Telemedicus Logo
Weiterempfehlen Drucken

Ein Gastbeitrag von Dr. Malte Engeler

Das deutsche Datenschutzrecht ist ein sonderbares Wesen. Kaum ein Rechtsgebiet lebt in einem vergleichbaren Nirwana zwischen gesellschaftlicher Bedeutung und fast vollständig fehlender Rechtssicherheit. Unter anderem der notorischen Verbindlichkeitsphobie der deutschen Aufsichtsbehörden ist es zu verdanken, dass es auch Jahrzehnte nach seiner erstmaligen Normierung kaum Rechtsprechung gibt. Praktisch alle grundlegenden Rechtsbegriffe sind deshalb auch heute noch strittig, unklar und vage. Eines der größten Fragezeichen steht dabei seit jeher hinter dem Konzept der Auftragsdatenverarbeitung (ADV).

Auch eine gewisse - wahlweise als Heldentat oder Wahnsinn gehandelte - Anordnung der schleswig-holsteinischen Aufsichtsbehörde hat bisher keine Klarheit gebracht, sondern schickt sich an, die bisherige Verunsicherung möglicherweise noch zu steigern. Der 2011 vor dem Schleswig-Holsteinischen Verwaltungsgericht begonnene Rechtsstreit um die Abschaltung von Facebook-Seiten (streng genommen war der Begriff „Fanpage“ nie zutreffend und verengt den Einsatzbereich der Facebook-Seiten unzutreffend auf Fan-Seiten) hat es mittlerweile bis zum Gerichtshof der Europäischen Union geschafft. Statt dort aber die Kernfrage der datenschutzrechtlichen Verantwortlichkeit klären zu lassen, fragt das Bundesverwaltungsgericht nur nach „Auswahlverantwortlichkeit“ und „Sorgfaltspflicht“.

Bei der Frage der datenschutzrechtlichen Verantwortlichkeit geht es aber längst nicht nur um Facebook-Seiten. Es geht ganz grundlegend um die Frage, welche rechtlichen Folgen die Einbindung Dritter (samt deren technischer Mittel) zur Verfolgung eigener Zwecke hat. Youtube, Appstores, Webhosting, Messenger-Dienste, all diese Selbstverständlichkeiten des digitalen Alltags stellen die gleiche Frage: Wird derjenige, der auf Andere für eigene Zwecke zurückgreift, auch verantwortlich für die Mittel, die Andere in seinem Interesse einsetzen?

Die Unklarheit der Anfänge


Diese Frage führt schnurstracks zurück zu den Wurzeln einer Debatte, die so alt ist wie die informationstechnische Arbeitsteilung selbst: der Frage um Voraussetzungen und Folgen der Auftragsdatenverarbeitung. Bereits in der BDSG-Fassung von 1977 war die Verarbeitung im Auftrag normiert, allerdings noch für den öffentlichen (§ 8 BDSG-1977) und nicht-öffentlichen Bereich (§ 22 BDSG-1977) getrennt geregelt worden. Früh entwickelte sich sodann eine gewisse Verwaltungspraxis um die Einbindung Dritter in die eigene Datenverarbeitung. Die Aufsichtsbehörde Baden-Württembergs formulierte etwa bereits 1980 (Staatsanz. 1980, Nr. 5, S. 6) gewisse Vorstellungen von der formellen Beziehung zwischen dem Verantwortlichem und seinem Auftragsdatenverarbeiter. Parallel fokussierte sich ein Teil der Datenschutz-Institutionen auf die Funktionsübertragung, einer im Gesetzestext nicht vorgesehenen Wortschöpfung, die einzig zu dem Zweck erdacht wurde, die Abgrenzungsschwierigkeiten zwischen Verantwortlichkeit und Auftragsdatenverarbeitung zu beheben.

