Die Auftragsdatenverarbeitung braucht ein Reboot – mit der DSGVO in der Hauptrolle
Ein Gastbeitrag von Dr. Malte Engeler
Das deutsche Datenschutzrecht ist ein sonderbares Wesen. Kaum ein Rechtsgebiet lebt in einem vergleichbaren Nirwana zwischen gesellschaftlicher Bedeutung und fast vollständig fehlender Rechtssicherheit. Unter anderem der notorischen Verbindlichkeitsphobie der deutschen Aufsichtsbehörden ist es zu verdanken, dass es auch Jahrzehnte nach seiner erstmaligen Normierung kaum Rechtsprechung gibt. Praktisch alle grundlegenden Rechtsbegriffe sind deshalb auch heute noch strittig, unklar und vage. Eines der größten Fragezeichen steht dabei seit jeher hinter dem Konzept der Auftragsdatenverarbeitung (ADV).
Auch eine gewisse – wahlweise als Heldentat oder Wahnsinn gehandelte – Anordnung der schleswig-holsteinischen Aufsichtsbehörde hat bisher keine Klarheit gebracht, sondern schickt sich an, die bisherige Verunsicherung möglicherweise noch zu steigern. Der 2011 vor dem Schleswig-Holsteinischen Verwaltungsgericht begonnene Rechtsstreit um die Abschaltung von Facebook-Seiten (streng genommen war der Begriff „Fanpage“ nie zutreffend und verengt den Einsatzbereich der Facebook-Seiten unzutreffend auf Fan-Seiten) hat es mittlerweile bis zum Gerichtshof der Europäischen Union geschafft. Statt dort aber die Kernfrage der datenschutzrechtlichen Verantwortlichkeit klären zu lassen, fragt das Bundesverwaltungsgericht nur nach „Auswahlverantwortlichkeit“ und „Sorgfaltspflicht“.
Bei der Frage der datenschutzrechtlichen Verantwortlichkeit geht es aber längst nicht nur um Facebook-Seiten. Es geht ganz grundlegend um die Frage, welche rechtlichen Folgen die Einbindung Dritter (samt deren technischer Mittel) zur Verfolgung eigener Zwecke hat. Youtube, Appstores, Webhosting, Messenger-Dienste, all diese Selbstverständlichkeiten des digitalen Alltags stellen die gleiche Frage: Wird derjenige, der auf Andere für eigene Zwecke zurückgreift, auch verantwortlich für die Mittel, die Andere in seinem Interesse einsetzen?
Die Unklarheit der Anfänge
Diese Frage führt schnurstracks zurück zu den Wurzeln einer Debatte, die so alt ist wie die informationstechnische Arbeitsteilung selbst: der Frage um Voraussetzungen und Folgen der Auftragsdatenverarbeitung. Bereits in der BDSG-Fassung von 1977 war die Verarbeitung im Auftrag normiert, allerdings noch für den öffentlichen (§ 8 BDSG-1977) und nicht-öffentlichen Bereich (§ 22 BDSG-1977) getrennt geregelt worden. Früh entwickelte sich sodann eine gewisse Verwaltungspraxis um die Einbindung Dritter in die eigene Datenverarbeitung. Die Aufsichtsbehörde Baden-Württembergs formulierte etwa bereits 1980 (Staatsanz. 1980, Nr. 5, S. 6) gewisse Vorstellungen von der formellen Beziehung zwischen dem Verantwortlichem und seinem Auftragsdatenverarbeiter. Parallel fokussierte sich ein Teil der Datenschutz-Institutionen auf die Funktionsübertragung, einer im Gesetzestext nicht vorgesehenen Wortschöpfung, die einzig zu dem Zweck erdacht wurde, die Abgrenzungsschwierigkeiten zwischen Verantwortlichkeit und Auftragsdatenverarbeitung zu beheben.
