Privilegierung des Auftragsverarbeiters nach der DS-GVO?

Nach bisheriger Rechtslage wurde die Auftrags(daten)verarbeitung überwiegend als formaljuristische Privilegierung eingestuft, welche die Weitergabe von Daten ohne die strengen Voraussetzungen der Übermittlungsvorschriften gestattet. Als Ausgleich für diese rechtliche Privilegierung sah der deutsche Gesetzgeber in § 11 Abs. 2 BDSG eine Vielzahl von Kontrollpflichten vor.

Zur Auftragsverarbeitung im Rahmen der DS-GVO wird nun teilweise vertreten, durch die fehlende Definition der Übermittlung in der DS-GVO läge künftig in allen Fällen der Auftragsverarbeitung auch eine Übermittlung im Rechtssinne vor, die durch einen Erlaubnistatbestand nach Art. 6 DS-GVO abgesichert sein müsse. Es sei unbeachtlich, dass Art. 4 Nr. 10 DS-GVO den Auftragsverarbeiter nicht als Dritten bewerte, da die Definition der Übermittlung davon unabhängig keinen Ausschluss der Auftragsverarbeitung vornehmen.

Folgte man dieser Ansicht, müsste aber zur Legitimation der Übermittlung der Erlaubnistatbestand der berechtigten Interessen nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO herangezogen werden (also insbesondere in den „Textbausteinen“, die wir für Ihre Applikationen erstellen könnten). Nach der hier vertretenen Auffassung überzeugt diese Ansicht aber nicht, da die Definition im BDSG von der DSRL abwich, die nur eine Definition von „Verarbeitung“ vorsah. Dementsprechend vertrat die Artikel–29-Datenschutzgruppe bereits unter Geltung der DSRL, dass das Verhalten des für die Verarbeitung Verantwortlichen und das Verhalten des Auftragsverarbeiters einander zuzurechnen seien (Artikel–29-Datenschutzgruppe, Working Paper 169, S. 7 f.). Damit bilden – nach Konzeption der DSRL ebenso wie der DS-GVO – eigene Mitarbeiter, der Auftragsverarbeiter iSd Art. 28 DS-GVO und der Verantwortliche den „inneren Kreis der Datenverarbeiter“; d. h. sie werden im Verhältnis zueinander nicht als Dritte, sondern als rechtliche Einheit gewertet. Das entspricht aus unserer Sicht der Ratio Legis und bildet das Bedürfnis nach flexibler Ausgestaltung der Rechtsverhältnisse im Geschäftsverkehr ab.​

Aus der Sicht bzw. Funktion der verantwortlichen Stelle bedarf es dann daher eines Erlaubnistatbestands für die Verarbeitung personenbezogener Daten als solcher, nicht jedoch für deren Weitergabe an einen Auftragsverarbeiter, soweit den Anforderungen des Art. 28 DS-GVO gerecht wird (so zB auch Härting unter Hinweis auf die DSK).

Ob aber nun die Privilegierung des Auftragsverarbeiter nach der DS-GVO entfällt, bleibt bis zur amtlichen Klärung derzeit leider umstritten. Wenn es sich rechtlich nun bei der Inanspruchnahme der Applikationen etwa so verhält wie bei einem Internetprovider, über dessen Server die Geschäftsmail läuft oder auf dessen Server Datenbanken gehostet werden, wird eine Auftragsverarbeitung im Sinne des Art. 28 DS-GVO vorliegen. Werden dann die diesbezüglichen Vorgaben beachtet, gelten die Daten nach der hier vertreten Auffassung also nicht als an Dritte weitervermittelt, und wäre lediglich auf die „Kategorie“ Auftragsverarbeiter hinzuweisen (vgl. Art. 15 Abs.1 lit. c DS-GVO, sinngemäß etwa:

Teilweise bedienen wir uns zur Verarbeitung Ihrer Daten externer Dienstleister nach Maßgabe des Art. 28 DS-GVO. Diese wurden von uns sorgfältig ausgewählt und beauftragt, sind an unsere Weisungen gebunden und werden regelmäßig kontrolliert„.

Dies setzt freilich voraus, dass mit den datenverarbeitenden App-Anbietern ein DS-GVO-konformer Vertrag zur Auftragsverarbeitung abgeschlossen wurde und die diesbezügliche Inhalte „gelebt“ werden – was nach den gesetzlichen Best​immung ohnehin obligatorisch wäre.