Nach der Zusammenfassung der getrennt geregelten Vorgaben in einer Norm, § 11 BDSG-1990, und der zwischenzeitlichen Umsetzung der Datenschutzrichtlinie 95/46/EG (DSRL) wurden dann 2009 mit Blick auf die Erfahrungen aus öffentlich gewordenen Datenschutzskandalen musterhafte Einzelvorgaben in § 11 Abs. 2 BDSG festgehalten. Das Ziel, klare Vorgaben für die datenverarbeitende Zusammenarbeit vorzugeben, hatte gleichzeitig aber auch zur Folge, dass die nun konkretisierten formellen Vorgaben auch als Abgrenzungskriterium zwischen Funktionsübertragung und Auftragsdatenverarbeiter herangezogen wurden. So ist es dann auch kein Wunder, das in den allermeisten juristischen Kommentierungen die Verantwortlichkeit für Auftragsdatenverarbeiter bei § 11 BDSG diskutiert wird und nicht bei § 3 Abs. 7 BDSG. Ebenfalls wenig überraschend ist, dass aus dieser akademischen sowie praktischen Fokussierung auf die Vertragsbestandteile eine – insbesondere bei Praktikern sowie den Aufsichtsbehörden beliebte – Rechtsmeinung entstand, die sogenannte „Vertragstheorie“. Die eigentliche Herausforderung war nun einmal nicht, festzustellen, ob der ADV-Vertrag formell rechtskonform war, sondern wann überhaupt eine Auftragsdatenverarbeitung anzunehmen sei oder wann man sich mit dem Verweis auf die – kraft Funktionsübertragung – eigenständige Verantwortlichkeit des Dritten exkulpieren konnte.

Die Vertragstheorie beantwortet dies in einer Art, deren Charme vor allem in ihrer Rechtssicherheit liegt. Verantwortlich für Dritte sei demnach nur, wer einen formwirksamen Vertrag gemäß § 11 BDSG abschließt. Jedenfalls in der anwaltlichen Praxis kann man diese Sichtweise wohl als herrschend, mindestens aber bevorzugt, ansehen (vgl. aktuell etwa Lachenmann, „Datenübermittlung im Konzern“, S. 99). Gewissermaßen geadelt wurde diese Ansicht durch das jüngste Urteil zu diesem Themenbereich, dem Urteil des Schleswig-Holsteinisches Oberverwaltungsgericht in Sachen Facebook-Seiten (Az. 4 LB 20/13). Darin ließ das Gericht den markanten Satz fallen:

„Ohne Auftrag keine Auftragsdatenverarbeitung“.

Von dieser These ausgehend, sah sich das Gericht die Beziehung zwischen Seitenbetreiber und Facebook an, fand dabei aber keinerlei Vertrag, der die Voraussetzungen des § 11 BDSG erfüllen würde und kam rigoros zu dem Ergebnis: Mangels Vertrag keine Verantwortlichkeit des Seitenbetreibers. So klar und einfach diese Lösung erscheint, so falsch ist sie.

Henne und Ei


Die Vertragstheorie basiert schlicht auf einer unzulässigen Umkehrung von Ursache und Wirkung. Sie erklärt irrig die Einhaltung der Form zur Voraussetzung für die materielle Verantwortlichkeit. Aber das Gegenteil ist der Fall. Nicht ein formgültiger Vertrag begründet die Verantwortlichkeit, sondern aus der Verantwortlichkeit für andere folgt das Formerfordernis. Die Vorgaben des § 11 BDSG sind der Preis für den Kontrollverlust, den der Verantwortliche für die Auslagerung seiner IT zahlen muss. Systematisch wird dies dadurch bestätigt, dass die Verantwortlichkeit nicht in § 11 Abs. 2 BDSG, sondern nun einmal in § 3 Abs. 7 BDSG geregelt ist. § 11 BDSG beschreibt also lediglich die Formvorgaben für eine rechtskonforme Auftragsdatenverarbeitung und klärt so, ob eine Übermittlung in den Genuss der Privilegierung nach § 3 Abs. 8 S. 3 BDSG kommt. Die Einhaltung der Form des § 11 BDSG entscheidet damit nicht über die Frage der Verantwortlichkeit, sondern nur über die Frage, ob die Weitergabe der Daten an den Dritten als rechtfertigungsbedürftige Übermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG einzustufen ist.

Die Frage der Verantwortlichkeit hingegen hat mit alldem wenig zu tun. Sie richtet sich ausschließlich nach § 3 Abs. 7 BDSG, wonach jede Stelle verantwortliche ist,

„die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“.

Nun könnte man meinen, dass gerade dieser Wortlaut doch für die Vertragstheorie sprechen würde. Rein mit Blick auf das deutsche Recht ist das tatsächlich auch der Fall, denn es ließe sich mit respektablen Argumenten vertreten, dass der Verweis auf „durch andere im Auftrag“ rechtsgrundverweisend auf § 11 BDSG verweisen würde. So jedenfalls argumentieren die oben angesprochenen Vertreter der Vertragstheorie. Das hätte zur Folge, dass man tatsächlich eine Verantwortlichkeit nach § 3 Abs. 7 BDSG nur annehmen dürfte, wenn die formellen Vorgaben des § 11 BDSG erfüllt wären.