Nach der Zusammenfassung der getrennt geregelten Vorgaben in einer Norm, § 11 BDSG-1990, und der zwischenzeitlichen Umsetzung der Datenschutzrichtlinie 95/46/EG (DSRL) wurden dann 2009 mit Blick auf die Erfahrungen aus öffentlich gewordenen Datenschutzskandalen musterhafte Einzelvorgaben in § 11 Abs. 2 BDSG festgehalten. Das Ziel, klare Vorgaben für die datenverarbeitende Zusammenarbeit vorzugeben, hatte gleichzeitig aber auch zur Folge, dass die nun konkretisierten formellen Vorgaben auch als Abgrenzungskriterium zwischen Funktionsübertragung und Auftragsdatenverarbeiter herangezogen wurden. So ist es dann auch kein Wunder, das in den allermeisten juristischen Kommentierungen die Verantwortlichkeit für Auftragsdatenverarbeiter bei § 11 BDSG diskutiert wird und nicht bei § 3 Abs. 7 BDSG. Ebenfalls wenig überraschend ist, dass aus dieser akademischen sowie praktischen Fokussierung auf die Vertragsbestandteile eine – insbesondere bei Praktikern sowie den Aufsichtsbehörden beliebte – Rechtsmeinung entstand, die sogenannte „Vertragstheorie“. Die eigentliche Herausforderung war nun einmal nicht, festzustellen, ob der ADV-Vertrag formell rechtskonform war, sondern wann überhaupt eine Auftragsdatenverarbeitung anzunehmen sei oder wann man sich mit dem Verweis auf die – kraft Funktionsübertragung – eigenständige Verantwortlichkeit des Dritten exkulpieren konnte.
Die Vertragstheorie beantwortet dies in einer Art, deren Charme vor allem in ihrer Rechtssicherheit liegt. Verantwortlich für Dritte sei demnach nur, wer einen formwirksamen Vertrag gemäß § 11 BDSG abschließt. Jedenfalls in der anwaltlichen Praxis kann man diese Sichtweise wohl als herrschend, mindestens aber bevorzugt, ansehen (vgl. aktuell etwa Lachenmann, „Datenübermittlung im Konzern“, S. 99). Gewissermaßen geadelt wurde diese Ansicht durch das jüngste Urteil zu diesem Themenbereich, dem Urteil des Schleswig-Holsteinisches Oberverwaltungsgericht in Sachen Facebook-Seiten (Az. 4 LB 20/13). Darin ließ das Gericht den markanten Satz fallen:
„Ohne Auftrag keine Auftragsdatenverarbeitung“.
Von dieser These ausgehend, sah sich das Gericht die Beziehung zwischen Seitenbetreiber und Facebook an, fand dabei aber keinerlei Vertrag, der die Voraussetzungen des § 11 BDSG erfüllen würde und kam rigoros zu dem Ergebnis: Mangels Vertrag keine Verantwortlichkeit des Seitenbetreibers. So klar und einfach diese Lösung erscheint, so falsch ist sie.
Henne und Ei
Die Vertragstheorie basiert schlicht auf einer unzulässigen Umkehrung von Ursache und Wirkung. Sie erklärt irrig die Einhaltung der Form zur Voraussetzung für die materielle Verantwortlichkeit. Aber das Gegenteil ist der Fall. Nicht ein formgültiger Vertrag begründet die Verantwortlichkeit, sondern aus der Verantwortlichkeit für andere folgt das Formerfordernis. Die Vorgaben des § 11 BDSG sind der Preis für den Kontrollverlust, den der Verantwortliche für die Auslagerung seiner IT zahlen muss. Systematisch wird dies dadurch bestätigt, dass die Verantwortlichkeit nicht in § 11 Abs. 2 BDSG, sondern nun einmal in § 3 Abs. 7 BDSG geregelt ist. § 11 BDSG beschreibt also lediglich die Formvorgaben für eine rechtskonforme Auftragsdatenverarbeitung und klärt so, ob eine Übermittlung in den Genuss der Privilegierung nach § 3 Abs. 8 S. 3 BDSG kommt. Die Einhaltung der Form des § 11 BDSG entscheidet damit nicht über die Frage der Verantwortlichkeit, sondern nur über die Frage, ob die Weitergabe der Daten an den Dritten als rechtfertigungsbedürftige Übermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG einzustufen ist.
