4. Auftragsverarbeitung bei der Einbindung von Dienstleistern
Werden zur Versendung der E-Mail-Werbung, zum Speichern und/oder zur Aufbereitung der E-Mail-Werbung Dienstleister eingesetzt, muss auch deren Einbindung datenschutzkonform gestaltet werden. Hierbei ist nicht nur an die aktiv unterstützenden Dienstleister zu denken, sondern auch an die Bereitstellung von Cloud Services oder Software as a Service durch Dienstleister.
4.1 Bedeutung der Auftragsverarbeitung nach DSGVO
Eine datenschutzkonforme Gestaltung kann durch eine Auftragsverarbeitung nach Art. 28 DSGVO erfolgen. Art. 28 DSGVO gibt die Inhalte vor, welche bei einer Auftragsverarbeitung umzusetzen sind. In diesem Kontext spricht man von der sog. Privilegierungswirkung der Auftragsverarbeitung. Denn wenn eine solche wirksam vereinbart ist, müssen nicht die Vorgaben des Art. 6 DSGVO eingehalten werden, damit der Dienstleister auf die personenbezogenen Daten zugreifen darf.
Für Detail-Interessierte zum Hintergrund: Es ist umstritten, ob die Auftragsverarbeitung auch unter der DSGVO, wie nach alter Rechtslage, eine solche Privilegierungswirkung hat. Die überwiegende Ansicht bejaht dies zwischenzeitlich. Wesentliches Argument ist, dass der Auftragsverarbeiter nach der Definition in Art. 4 Nr. 10 DSGVO nicht Dritter ist. Hinzukommt, dass dies bereits unter der Datenschutzrichtlinie 95/46/EG, welche im BDSG-alt umgesetzt worden war, ebenso war.
4.1.1 Voraussetzungen
Für die Auftragsverarbeitung sind drei Elemente prägend:
- Der Auftragsverarbeiter handelt strikt weisungsgebunden (Art. 28 Abs. 3 lit. a, 29 DSGVO).
Mit anderen Worten: Dem Dienstleister wird durch den Auftrag konkret vorgegeben, was er zu tun hat. - Der Verantwortliche schließt mit dem Auftragsverarbeiter eine Vereinbarung nach Maßgabe des Art. 28 DSGVO.
Mit anderen Worten: Keine Vereinbarung – keine Privilegierungswirkung. - Die Vereinbarung muss den Anforderungen des Art. 28 DSGVO entsprechen.
Mit anderen Worten: Keine Einhaltung des Art. 28 DSGVO – keine Privilegierungswirkung.
Diese enge Einbindung rechtfertigt datenschutzrechtlich die Verarbeitung durch einen Externen oder auch nur den Zugriff auf personenbezogene Daten, welche ein Externer für den Verantwortlichen verarbeitet.
Art. 28 DSGVO enthält umfassende Vorgaben zur inhaltlichen Ausgestaltung des Vertrags, die allesamt und nicht nur teilweise in der vertraglichen Vereinbarung umzusetzen sind. Auch wenn nicht alle inhaltlichen Aspekte der Ausgestaltung der Auftragsverarbeitung nachfolgend angesprochen werden können, sollen dennoch besondere Aspekte aufgezeigt werden:
Elektronische Form des Abschlusses – Auch Erleichterungen durch die DSGVO!
Mit der Anerkennung der elektronischen Form in Art. 28 Abs. 9 DSGVO ist auch ein online-Abschluss der Vereinbarung möglich. Aber dennoch: Der Verantwortliche (aber auch der Auftragsverarbeiter) müssen im Streitfall den tatsächlichen Abschluss dieser Vereinbarung und ihren konkreten Inhalt beweisen können, insofern ist auch hier eine sorgfältige Dokumentation erforderlich.
Kontrollrecht vor Ort
Die Vereinbarung über die Auftragsverarbeitung muss unter anderem vorsehen (so Art. 28 Abs. 3 S. 2 lit. h DSGVO), dass der Auftragsverarbeiter „dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt“.
