafür notwendigen datenschutzrechtlichen Prozesse vorbereitet haben. Hierbei helfen wir Ihnen selbstverständlich gerne.

Keinesfalls sollte es aber passieren, dass man „aus Versehen“ eine AVV mit einer Privatperson, nur weil standardmäßig immer eine AV geschlossen wird. Denn dann gilt man rechtlich als Verantwortlicher, ohne dies überhaupt zu wissen. Seine datenschutzrechtlichen Pflichten kann man dann nicht einhalten – und das ist nun wirklich nicht gerade die feine datenschutzrechtliche Art.

Ihre Ansprechperson

Dr. Sonja Detlefsen

sd@comp-lex.de