Die Frage der Verantwortlichkeit hingegen hat mit alldem wenig zu tun. Sie richtet sich ausschließlich nach § 3 Abs. 7 BDSG, wonach jede Stelle verantwortliche ist,
„die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“.
Nun könnte man meinen, dass gerade dieser Wortlaut doch für die Vertragstheorie sprechen würde. Rein mit Blick auf das deutsche Recht ist das tatsächlich auch der Fall, denn es ließe sich mit respektablen Argumenten vertreten, dass der Verweis auf „durch andere im Auftrag“ rechtsgrundverweisend auf § 11 BDSG verweisen würde. So jedenfalls argumentieren die oben angesprochenen Vertreter der Vertragstheorie. Das hätte zur Folge, dass man tatsächlich eine Verantwortlichkeit nach § 3 Abs. 7 BDSG nur annehmen dürfte, wenn die formellen Vorgaben des § 11 BDSG erfüllt wären.
Gerade der Vergleich mit der Datenschutzrichtlinie und der insoweit wortgleichen Datenschutz-Grundverordnung (DSGVO) zeigt aber wie irreführend die deutsche Regelung ist: Die Aufnahme des Wortes „im Auftrag“ in den Wortlaut des § 3 Abs. 7 BDSG darf getrost als irreführend gewertet werden. Die englische Version sowohl der Richtlinie (Art. 2 lit. e) DSRL) als auch der Grundverordnung (Art. 4 Nr. 8 DSGVO) definieren den verarbeitenden Anderen wortgleich zurückhaltender als:
„a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller“.
Von einem Auftrag oder formalisierten Beziehung ist dort nicht die Rede. Alleinige Voraussetzung ist vielmehr, dass eine Stelle Daten „on behalf of“ einer anderen Stelle verarbeitet. Übersetzen könnte man das zwar durchaus auch mit „im Auftrag“, aber eben genauso gut auch mit „im Interesse von“ oder „zugunsten von“. Es finden sich im Wortlaut einfach keine Anhaltspunkte dafür, dass hier formaljuristisch ein mustergültiger oder zivilrechtlich wirksamer Vertrag im Sinne des Art. 17 Abs. 3 DSRL oder Art 28 Abs. 3 DSGVO vorausgesetzt wird. In beiden Fällen verlangen die europäischen Entsprechungen zu Art. 11 BDSG lediglich, dass die Verarbeitung von Daten durch Andere zur Folge haben muss, dass diese Beziehung von einem Vertrag oder anderem verbindlichen Akt begleitet wird:
„[…] must be governed by a contract or legal act […]“.
Die Erfüllung etwaiger Formvorgaben ist also nicht mehr als eine Folge der Einbindung Anderer in die eigene Datenverarbeitung, nicht jedoch Voraussetzung der Verantwortlichkeit. Der „Tatbestand“ der Verantwortlichkeit folgt stattdessen ausschließlich aus § 3 Abs. 7 BDSG (bzw. Art. 2 lit. d DSRL und Art. 4 Nr. 8 DSGVO).
Zweck- und Mittelentscheidung – der Klassiker
Damit ist die Vertragstheorie zwar vom Tisch, aber natürlich nicht geklärt, nach welchen Maßstäben stattdessen beurteilt werden soll, wann eine Stelle für die Datenverarbeitung der eingebundenen Dienstleister verantwortlich ist. Die Antwort darauf ist nun so altbekannt wie unbequem. Wie üblich richtet sich die Verantwortlichkeit einzig nach der gängigen Bestimmung über die Zweck- und Mittelentscheidung. Dieses Begriffspaar findet sich zwar bekanntermaßen nicht im deutschen Datenschutzrecht, wohl aber in Art. 4 lit. d DSRL und Art. 4 Nr. 7 DSGVO und wird auch von der Artikel-29-Datenschutzgruppe im bekannten Working Paper 169 als maßgebliches Kriterium herangezogen.
Die Lösung lautet also: Verantwortlich ist, wer Daten zu eigenen Zwecken verarbeiten lässt und dafür einen in seinem Interesse handelnden Dritten samt dessen technischer Mittel einsetzt.
