Wer ist Auftragsverarbeiter?

Neue Auslegungshilfe des Bayerischen Landesamts für Datenschutzaufsicht

Katalog mit Praxisbeispielen

Altgediente Datenschutzpraktiker werden sie kennen: Die Abgrenzungshilfe Auftragsverarbeitung! Ein Katalog mit konkreten Praxisbeispielen und einer mehr oder weniger verbindlichen Einordnung dazu, wann eine Dienstleistung, bei der personenbezogene Daten verarbeitet werden, eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO ist. In Grenzfällen war dies eine hilfreiche Stütze, um eine bestimmte Argumentation zu vertreten, oder sich bzw. dem Mandanten ein gewisses Maß an Rechtssicherheit zu verschaffen. Wenn eine Hilfe der Aufsichtsbehörden wirklich hilfreich war, dann dieses Dokument.

Leider wurde das Werk bereits vor einiger Zeit von der Webseite des Bayerischen Landesamts für Datenschutzaufsicht („BayLDA“) genommen und Rechtsanwender musste, so sie dieses nicht gesichert hatten, auf die eigene Expertise oder die deutlich unkonkretere Hilfestellung des EDSA vertrauen.

Neue Version online

Mittlerweile stellt das BayLDA jedoch eine neue Version dieses Klassikers zur Verfügung, welche hier abgerufen werden kann. Das ist aus unserer Sicht sehr erfreulich.

Schade ist allerdings, dass sich die Behörde nun nicht mehr so konkret aus dem Fenster lehnt, was die Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter angeht. Vielmehr enthält die Abgrenzungshilfe nun Kriterien, entlang derer sich der Rat suchende Rechtsanwender bei seiner Entscheidungsfindung entlang hangeln kann. Hilfreich, aber halt auch aufwendiger als zuvor. Auf der anderen Seite bleibt natürlich mehr Raum für eigene Auslegung.

Immerhin: Einige konkrete Beispiele sind weiterhin vorhanden. So legt sich das LDA weiterhin fest, dass zum Beispiel die „Beauftragung eines IT-Dienstleisters mit dem allgemeinen Support von IT-Systemen, wenn
hierbei (wie häufig) der systematische Zugang zu personenbezogenen Daten faktisch möglich ist“ eine Auftragsverarbeitung sein soll. Ein Fall von enormer Praxisrelevanz, denn so muss mit mehr oder weniger jedem IT-Support-Anbieter eine Auftragsverarbeitungsvereinbarung („AVV“) abgeschlossen werden.

Im Übrigen scheint das Papier aber nunmehr zu wiederholen, was bereits der EDSA in seinen Stellungnahmen zum Thema hat verlauten lassen.

Fazit und Relevanz

Die Frage der Abgrenzung von Auftragsverarbeitung und Verantwortlichkeit stellt sich in der Datenschutzpraxis enorm oft. Konkret immer dann, wenn ein Unternehmen Aufträge an Dritte erteilt oder mit Dritten zusammenarbeitet. Auch bei der Konzerndatenverarbeitung ist das hoch relevant.

Die Frage, ob der Dritte dann eigenständiger (oder gemeinsamer) Verantwortlicher bzw. Auftragsverarbeiter ist, hat weitreichende Konsequenzen. Im Letzteren Fall müssen AVV abgeschlossen und Audits durchgeführt werden, welche dokumentieren, dass der Dienstleister zuverlässig im Sinne der DSGVO ist. Auch in Haftungsfragen hat dies weitreichende Folgen. Handelt es sich hingegen um zwei oder mehr Verantwortliche, muss eine Rechtsgrundlage für die gemeinsame Datenverarbeitung gefunden werden.

Die Abgrenzungshilfe des BayLDA ist hierbei eine hilfreiche Stütze. Die neue Version lässt aber deutlich mehr Interpretationsspielräume offen als ihre Vorgängerin. Am Ende gibt es hier damit weniger klare Leitplanken und in der Folge mehr Beratungsbedarf für rechtlich nicht geschulte Verantwortliche.

Bleiben Sie stets auf dem Laufenden zu den Themen Datenschutz & Compliance und abonnieren Sie unseren Newsletter oder kontaktieren Sie uns für ein persönliches Gespräch!