Mit anderen Worten: Der Verantwortliche muss ein Kontrollrecht vor Ort haben. Er muss nach wohl herrschender Meinung zwar nicht zwingend Kontrollen vor Ort durchführen, dieses Recht zu Kontrolle vor Ort aber dennoch haben bzw. unterstützt durch den Auftragsverarbeiter ausüben können. Ein Streitpunkt ist dabei häufig, ob das Kontrollrecht auch bei Subunternehmen des Auftragsverarbeiters bestehen muss.
Subunternehmer des Auftragsverarbeiters
Die DSGVO bezeichnet die Subunternehmer des Auftragsverarbeiters als „weitere Auftragsverarbeiter“ und regelt deren Einbindung in Art. 28 Abs. 2 DSGVO wie folgt: „Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.“
Neben dem sog. Zustimmungsvorbehalt ist damit in der DSGVO auch die sog. Widerspruchslösung anerkannt. Das bedeutet für die Praxis eine erhebliche Vereinfachung. Der Verantwortliche und der Auftragsverarbeiter sollten dabei folgende Fragen vorab gemeinsam beantwortet haben: Was ist die Konsequenz eines Widerspruchs? Wie lange ist der Vorlauf – genügt das Zeitfenster für einen Wechsel zu einem anderen Anbieter? In der Praxis finden sich verschiedene Gestaltungen, die diesem Umstand angemessen Rechnung tragen.
Bei einem Aspekt trifft Realität auf Rechtslage – nicht immer leicht lösbar: Die DSGVO geht davon aus, dass der Auftragsverarbeiter seine Subunternehmer zu denselben vertraglichen Regelungen einbindet, wie sie zwischen ihm und dem Verantwortlichen vereinbart sind. Die DSGVO formuliert dies so: „… so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags … dieselben Datenschutzpflichten auferlegt, die in dem Vertrag … zwischen dem Verantwortlichen und dem Auftragsverarbeiter … festgelegt sind“. Mit anderen Worten: Es müssen die Vertragsbedingungen durchgereicht werden.
Eine Herausforderung stellt es dar, wenn die Regelung wörtlich genommen wird und „dieselben“ (englisch: „the same“) Bedingungen gefordert werden. Denn dann ist keine Abweichung möglich. Jedenfalls sollten es im Wesentlichen dieselben Regelungen sein. In der Praxis kommt es häufig vor, dass der Auftragsverarbeiter nicht selbst die Verträge mit Verantwortlichen und seinen Subunternehmern vorgibt, sondern selbst auf andere Cloud Services (PaaS, IaaS, ..) zurückgreift und diese ihre Vertragsbedingungen vorgeben. Dann befindet er sich unter Umständen in einer „Sandwich-Position“ zwischen den Vorgaben des jeweils Verantwortlichen und den Vorgaben seines Subunternehmers. Dies muss frühzeitig bei der Gestaltung der Vertragsbedingungen berücksichtigt werden.
Sicherheit der Verarbeitung nach Art. 32 DSGVO
Die Vereinbarung über Auftragsverarbeitung muss nach Art. 28 Abs. 3 S. 1 lit. c DSGVO vorsehen, dass „der Auftragsverarbeiter alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift“. Mit anderem Worten: In dem Vertrag müssen die technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung nach Maßgabe des Art. 32 DSGVO geregelt sein.
Das ist eine Aufgabe, die grundsätzlich sowohl den Verantwortlichen als auch den Auftragsverarbeiter trifft. Ein häufiges „Missverständnis“ der Auftragsverarbeiter ist, dass dies nur eine Pflicht des Verantwortlichen sei und vertraglich bei diesem „abgeladen“ werden kann. Art. 32 DSGVO (Sicherheit der Verarbeitung) nimmt nämlich explizit den Auftragsverarbeiter neben dem Verantwortlichen in die Pflicht, angemessene Schutzmaßnahmen zu treffen. Der Verstoß gegen Art. 32 DSGVO kann für beide sowohl zu Schadensersatzansprüchen (Art. 79, 82 DSGVO) als auch zu Geldbußen (Art. 83 Abs. 4 lit. a DSGVO) führen.