Gerade der Vergleich mit der Datenschutzrichtlinie und der insoweit wortgleichen Datenschutz-Grundverordnung (DSGVO) zeigt aber wie irreführend die deutsche Regelung ist: Die Aufnahme des Wortes „im Auftrag“ in den Wortlaut des § 3 Abs. 7 BDSG darf getrost als irreführend gewertet werden. Die englische Version sowohl der Richtlinie (Art. 2 lit. e) DSRL) als auch der Grundverordnung (Art. 4 Nr. 8 DSGVO) definieren den verarbeitenden Anderen wortgleich zurückhaltender als:

„a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller“.

Von einem Auftrag oder formalisierten Beziehung ist dort nicht die Rede. Alleinige Voraussetzung ist vielmehr, dass eine Stelle Daten „on behalf of“ einer anderen Stelle verarbeitet. Übersetzen könnte man das zwar durchaus auch mit „im Auftrag“, aber eben genauso gut auch mit „im Interesse von“ oder „zugunsten von“. Es finden sich im Wortlaut einfach keine Anhaltspunkte dafür, dass hier formaljuristisch ein mustergültiger oder zivilrechtlich wirksamer Vertrag im Sinne des Art. 17 Abs. 3 DSRL oder Art 28 Abs. 3 DSGVO vorausgesetzt wird. In beiden Fällen verlangen die europäischen Entsprechungen zu Art. 11 BDSG lediglich, dass die Verarbeitung von Daten durch Andere zur Folge haben muss, dass diese Beziehung von einem Vertrag oder anderem verbindlichen Akt begleitet wird:

„[...] must be governed by a contract or legal act [...]“.

Die Erfüllung etwaiger Formvorgaben ist also nicht mehr als eine Folge der Einbindung Anderer in die eigene Datenverarbeitung, nicht jedoch Voraussetzung der Verantwortlichkeit. Der „Tatbestand“ der Verantwortlichkeit folgt stattdessen ausschließlich aus § 3 Abs. 7 BDSG (bzw. Art. 2 lit. d DSRL und Art. 4 Nr. 8 DSGVO).

Zweck- und Mittelentscheidung – der Klassiker


Damit ist die Vertragstheorie zwar vom Tisch, aber natürlich nicht geklärt, nach welchen Maßstäben stattdessen beurteilt werden soll, wann eine Stelle für die Datenverarbeitung der eingebundenen Dienstleister verantwortlich ist. Die Antwort darauf ist nun so altbekannt wie unbequem. Wie üblich richtet sich die Verantwortlichkeit einzig nach der gängigen Bestimmung über die Zweck- und Mittelentscheidung. Dieses Begriffspaar findet sich zwar bekanntermaßen nicht im deutschen Datenschutzrecht, wohl aber in Art. 4 lit. d DSRL und Art. 4 Nr. 7 DSGVO und wird auch von der Artikel-29-Datenschutzgruppe im bekannten Working Paper 169 als maßgebliches Kriterium herangezogen.

Die Lösung lautet also: Verantwortlich ist, wer Daten zu eigenen Zwecken verarbeiten lässt und dafür einen in seinem Interesse handelnden Dritten samt dessen technischer Mittel einsetzt.

Auch diesbezüglich hat sich aber gezeigt, dass die Praxis und die - spärliche - Rechtsprechung dazu neigen, die formellen Vorgaben des § 11 BDSG stark (über-) zu betonen. Das OVG Schleswig-Holstein etwa vertrat die Ansicht, dass mangels Weisungs- und Kontrollmöglichkeiten jeder Einfluss des Seitenbetreibers hinsichtlich der Verarbeitung bei Facebook ausscheide und damit auch keine Entscheidung über die Mittel vorliegen könne (Rz. 79 des Urteils). Der logische Umkehrschluss: Hätte sich der Seitenbetreiber derartige Entscheidungsbefugnisse vertraglich einräumen lassen, dann hätte das Gericht seine Verantwortlichkeit bejaht. So kommt das OVG Schleswig-Holstein letztlich wieder zu dem, was auch die Vertragstheorie vertritt: Die Bestimmung der Verantwortlichkeit über den Inhalt von Verträgen; Gewissermaßen eine Vertragstheorie durch die Hintertür.

