Wann ist eine Vereinbarung zur Aufgabenverlagerung erforderlich?

Fachbeitrag

Findet eine Verlagerung von Aufgaben zwischen Unternehmen statt, liegt nicht immer eine Auftragsverarbeitung vor. Allerdings besteht häufig auch bei einer klassischen Datenübermittlung ein Bedürfnis der Parteien, die datenschutzrechtlichen Pflichten über eine Vereinbarung zu regeln. Der folgende Beitrag beschäftigt sich mit dem Erfordernis einer vertraglichen Regelung zur Aufgabenverlagerung.

Fehlerhafte Einordnung als Auftragsverarbeitung

Bereits unter dem BDSG hatte die aufsichtsbehördliche Praxis häufig mit der Problematik zu kämpfen, dass in vielen Fällen eine Auftragsverarbeitung angenommen wurde, obwohl dies unter Berücksichtigung der entwickelten Abgrenzungskriterien unzutreffend war. Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) hat in seinem Tätigkeitsbericht 2009/2010 (S.39) auf diese Problematik hingewiesen. Diese Thematik hat sich unter der Datenschutz-Grundverordnung (DSGVO) noch verstärkt.

Die fehlerhafte Qualifikation hat unterschiedliche Gründe. Oftmals erfolgt eine vorschnelle Einordnung des übernehmenden Unternehmens als Auftragsverarbeitung aufgrund einer mangelhaften Prüfung des konkreten Verhältnisses. Beispielsweise wird ein nicht unerheblicher Entscheidungsspielraum des übernehmenden Unternehmens über Zwecke und Mittel der Verarbeitung personenbezogener Daten übersehen oder es wird eine Weisungsabhängigkeit bei Dienstleistern angenommen, die schon kraft Gesetzes „weisungsfrei“ handeln. Vielfach wird unter Verkennung der tatsächlichen Umstände nach dem Motto verfahren „Lieber eine Vereinbarung zur Auftragsverarbeitung mehr, als eine zu wenig“.

Ein weiterer Grund für den vorschnellen Abschluss derartiger Vereinbarung ist das Bedürfnis nach einer schriftlichen Fixierung der datenschutzrechtlichen Belange der Parteien. In diesen Fällen sind sich die Parteien möglicherweise durchaus darüber im Klaren, dass dem Wesen nach keine Auftragsverarbeitung vorliegt, sie wollen aber trotzdem Regelungen zur datenschutzrechtlichen Ausgestaltung der Aufgabenverlagerung treffen.

Vereinbarung zur Aufgabenverlagerung

Handelt es sich um den klassischen Fall einer Datenübermittlung zwischen Verantwortlichen und liegt keine gemeinsame Verantwortlichkeit vor, sieht das Gesetz keine vertragliche Vereinbarung vor. Auch hier kann sich aber eine vertragliche Vereinbarung anbieten, die unter Berücksichtigung der Interessenlagen der betroffenen Personen und unter Beachtung der Zweckbindung der Datenverwendung eine Gewährleistung des Datenschutzes und der Datensicherheit beim übernehmenden Unternehmen sicherstellt.

Setzt beispielsweise ein Beratungsunternehmen Subunternehmer ein, die selbstständig gegenüber dem Kunden beratend auftreten und in diesem Zusammenhang völlig weisungsfrei tätig werden, dann ist eine Auftragsverarbeitung regelmäßig abzulehnen. Trotzdem hat das Beratungsunternehmen ein hohes Eigeninteresse, verbindlich zu regeln, wie die Subunternehmer mit den anvertrauten Kundendaten verfahren und welche Maßnahmen zur Datensicherheit getroffen werden. Insbesondere soll sichergestellt werden, dass die Subunternehmer in diesem Beispiel die Daten nicht zu anderen als den vereinbarten Zwecken verarbeiten.

Relevante Regelungskomplexe einer solchen Vereinbarung können u.a. sein:

  • die Verpflichtung des übernehmenden Unternehmens ausreichende technische und organisatorische Maßnahmen zur Datensicherheit zu treffen
  • Kontrollrecht gegenüber übernehmenden Unternehmen
  • Einsatz Unterauftragnehmer durch das übernehmende Unternehmen
  • Informations- und Unterstützungspflichten durch das übernehmende Unternehmen

Letztlich ähnelt der Inhalt damit teilweise einer Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO, ein zentraler Unterschied ist aber, dass keine Regelungen zur Weisungsabhängigkeit enthalten sind. Denn beide Parteien handeln als Verantwortliche gem. Art. 4 Nr.7 DSGVO, da sie jeweils allein über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Die Vereinbarung muss in ihrer inhaltlichen Ausgestaltung deshalb dem Umstand Rechnung tragen, dass beide Parteien Verantwortliche sind und dabei aber keine gemeinsame Verantwortlichkeit vorliegt.

Weitere Entwicklung unter der DSGVO

Nach bisheriger Rechtslage haben sich verschiedene Aufsichtsbehörden für eine solche vertragliche Ausgestaltung ausgesprochen. Was den Umfang dieser Regelungen betrifft, differenzierte das BayLDA im Tätigkeitsbericht für 2013/2014 (S.41) zwischen Aufgabenverlagerungen an bereichspezifisch streng limitierte Dritte (z.B. Steuerberater oder betriebsärztliche Betreuung durch niedergelassene Ärzte) und sonstige Dritte, für die keine speziellen bereichspezifischen Spezialregelungen gelten. Bei letzteren forderte das BayLDA damals detaillierte Regelungen, die sich an den gesetzlichen Vorgaben zur Auftragsdatenverarbeitung orientieren sollten. Die weitere Entwicklung unter der DSGVO bleibt abzuwarten. Da auch bei klassischen Datenübermittlungen zwischen Verantwortlichen ein Regelungsbedürfnis besteht, liegt es nahe, dass Vereinbarungen zur Aufgabenverlagerung auch unter der DSGVO zweckmäßig sind und ihnen mitunter eine praktische Bedeutung zukommen wird.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

6 Kommentare zu diesem Beitrag

  1. Ist es eigentlich zulässig vertragliche Inhalte einer Auftragsverarbeitung mit dem Akzeptieren der Nutzungsbedingung zu verknüpfen? Praxisbeispiel: Eine Reederei erteilt uns als Hafenagenten den Auftrag ihr Schiff im Hafen zu betreuen nur, wenn wir den Nutzungsbedingungen zustimmen. Müssten wir mit der Reederei nicht vielmehr einen separaten Vertrag zur Auftragsverarbeitung schließen? Stichwort Kopplungsverbot.

    • Vereinbarungen zur Auftragsverarbeitung, die in AGB oder Nutzungsbedingungen integriert werden, sind regelmäßig problematisch. Werden sie in AGB integriert, halten sie häufig bereits einer AGB-Prüfung nicht stand. Zudem fehlen bei Vereinbarungen zur Auftragsverarbeitung, die in Nutzungsbedingungen enthalten sind, regelmäßig auch Teile des gesetzlichen Mindestinhalts. Letztlich ist hier aber immer eine Einzelfallprüfung erforderlich.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.