Wer bin ich, und wenn ja, wie viele?

Bei Abschluss von Verträgen mit externen Dienstleis­tern stellt sich regelmäßig die Frage, ob und ggf. wel­che datenschutzrechtliche Zusatzvereinbarung abge­schlossen werden muss oder sollte. Viele Unternehmen schließen »zur Sicherheit« eine Vereinbarung über Auftragsverarbeitung (AVV) ab. Davon ist allerdings abzuraten, da es zu rechtlichen Folgeproblemen führt.
Wenn die Rolle des Vertragspartners falsch ein­gestuft wird, kann dies bei Abschluss einer AVV mit einem Unternehmen, das tatsächlich unabhängig verantwortlich ist, zu (bußgeldbewehrten) Verstößen gegen die DS­GVO und Nachteilen für den (vermeint­lichen) Auftraggeber führen:

• Der Auftraggeber hat ggf. keine Rechtsgrund­lage für die Übermittlung von Daten an den Schein­Auftragsverarbeiter, weil er fälschlicher­weise davon ausgeht, im Rahmen einer Auftragsver­arbeitung privilegiert zu sein. Er versäumt daher ggf. die Einholung einer Einwilligung.
• In der Folge ignoriert er ggf. das Widerrufs­ oder Widerspruchsrecht der Betroffenen gegen die Über­mittlung.
• Der Auftraggeber erhöht sein Haftungsrisiko. Ein Auftragsverarbeiter haftet im Innenverhältnis einge­schränkt (Art. 82 Abs. 2 S.2 DS­GVO). Es ist fraglich, ob nach Abschluss einer AVV der Auftraggeber sich dar­auf berufen kann, dass der Auftragnehmer selbst in vollem Umfang als Verantwortlicher haftet.
• Der Auftraggeber bearbeitet Betroffenenrechte, obwohl er für Datenverarbeitungen in der Verantwor­tung des Vertragspartners gar nicht zuständig ist.
• Aus alldem folgt, dass die Betroffenen ggf. falsch informiert werden. Die DS­GVO stuft eine solche Ver­letzung als besonders schweren Verstoß ein, der mit dem höheren Bußgeldrahmen von 4% bzw. EUR 20 Mio. bewehrt ist (Art. 83 Abs. 5 lit. b i.V.m. Art. 12­14 DS­GVO).

Zu empfehlen ist daher folgendes Vorgehen:

Zunächst ist die datenschutzrechtliche Rolle des Ver­tragspartners richtig zu identifizieren, nämlich als Allein­Verantwortlicher, Gemeinsam­Verantwort­licher, Auftragsverarbeiter oder Nicht­Verarbeiter. Verantwortlicher ist, wer »allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet« (Art. 4 Nr. 7 DS­GVO), Auftragsverarbeiter, wer personenbezo­gene Daten (nur) im Auftrag eines Verantwortlichen verarbeitet (Art. 4 Nr. 8 DS­GVO). Die Einstufung ist oft schwierig.

Soweit eine Auftragsverarbeitung oder eine Gemeinsame Verarbeitung vorliegt, muss ein Vertrag mit den gesetzlich vorgeschriebenen Regelungspunk­ten abgeschlossen werden.Soweit ein Vertrag zwischen zwei unabhängigen Verantwortlichen vorliegt, kann eine Vereinbarung abgeschlossen werden.

Ggf. ergibt sich sogar die Pflicht, eine solche Vereinbarung zu schließen, aus Art. 32 DS­GVO. Bei einem externen Dienstleister, der keine Datenverarbeitung durchführt, aber ggf. Einsichts­möglichkeiten in personenbezogene Daten hat (z.B. Reinigungskraft), ist ggf. eine Vertraulichkeitsverein­barung abzuschließen.

FAZIT

• Die richtige datenschutzrechtliche Einstufung des Vertragspartners kann schwierig sein, auch die Daten­schutzbehörden sind sich nicht immer einig.
• Sie ist dennoch erforderlich, da der Auftraggeber sonst gegen bußgeldbewehrte datenschutzrechtliche Normen verstößt und ggf. Haftungsnachteile erleidet.