Aber dieses Ergebnis ist mit dem Wortlaut der europarechtlichen Vorgaben nicht vereinbar. Mehr noch, sie findet auch keine Grundlage in der deutschen Gesetzgebungsgeschichte und wäre auch unzweckmäßig. Bereits der Gesetzesentwurf der Bundesregierung zum BDSG-1977 sprach von dem

„Grundsatz, dass eine Behörde, die personenbezogene Daten durch andere Stellen [...] speichern oder verarbeiten lässt, für den Schutz dieser Daten verantwortlich bleibt.“ (BT-Drs. 7/1027, S. 26 und 27).

Nicht etwa ein formell mustergültiger Vertragsschluss begründete nach der ursprünglichen Vorstellung die Verantwortlichkeit, sondern schlicht die faktische Verarbeitung von Daten im eigenen Interesse durch andere. Würde man tatsächlich umgekehrt davon ausgehen, dass die Form die Verantwortlichkeit bestimmen würde, käme man zu dem teleologisch völlig verfehlten Ergebnis, dass sich verantwortliche Stellen durch Wahl möglichst vertragsfauler Dienstleister aus der Verantwortlichkeit stehlen könnten. Ganz getreu dem falschen Motto des OVG Schleswig-Holstein wäre ja ohne Auftrag auch keine Auftragsdatenverarbeitung gegeben.

Wo käme man denn da hin?


Widerstand löst all das natürlich deshalb aus, weil auf einmal die Reichweite der Verantwortung für die Einbindung Dritter ungemein ausgeweitet wird. Die Daten von Besuchern einer Webseite oder einer Videoplattform? Die Daten von Kunden eines Appstores? Die Daten von Nutzern einer Kollaborationsplattform? Immer dann wenn ein Dienstleiter Daten für die Zwecke einer Stelle verarbeitet und sich bewusst für die Mittel dieses Dienstleisters entschieden wurde, wäre konsequenterweise eine Verantwortlichkeit anzunehmen. Konkreter:

  • Ein Webhoster verarbeitet u.a. IP-Adressen und eindeutige Browserdaten der Seitenbesucher, um die Seite an den Browser des Besuchers auszuliefern, damit der Seitenbetreiber überhaupt die Zwecke erreichen kann, die er mit der Webseite verfolgt: Kundenkommunikation, Selbstdarstellung, E-Commerce (Fallgruppe: fremdgehostete Blogging-Plattformen wie Wordpress, Squarespace, Facebook-Seiten).

  • Ein Betreiber einer Videoplattform verarbeitet IP-Adressen, Konsumverhalten und Interessen der Online-Zuschauer, damit die Inhalte des Content-Creator die Zuschauer auch erreichen und er mit Reichweitenstatistiken Werbepartner gewinnen kann (Fallgruppe: Youtube, Pornhub, Vessel).
    Ein Betreiber einer Infrastruktur zur unternehmensinternen Kollaboration verarbeitet die IP-Adressen, Nutzerdaten und Arbeitsergebnisse der Mitarbeiter, damit die Zwecke der Geschäftsführung erreicht werden können: Steigerung der Effektivität und Komfort bei der Abwicklung von Arbeitsprozessen (Fallgruppe: Office, Slack, Microsoft Teams, Dropbox Business).

  • Ein Betreiber eines Appstores erhebt Gerätekennungen, Downloadverhalten, Nutzungszeit und In-App-Kaufverhalten der App-Käufer, um dem App-Anbieter zu ermöglichen seine App kopiergeschützt vertreiben zu können sowie die Attraktivität seiner App zu messen und zu steigern (Fallgruppe: Appstores).

Kann all das tatsächlich richtig sein? Sind Seitenbetreiber dafür verantwortlich, wie die Webhoster die Daten ihrer Besucher verarbeiten? Sind Youtuber verantwortlich dafür, wie Google die Daten der Zuschauer des eigenen Kanals verarbeitet? Sind App-Anbieter gar dafür verantwortlich, wie Apple, Google und Microsoft die Daten der Nutzer der eigenen App im Rahmen ihrer Appstores erheben und verarbeiten? Mit Blick darauf, dass in all diesen Fällen die Datenverarbeitung für Zwecke der Verantwortlichen durchgeführt wird und diese sich auch bewusst für die technischen Mittel der jeweiligen Infrastrukturbetreiber entschieden haben, kann die Antwort aber de lege lata nur heißen: Ja, tatsächlich.