Das Dilemma ist häufig: der Verantwortliche verfügt nicht eigenständig über die Kompetenz zur Beurteilung der erforderlichen Maßnahmen und greift gerade deshalb auf den Auftragsverarbeiter zurückgreift. Der Auftragsverarbeiter – zumindest der SaaS-Anbieter – aber weiß jedoch nicht (und darf ggf. aus Datenschutzgründen auch nicht wissen), welche Daten in seinen Systemen verarbeitet werden, sodass er die Angemessenheit der Maßnahmen nicht bewerten kann.
Kurzum: Dieses Dilemma muss in den Vereinbarungen über die Auftragsverarbeitung klar angesprochen und geregelt sein. Ein Dienstleister, der nicht nur einen SaaS- oder Cloud-Service bereitstellt, wird typischerweise auch genau wissen, welche Daten wie verarbeitet werden.
Risiko der unzureichenden Vereinbarung
Wer trägt das Risiko einer nicht den gesetzlichen Anforderungen entsprechenden Vereinbarung über die Auftragsverarbeitung? Natürlich der Verantwortliche, aber auch der Auftragsverarbeiter.
Ist die Vereinbarung nicht ausreichend gestaltet, liegt keine Auftragsverarbeitung vor und der Datenempfänger wird wie ein Dritter behandelt. Insbesondere für den Auftragsverarbeiter bedeutet dies, dass er eine Rechtsgrundlage für die Erhebung der Daten benötigt und ihn selbst alle originären DSGVO-Pflichten als Verantwortlichen im Sinne der DSGVO treffen!
Mit anderen Worten: Es liegt daher im wohlverstandenen Eigeninteresse beider Parteien, eine wirksame Vereinbarung zu schließen.
4.1.2 Abgrenzung zur Joint Controllership
Die DSGVO regelt auch die sog. gemeinsam Verantwortlichen (Joint Controller). In diesem Fall arbeiten ebenfalls zwei Unternehmer zusammen. Die Formalisierung der sog. Joint Controllership in Art. 26 DSGVO hat zu Diskussionen um die Abgrenzung zur Auftragsverarbeitung geführt.
Der entscheidende Unterschied ist: Bei der Auftragsverarbeitung entscheidet allein der Verantwortliche über Zwecke und Mittel der Verarbeitung (Art. 28 DSGVO). Bei der Joint Controllership entscheiden die Zusammenarbeitenden gemeinsam hierüber (Art. 4 Nr. 7 Var. 2 DSGVO).
Typischerweise liegt keine solche Joint Controllership vor. Anders kann das allerdings sein, wenn der beim E-Mail-Marketing eingesetzte Dienstleister die für die Verantwortlichen erhobenen, verarbeiteten oder sonst generierten Daten für eigene Zwecke einsetzen darf. Das ist nicht stets oder per se unzulässig. Hier ist dann aber auf die konkrete Gestaltung der Zusammenarbeit zu achten, um Stolperfallen zu vermeiden.
4.2 Grenzüberschreitende Auftragsverarbeitung
Die grenzüberschreitende Nutzung von Dienstleistern oder Dienstleistungen (bspw. SaaS- und Cloud-Services) ist in der DSGVO in Art. 44 ff. DSGVO geregelt und ausgestaltet. Diese Vorgaben sind – vereinfacht gesagt – zu beachten, wenn die Daten in ein sog. Drittland transferiert oder aus einem solchen auf die Daten zugegriffen werden. Die bereits unter dem BDSG-alt begonnene Diskussion, ob für den Drittstaatentransfer auf den Standort der Daten oder den Standort des Cloud Providers abzustellen ist, besteht weiterhin. Die Tendenz geht dazu, auf den Standort der Daten abzustellen. Die Details sind nach wie vor umstritten.
Die DSGVO sieht in Art. 45 bis 49 DSGVO ein gestuftes Zulässigkeitsschema vor. Die wichtigsten Regelungen sind:
- Wenn die EU-Kommission für ein Drittland ein angemessenes Datenschutzniveau durch Beschluss anerkannt hat, dann ist der Datentransfer in dieses Land grundsätzlich zulässig, bis der EuGH oder die EU-Kommission diesen Beschluss aufheben. Der sog. EU-US-Privacy Shield ist durch den EuGH für unwirksam erklärt worden und bewirkt damit nichts mehr. Aktuell finden auf politischer Ebene Verhandlungen für eine neue Vereinbarung statt und die USA haben durch eine sog. Executive Order im Oktober 2022 den Weg für eine neue Bewertung durch die EU-Kommission und – zum Zeitpunkt der Drucklegung – voraussichtlich einen neuen Angemessenheitsbeschluss frei gemacht.