Auch diesbezüglich hat sich aber gezeigt, dass die Praxis und die – spärliche – Rechtsprechung dazu neigen, die formellen Vorgaben des § 11 BDSG stark (über-) zu betonen. Das OVG Schleswig-Holstein etwa vertrat die Ansicht, dass mangels Weisungs- und Kontrollmöglichkeiten jeder Einfluss des Seitenbetreibers hinsichtlich der Verarbeitung bei Facebook ausscheide und damit auch keine Entscheidung über die Mittel vorliegen könne (Rz. 79 des Urteils). Der logische Umkehrschluss: Hätte sich der Seitenbetreiber derartige Entscheidungsbefugnisse vertraglich einräumen lassen, dann hätte das Gericht seine Verantwortlichkeit bejaht. So kommt das OVG Schleswig-Holstein letztlich wieder zu dem, was auch die Vertragstheorie vertritt: Die Bestimmung der Verantwortlichkeit über den Inhalt von Verträgen; Gewissermaßen eine Vertragstheorie durch die Hintertür.
Aber dieses Ergebnis ist mit dem Wortlaut der europarechtlichen Vorgaben nicht vereinbar. Mehr noch, sie findet auch keine Grundlage in der deutschen Gesetzgebungsgeschichte und wäre auch unzweckmäßig. Bereits der Gesetzesentwurf der Bundesregierung zum BDSG-1977 sprach von dem
„Grundsatz, dass eine Behörde, die personenbezogene Daten durch andere Stellen […] speichern oder verarbeiten lässt, für den Schutz dieser Daten verantwortlich bleibt.“ (BT-Drs. 7/1027, S. 26 und 27).
Nicht etwa ein formell mustergültiger Vertragsschluss begründete nach der ursprünglichen Vorstellung die Verantwortlichkeit, sondern schlicht die faktische Verarbeitung von Daten im eigenen Interesse durch andere. Würde man tatsächlich umgekehrt davon ausgehen, dass die Form die Verantwortlichkeit bestimmen würde, käme man zu dem teleologisch völlig verfehlten Ergebnis, dass sich verantwortliche Stellen durch Wahl möglichst vertragsfauler Dienstleister aus der Verantwortlichkeit stehlen könnten. Ganz getreu dem falschen Motto des OVG Schleswig-Holstein wäre ja ohne Auftrag auch keine Auftragsdatenverarbeitung gegeben.
Wo käme man denn da hin?
Widerstand löst all das natürlich deshalb aus, weil auf einmal die Reichweite der Verantwortung für die Einbindung Dritter ungemein ausgeweitet wird. Die Daten von Besuchern einer Webseite oder einer Videoplattform? Die Daten von Kunden eines Appstores? Die Daten von Nutzern einer Kollaborationsplattform? Immer dann wenn ein Dienstleiter Daten für die Zwecke einer Stelle verarbeitet und sich bewusst für die Mittel dieses Dienstleisters entschieden wurde, wäre konsequenterweise eine Verantwortlichkeit anzunehmen. Konkreter:
- Ein Webhoster verarbeitet u.a. IP-Adressen und eindeutige Browserdaten der Seitenbesucher, um die Seite an den Browser des Besuchers auszuliefern, damit der Seitenbetreiber überhaupt die Zwecke erreichen kann, die er mit der Webseite verfolgt: Kundenkommunikation, Selbstdarstellung, E-Commerce (Fallgruppe: fremdgehostete Blogging-Plattformen wie WordPress, Squarespace, Facebook-Seiten).
- Ein Betreiber einer Videoplattform verarbeitet IP-Adressen, Konsumverhalten und Interessen der Online-Zuschauer, damit die Inhalte des Content-Creator die Zuschauer auch erreichen und er mit Reichweitenstatistiken Werbepartner gewinnen kann (Fallgruppe: Youtube, Pornhub, Vessel).
Ein Betreiber einer Infrastruktur zur unternehmensinternen Kollaboration verarbeitet die IP-Adressen, Nutzerdaten und Arbeitsergebnisse der Mitarbeiter, damit die Zwecke der Geschäftsführung erreicht werden können: Steigerung der Effektivität und Komfort bei der Abwicklung von Arbeitsprozessen (Fallgruppe: Office, Slack, Microsoft Teams, Dropbox Business). - Ein Betreiber eines Appstores erhebt Gerätekennungen, Downloadverhalten, Nutzungszeit und In-App-Kaufverhalten der App-Käufer, um dem App-Anbieter zu ermöglichen seine App kopiergeschützt vertreiben zu können sowie die Attraktivität seiner App zu messen und zu steigern (Fallgruppe: Appstores).