Die Realitäten der digitalen Arbeitsteilung


Um dieses Ergebnis doch noch zu vermeiden, wird nun versucht, die Anforderungen an die Mittelentscheidung möglichst hoch zu setzen und ergänzend darauf verwiesen, dass in all diesen Fällen schließlich auch eigene Interessen des Infrastrukturbetreibers eine große Rolle spielen würden. Besonders die Entscheidung über die Mittel wird dabei gern durch den Hinweis darauf in Frage gestellt, dass der Einzelne regelmäßig gerade keinerlei eigene Entscheidungsmacht über die eingesetzten Techniken habe. Wie Wordpress, Youtube oder Slack ihr Angebot technisch umsetzen, bleibt für die meisten Nutznießer der Dienste in der Regel völlig unklar. Genauso ist dem Anbieter einer App kaum bekannt, auf welchem Weg die Appstore-Betreiber zu ihrem Wissen über die eigenen App-Nutzer kommen. Kann dann noch von einer „Entscheidung über die Mittel der Datenverarbeitung“ gesprochen werden? Die Artikel-29-Datenschutzgruppe jedenfalls scheint davon auszugehen und diskutiert im Working Paper 169 (dort S. 16) eben jene Sachverhalte, in denen dem Verantwortlichen kaum Details über die zur Zweckerreichung genutzten Mittel bekannt sind:

„Weiterhin könnte ein Auftragsverarbeiter aufgrund allgemeiner Weisungen tätig sein, die in erster Linie die Zwecke betreffen und in Bezug auf die Mittel nicht zu sehr ins Detail gehen.“

Um dann im Anschluss unmissverständlich klarzustellen, dass auch das völlige Fehlen einer Mittelentscheidung kein Hindernis für die Annahme einer Verantwortlichkeit ist:

„Vor diesem Hintergrund ist es durchaus möglich, dass ausschließlich der Auftragsverarbeiter über die technischen und organisatorischen Mittel entscheidet.“ (S. 17).

Mit dieser Entscheidung trägt die Artikel-29-Datenschutzgruppe der Wirklichkeit der digitalen Arbeitsteilung Rechnung, in der in aller Regel einzig der Inhalt der gebotenen Dienstleistung relevant ist, nicht die technischen Hintergründe. Die Nutzung von Office-Tools, Hosting-Leistungen und Infrastrukturdiensten geschieht in der Regel nun einmal einzig mit Blick auf die damit zu fördernden Interessen und Zwecke. In all diesen Fällen mangels konkreter Entscheidung über die eingesetzten Techniken und Prozesse automatisch die Verantwortlichkeit abzulehnen, wird der Wirklichkeit des Massenmarktes an digitalen Dienstleistungen nicht gerecht.

Aber auch der Beziehung zwischen Dienstleister und Verantwortlichem würde dies nicht gerecht werden. Wenngleich kein mustergültiger Vertrag nach § 11 BDSG geschlossen sein wird, so unterliegt das Verhältnis doch regelmäßig bestimmten Richtlinien und Bedingungen, aus denen sich konkretisierbare Rechte und Pflichten beider Seiten ableiten. So wäre es wohl nur schwer bestreitbar, dass beispielsweise aus den „Nutzungsbedingungen für Facebook-Seiten“ der berechtigte Anspruch der Seitenbetreiber abgeleitet werden kann, dass die zum Betrieb der Webseiten erforderlichen technischen Prozesse auch tatsächlich von Facebook durchgeführt werden. Die Mittelentscheidung beläuft sich dann lediglich darauf, dass eben jene technischen Abläufe erfolgen, die für die Erreichbarkeit der Seite und die Reichweitenmessung nötig sind. Für diese Abläufe muss dann aber auch die Verantwortung akzeptiert werden.