- Die EU-Kommission hat sog. Standarddatenschutzklauseln (Standardvertragsklauseln) beschlossen, die einen Drittlandtransfer rechtfertigen können, wenn diese zwischen dem datentransferierenden und empfangenden Unternehmen abgeschlossen sind. Diese dürfen in ihrem Wortlaut nur verändert oder ergänzt werden, wo es diese Muster explizit vorsehen. Aber: Allein deren Abschluss genügt infolge der EuGH-Schrems-Rechtsprechung nicht. Vielmehr muss das datentransferierende Unternehmen selbst beurteilen, ob im Empfängerland ein angemessenes Datenschutzniveau besteht (Data Transfer Impact Assessment). Beim Datentransfer zwischen der EU und den USA ist dies derzeit die einzige, und damit rechtsunsichere, Möglichkeit, Daten auszutauschen.Reminder: Die EU-Kommission hat im Juni 2022 neue Standardvertragsklauseln veröffentlicht. Ab 27.12.2022 ist die Übergangsfrist für die alten Standardvertragsklauseln abgelaufen.
- Die betroffene Person hat in die Übermittlung der Daten in ein Drittland eingewilligt. Das setzt aber insbesondere voraus, dass die betroffene Person klar über den Drittlandtransfer und die Risiken informiert wurde und ausdrücklich einwilligt. Diese Einwilligung kann die betroffene Person auch jederzeit widerrufen.
Ein Drittlandtransfer schafft zusätzliche Anforderungen. Diese lassen sich in der Praxis erfüllen, müssen aber von Anfang an berücksichtigt werden. Das gilt insbesondere für die Einwilligung, die gerade zusätzlich neben der Werbeeinwilligung eingeholt werden muss.
4.3 Verantwortung des Auftraggebers
Aus der Sicht der DSGVO bleibt der Auftraggeber als Verantwortlicher im Sinne des Datenschutzrechts für die Einhaltung aller Vorgaben des Datenschutzrechts auch beim Auftragsverarbeiter verantwortlich. Er hat insbesondere nach Art. 5 DSGVO die Zulässigkeit grundsätzlich zu prüfen und zu dokumentieren, aber auch nach Art. 24, 32 Abs. 4 DSGVO die Einhaltung des Datenschutzes zu organisieren.
Die Einbindung eines Auftragsverarbeiters führt im Außenverhältnis zu den betroffenen Personen und zu den Datenschutzaufsichtsbehörden in keiner Hinsicht zu einer Delegation der Verantwortung an einen Auftragsverarbeiter und auch in keiner Hinsicht zu einer Haftungsbegrenzung. Der Verantwortliche haftet sowohl nach deutschem Zivilrecht als auch nach der DSGVO für das Verhalten des Auftragsverarbeiters einschließlich dessen Subunternehmer.
Anders als unter dem BDSG-alt haftet aber auch der Auftragsverarbeiter eigenständig gegenüber den betroffenen Personen und der Datenschutzaufsichtsbehörde. Das ist eine wesentliche Neuerung der DSGVO gegenüber dem BDSG-alt. Für ihn sieht die DSGVO bei Schadensersatzansprüchen nach der DSGVO zwar in gewissem Umfang eine haftungsbefreiende Exkulpation vor. Das ist aber kein „Freibrief“.
4.4 Zusammenfassung
Die Auftragsverarbeitung ist in Artikel 28 DSGVO detailliert geregelt und unterscheidet sich zum Teil erheblich von den früheren Regelungen. Aufgrund der erheblichen Haftungsrisiken sollte dringend darauf geachtet werden, dass diese Voraussetzungen eingehalten werden. In den Fällen, in denen eine Auftragsdatenverarbeitung nach altem Recht vereinbart wurde, muss diese an die neuen Voraussetzungen angepasst werden.