Kann all das tatsächlich richtig sein? Sind Seitenbetreiber dafür verantwortlich, wie die Webhoster die Daten ihrer Besucher verarbeiten? Sind Youtuber verantwortlich dafür, wie Google die Daten der Zuschauer des eigenen Kanals verarbeitet? Sind App-Anbieter gar dafür verantwortlich, wie Apple, Google und Microsoft die Daten der Nutzer der eigenen App im Rahmen ihrer Appstores erheben und verarbeiten? Mit Blick darauf, dass in all diesen Fällen die Datenverarbeitung für Zwecke der Verantwortlichen durchgeführt wird und diese sich auch bewusst für die technischen Mittel der jeweiligen Infrastrukturbetreiber entschieden haben, kann die Antwort aber de lege lata nur heißen: Ja, tatsächlich.
Die Realitäten der digitalen Arbeitsteilung
Um dieses Ergebnis doch noch zu vermeiden, wird nun versucht, die Anforderungen an die Mittelentscheidung möglichst hoch zu setzen und ergänzend darauf verwiesen, dass in all diesen Fällen schließlich auch eigene Interessen des Infrastrukturbetreibers eine große Rolle spielen würden. Besonders die Entscheidung über die Mittel wird dabei gern durch den Hinweis darauf in Frage gestellt, dass der Einzelne regelmäßig gerade keinerlei eigene Entscheidungsmacht über die eingesetzten Techniken habe. Wie WordPress, Youtube oder Slack ihr Angebot technisch umsetzen, bleibt für die meisten Nutznießer der Dienste in der Regel völlig unklar. Genauso ist dem Anbieter einer App kaum bekannt, auf welchem Weg die Appstore-Betreiber zu ihrem Wissen über die eigenen App-Nutzer kommen. Kann dann noch von einer „Entscheidung über die Mittel der Datenverarbeitung“ gesprochen werden? Die Artikel-29-Datenschutzgruppe jedenfalls scheint davon auszugehen und diskutiert im Working Paper 169 (dort S. 16) eben jene Sachverhalte, in denen dem Verantwortlichen kaum Details über die zur Zweckerreichung genutzten Mittel bekannt sind:
„Weiterhin könnte ein Auftragsverarbeiter aufgrund allgemeiner Weisungen tätig sein, die in erster Linie die Zwecke betreffen und in Bezug auf die Mittel nicht zu sehr ins Detail gehen.“
Um dann im Anschluss unmissverständlich klarzustellen, dass auch das völlige Fehlen einer Mittelentscheidung kein Hindernis für die Annahme einer Verantwortlichkeit ist:
„Vor diesem Hintergrund ist es durchaus möglich, dass ausschließlich der Auftragsverarbeiter über die technischen und organisatorischen Mittel entscheidet.“ (S. 17).
Mit dieser Entscheidung trägt die Artikel-29-Datenschutzgruppe der Wirklichkeit der digitalen Arbeitsteilung Rechnung, in der in aller Regel einzig der Inhalt der gebotenen Dienstleistung relevant ist, nicht die technischen Hintergründe. Die Nutzung von Office-Tools, Hosting-Leistungen und Infrastrukturdiensten geschieht in der Regel nun einmal einzig mit Blick auf die damit zu fördernden Interessen und Zwecke. In all diesen Fällen mangels konkreter Entscheidung über die eingesetzten Techniken und Prozesse automatisch die Verantwortlichkeit abzulehnen, wird der Wirklichkeit des Massenmarktes an digitalen Dienstleistungen nicht gerecht.