Schließlich bliebe noch das Argument, dass in den meisten Fällen neben die Interessen der Verantwortlichen auch die Interessen des Dienstleisters treten. Die Betreiber der oben beispielhaft benannten Infrastrukturen verarbeiten die Daten nun einmal in der Regel nicht nur im Interesse der Verantwortlichen, sondern auch für eigene Zwecke. Am Ergebnis ändert dies aber wenig. Sofern der Dienstleister die Daten zu weiteren eigenen Zwecken verarbeitet, wird er insoweit unter Umständen zwar zusätzlich selbst verantwortlich, aber an der Verarbeitung auch für den Verantwortlichen ändert dies nichts. Soweit er Datenverarbeitungen im Interesse des Verantwortlichen durchführt, bleibt der Tatbestand des § 3 Abs. 7 BDSG erfüllt. Auch wenn die Entscheidung über die Zwecke ein vergleichbares Niveau wie das der verantwortlichen Stelle selbst erreicht, ist dieses Ergebnis nicht in Frage zu stellen. Stattdessen muss dann von einer gemeinsamen Verantwortlichkeit gesprochen werden. Oder mit den Worten des Working Paper 169 (dort Seite 31):

„Ein Auftragsverarbeiter, der den Rahmen der ihm u?bertragenen Aufgaben u?berschreitet und eine nennenswerte Rolle bei der Entscheidung u?ber die Zwecke und die wesentlichen Mittel der Verarbeitung u?bernimmt, ist als (gemeinsam) fu?r die Verarbeitung Verantwortlicher einzustufen und nicht als Auftragsverarbeiter.“.

Dass diese Zuspitzung in der deutschen Praxis bisher kaum umgesetzt wurde, liegt schlicht daran, dass die gemeinsame Verantwortlichkeit gemäß Art. 2 lit. d) DSRL im Wortlaut des § 3 Abs. 7 BDSG kein Widerhall gefunden hat. Die ab Mai 2018 geltende DSGVO bietet nun beste Gelegenheit dafür, den historischen Ballast der deutschen Datenschutzdebatte abzuschütteln. Die Auftragsdatenverarbeitung hat dieses Reboot dringend nötig – und zwar ohne alternde B-Promis wie der Funktionsübertragung. Die unmittelbar anwendbare DSGVO wird insbesondere den Aufsichtsbehörden die Gelegenheit geben, endlich klar zwischen Tatbestand und Rechtsfolge der Auftragsdatenverarbeitung zu unterscheiden und vor allem auch das Konzept der gemeinsamen Verantwortlichkeit ernst zu nehmen.

Den Aufsichtsbehörden ist zu wünschen, dass sie sich bei dieser durch die DSGVO auf dem Silbertablett servierten Möglichkeit zur Neuausrichtung freimütiger zeigen, als bei dem Versuch, die Regelungen des BDSG bezüglich der Einwilligung für die DSGVO-Ära zu konservieren.

Dr. Malte Engeler ist Richter beim Verwaltungsgericht Schleswig und war zuvor stellvertretender Leiter des aufsichtsbehördlichen Bereichs im Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein. Privat bloggt er zu Alltagstechnik und digitalem Leben unter www.DeathMetalMods.de. Der Beitrag entstand aus einer angeregten Twitter-Debatte und spiegelt ausschließlich die persönlichen Ansichten des Autors wieder.
Anzeige:

Kommentare

* Simon Assion 24.11.2016 10:27
Zunächst: Vielen Dank für diesen sehr spannenden Beitrag. Einige Anmerkungen:

1) Ich denke nicht, dass sich die Frage der „Verantwortlichkeit für andere Datenverarbeiter“ ausschließlich auf die Frage der Auftragsdatenverarbeitung verengen lässt. Die ADV als solche ist sowohl im BDSG als auch in der DSGVO zunächst ein fest ausdefiniertes Konzept, das sich unter den in § 11 BDSG / Art. 28 DSGVO ausdefinierten Bedingungen auf verschiedene datenschutzrechtliche Rechtsfolgen auswirkt. Die Verantwortlichkeit ist eine davon, aber m.E. weniger im Sinn einer Verantwortlichkeits-„Erstreckung“ auf den Auftraggeber, sondern eher im Sinn einer Verantwortlichkeits-„Verlagerung“ vom Auftragsverarbeiter auf den Auftraggeber. Die ADV ist also eine Privilegierung des Auftragsverarbeiters, die mit einer gewissen (Kontroll- und Steuerungs-) Verantwortung des Auftraggebers korrespondiert

2) Wenn wir von Fällen der „Mitverantwortlichkeit“ sprechen, dann sprechen Sie völlig zu Recht an, dass sowohl die Datenschutzrichtlinie als auch die neue DSGVO das Konzept des „Joint Control“ vorsehen, bei der beide Beteiligte gemeinsam die Kontrolle ausüben. Unter diesen Bedingungen sieht das Datenschutzrecht beide Seiten als Verantwortliche an, und verlangt sogar zusätzliche Regelungen im Binnenverhältnis der Parteien zur Bestimmung und Abgrenzung der Verantwortlichkeiten. (In Anlehnung an den "Auftragsdatenverarbeitungsvertrag" ließe sich von einem „Joint Control-Vertrag“ sprechen.)

Daraus ergibt sich dann aber im Umkehrschluss: Wenn wir weder eine ADV noch einen Fall der Joint Control haben, weil die Parteien selbstverantwortlich handeln, jedoch jede nur für sich selbst, dann liegt auch keine Co-Verantwortlichkeit vor. In diesem Fall ist jede Partei für sich selbst verantwortlich. Die Funktionsübertragung ist also bei genauer Betrachtung kein Gegenentwurf zur ADV, sondern zur Joint Control.

3) Aus Sicht des Datenschutzanspruchs führt diese in der Praxis herrschende Meinung m.E. zu keinem Verlust des Schutzanspruchs. Denn auch dann wenn jede Partei für sich selbst verantwortlich ist, bleibt das Datenschutzrecht voll anwendbar. Aber eben im „Naturzustand“, d.h. eben jeweils einzeln für den jeweiligen Datenverarbeiter und dessen Verarbeitungsmaßnahmen.

4) Der Gedanke der Funktionsübertragung ist deshalb kein „Kunstgriff“, um die aus der ADV hergeleitete Co-Verantwortlichkeit zu umgehen, sondern einfach nur die Verwirklichung eines grundlegenden Prinzips dieser Rechtsordnung: Jeder ist nur für das rechtlich verantwortlich, was er selbst beeinflussen kann. Jede andere Sichtweise führt dazu, dass Rechtspflichten entstehen, die dann wiederum an der Unmöglichkeit scheitern (Zivilrecht: § 275 BGB, im Verwaltungsrecht nur rudimentär geregelt in § 44 Abs. 2 Nr. 4 VwVfG). Für den Fall eines fehlenden „Auftrags“ i.S.d. Auftragsdatenverarbeitung heißt das: Wenn keine ADV vorliegt, dann entweder ein Fall der Joint Control – gemeinsame Verantwortlichkeit für den Verarbeitungsvorgang, inkl. „Ansteckungsgefahr“ bei Verstößen – oder ein Fall der Funktionsübertragung. Im letzteren Fall ist jeder nur verantwortlich für das eigene Handeln, aber dies bezieht eben auch die Übermittlung an den jeweils anderen mit ein (falls eine Übermittlung vorliegt).

5) Daraus folgt: Theoretisch existiert auch im Fall der Funktionsübertragung kein denkbarer Fall eines Datenschutzverstoßes, der sich nicht verfolgen lässt. Was wegfällt, ist allenfalls die Möglichkeit von Datenschutzbehörden mit begrenztem Zuständigkeitsbereich, vermittelt über eine aus der ADV hergeleitete „Co-Verantwortlichkeit“ auch Datenverarbeitungen zu kontrollieren, für die sie nicht zuständig sind. Es ist eben jede Datenschutzbehörde nur für die „Verantwortlichkeiten“ (und damit die Datenschutzverstöße gegen diese Verantwortlichkeiten) zuständig, die in ihren Zuständigkeitsbereich fallen.

6) Letzter Gedanke: Die von Ihnen gestellte Frage „Wo käme man denn da hin?“ lässt sich auch umgekehrt stellen. Die von Ihnen vertretene Ansicht führt nämlich dazu, dass den an Datenverarbeitungsvorgängen Beteiligten die Dispositionsfreiheit darüber genommen wird, für was sie verantwortlich sein wollen bzw. können. Jeder Beteiligte wäre verantwortlich für die Datenverarbeitung durch Dritte, die „in seinem Interesse“ erfolgt, unabhängig davon, ob er faktisch überhaupt Kontroll- und Einflussmöglichkeiten hat. Die Fallgruppen haben Sie ja selbst dargestellt. Zu Ende gedacht bedeutet dies aber: In quasi allen Fällen digitaler Dienstleistungen, vom Webmail-Service bis zum vernetzten Kühlschrank, wäre immer von einer Co-Verantwortlichkeit des Kunden bzw. Nutznießers auszugehen. Die Folge wäre eine annähernd uferlose Ausweitung der datenschutzrechtlichen Co-Verantwortlichkeit, die dazu führen würde, dass Unternehmen und Bürger entweder einen Großteil von für sie denkbaren Dienstleistungen gar nicht nutzen, oder nur auf die Gefahr hin, für Datenschutzverstöße ihrer Dienstleister in (Co-) Verantwortlichkeit genommen zu werden. Die Möglichkeit, ADV-Verträge abzuschließen, ist jedenfalls keine Möglichkeit, die sich so stark skalieren lässt, dass sie jeden Einzelfall abdeckt.