Aber auch der Beziehung zwischen Dienstleister und Verantwortlichem würde dies nicht gerecht werden. Wenngleich kein mustergültiger Vertrag nach § 11 BDSG geschlossen sein wird, so unterliegt das Verhältnis doch regelmäßig bestimmten Richtlinien und Bedingungen, aus denen sich konkretisierbare Rechte und Pflichten beider Seiten ableiten. So wäre es wohl nur schwer bestreitbar, dass beispielsweise aus den „Nutzungsbedingungen für Facebook-Seiten“ der berechtigte Anspruch der Seitenbetreiber abgeleitet werden kann, dass die zum Betrieb der Webseiten erforderlichen technischen Prozesse auch tatsächlich von Facebook durchgeführt werden. Die Mittelentscheidung beläuft sich dann lediglich darauf, dass eben jene technischen Abläufe erfolgen, die für die Erreichbarkeit der Seite und die Reichweitenmessung nötig sind. Für diese Abläufe muss dann aber auch die Verantwortung akzeptiert werden.
Schließlich bliebe noch das Argument, dass in den meisten Fällen neben die Interessen der Verantwortlichen auch die Interessen des Dienstleisters treten. Die Betreiber der oben beispielhaft benannten Infrastrukturen verarbeiten die Daten nun einmal in der Regel nicht nur im Interesse der Verantwortlichen, sondern auch für eigene Zwecke. Am Ergebnis ändert dies aber wenig. Sofern der Dienstleister die Daten zu weiteren eigenen Zwecken verarbeitet, wird er insoweit unter Umständen zwar zusätzlich selbst verantwortlich, aber an der Verarbeitung auch für den Verantwortlichen ändert dies nichts. Soweit er Datenverarbeitungen im Interesse des Verantwortlichen durchführt, bleibt der Tatbestand des § 3 Abs. 7 BDSG erfüllt. Auch wenn die Entscheidung über die Zwecke ein vergleichbares Niveau wie das der verantwortlichen Stelle selbst erreicht, ist dieses Ergebnis nicht in Frage zu stellen. Stattdessen muss dann von einer gemeinsamen Verantwortlichkeit gesprochen werden. Oder mit den Worten des Working Paper 169 (dort Seite 31):
„Ein Auftragsverarbeiter, der den Rahmen der ihm u?bertragenen Aufgaben u?berschreitet und eine nennenswerte Rolle bei der Entscheidung u?ber die Zwecke und die wesentlichen Mittel der Verarbeitung u?bernimmt, ist als (gemeinsam) fu?r die Verarbeitung Verantwortlicher einzustufen und nicht als Auftragsverarbeiter.“.
Dass diese Zuspitzung in der deutschen Praxis bisher kaum umgesetzt wurde, liegt schlicht daran, dass die gemeinsame Verantwortlichkeit gemäß Art. 2 lit. d) DSRL im Wortlaut des § 3 Abs. 7 BDSG kein Widerhall gefunden hat. Die ab Mai 2018 geltende DSGVO bietet nun beste Gelegenheit dafür, den historischen Ballast der deutschen Datenschutzdebatte abzuschütteln. Die Auftragsdatenverarbeitung hat dieses Reboot dringend nötig – und zwar ohne alternde B-Promis wie der Funktionsübertragung. Die unmittelbar anwendbare DSGVO wird insbesondere den Aufsichtsbehörden die Gelegenheit geben, endlich klar zwischen Tatbestand und Rechtsfolge der Auftragsdatenverarbeitung zu unterscheiden und vor allem auch das Konzept der gemeinsamen Verantwortlichkeit ernst zu nehmen.
Den Aufsichtsbehörden ist zu wünschen, dass sie sich bei dieser durch die DSGVO auf dem Silbertablett servierten Möglichkeit zur Neuausrichtung freimütiger zeigen, als bei dem Versuch, die Regelungen des BDSG bezüglich der Einwilligung für die DSGVO-Ära zu konservieren.
Dr. Malte Engeler ist Richter beim Verwaltungsgericht Schleswig und war zuvor stellvertretender Leiter des aufsichtsbehördlichen Bereichs im Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein. Privat bloggt er zu Alltagstechnik und digitalem Leben unter www.DeathMetalMods.de. Der Beitrag entstand aus einer angeregten Twitter-Debatte und spiegelt ausschließlich die persönlichen Ansichten des Autors wieder.