Es gibt übrigens auch Fälle, in denen eine ADV schon aus Rechtsgründen scheitert, weil der Dienstleister sich aus Rechtsgründen nicht auf die Kontroll- und Weisungsrechte des Kunden einlassen darf, bzw. die eigene Verantwortlichkeit des Datenverarbeiters sich aus (speziellerem) Recht ergibt. Dies kommt häufig im Bereich der regulierten Industrien vor. Die von Ihnen vertretene weite Auslegung der Formulierung "on behalf of" ist damit m.E. nicht vereinbar.

In der Praxis ist es eine gut funktionierende Lösung, wenn die Parteien im Fall einer Zusammenarbeit, die personenbezogene Daten erfasst, die Möglichkeit haben, zwischen einer ADV und einer Funktionsübertragung zu wählen (von einer „Joint Control“ rate ich nach aktuellem Kenntnisstand grundsätzlich ab). Beide Varianten haben Vor- und Nachteile, wobei die ADV den Vorteil hat, dass bestimmte „Übermittlungen“ und Zusammenarbeitsformen überhaupt nur unter der Bedingung einer ADV zulässig sind (insbesondere in Fällen, in denen eine Übermittlung ohne die zusätzliche Absicherung einer ADV nicht rechtfertigbar wäre).
* Malte Engeler 24.11.2016 18:06
Werter Herr Assion,

ich bedanke mich ebenfalls für die freundliche und unkomplizierte Zusammenarbeit bei der Veröffentlichung. Ich hoffe, es wird nicht das letzte Mal gewesen sein.

Inhaltlich muss ich mich allerdings - es wird Sie nicht überraschen - klar gegen Ihre Ausführungen positionieren.

- Die datenschutzrechtliche Verantwortlichkeit steht und stand überhaupt nie zur "Disposition" des Einzelnen (des Unternehmens). Sie folgt stets als Automatismus aus der Zweck- und Mittelentscheidung.

- Die "faktische Kontrolle" über eine Datenverarbeitung liegt allein darin, dass jedes Unternehmen die Kontrolle darüber hat, wessen Dienste es in Anspruch nimmt. Eine solche Entscheidung muss natürlich auch getroffen worden sein, genügt dann aber auch zur Annahme einer Entscheidung über die Mittel (vgl. Art. 29 WP).

- Das befürchtete uferlose Risiko, sich rechtswidrig zu verhalten, ist mAn ein Scheingespenst. Es liegt ebenfalls an jedem Unternehmen, dem Rechtsverstoß zu entgehen, indem schlicht die erforderlichen ADV-Verträge samt Kontroll- und Weisungsbefugnissen abgeschlossen werden. Sind Dienstleister dazu nicht bereit, sind alternative Dienstleister zu prüfen.

- Die Fallgruppen der weisungsfreien Geschäftsbereiche (TKG-, Post- u.a. Dienstleistungen) schließlich sind ein sehr interessanter Sonderfall, den man sehr gut an anderer Stelle vertiefen könnte. An den im Beitrag skizzierten allgemeinen Grundsätzen ändern diese Spezialfälle allerdings nichts.
* R.N. 22.05.2018 12:37
ich bin nur eine kleine Bloggerin und quäle mich seit Wochen durch die Bestimmungen
und höre dauernd ..du musst dies und du musst das..
viele schließen ihre Blogs weil sie verunsichert sind
aber wenn ich es jetzt richtig verstanden habe ist es für mich nicht unbedingt schädlich keinen Vertrag mit Google zu haben (ich habe wenig Informationen darüber was Google wirklich von meinen Besuchern und Kommentatoren speichert)
es könnte mir ev. sogar schaden?
Google stellt keinen zur Verfügung

Ich sehe re CHAPTCHA bei ihnen
auch das wurde von unseren Blogs verbannt weil es Daten an Drittanbieter senden soll
Wir sind im Moment wohl päpstlicher als der Papst und verbannen alles was irgendwie Daten erheben könnte
die Seiten werden langsam farblos und öde
ist das wirklich so gewollt?
mit freundlichen Grüßen
R.N.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.