27.03.2018

Schaut auf die "Verantwortlichkeit" - neue Wege bei der Vertragsgestaltung im Datenschutzrecht

Portrait von Niko Härting
Niko Härting

Die DSGVO eröffnet erhebliche Spielräume für die Vertragsgestaltung. Diese Spielräume gilt es zu nutzen. Dies gilt zum einen für die Auftragsdatenverarbeitung, für die die DSGVO Regeln aufstellt, die nicht der bisherigen deutschen Praxis entsprechen. Zum anderen muss die "gemeinsame Verantwortlichkeit"  die in Art. 26 DSGVO geregelt ist, mit vertraglichem Leben erfüllt werden.

Verantwortliche und die Geheimnisse der Auftragsverarbeitung

Manfred Monreal wies in einem lesenswerten Aufsatz bereits 2014 darauf hin, dass der datenschutzrechtlich "Verantwortliche" hierzulande ein "unbekanntes Wesen" sei (ZD 2014, 611 ff.). Unlängst ergänzte er seine Ausführungen durch eine Analyse der "Geheimnisse der Auftragsverarbeitung" nach der DSGVO (PinG 2017, 216 ff.). Monreal weist nach, dass es verfehlt ist, die Auftragsverarbeitung schlicht als Gegenbegriff zur "Funktionsübertragung" zu sehen. Statt dessen gelte es, den Blick auf den Begriff der "Verantwortlichkeit" zu richten.

Verantwortlichkeit am Beispiel von Outsourcing der Lohnbuchhaltung

Wie es um den Begriff der "Verantwortlichkeit" bestellt ist, sei an einem einfachen Beispiel erläutert: Für die Gehaltsabrechnung nutzen viele Unternehmen die Dienste von Steuerberatern oder Lohnbüros. Nach altem Recht war streitig, ob das Outsourcing der Lohnbuchhaltung als Auftragsdatenverarbeitung gem. § 11 BDSG anzusehen ist:

  • Vielfach wurde vertreten, dass eine Auftragsverarbeitung jedenfalls dann zu verneinen sei, wenn die Lohnbuchhaltung durch einen Steuerberater vorgenommen werde. Aus Gründen des Berufsrechts dürfe sich der Steuerberater den Weisungen eines Auftraggebers nicht unterwerfen (Gola/Schomerus/Gola/Klug/Körffer, BDSG, 12. Aufl. 2015, § 11 Rdnr. 11; Oetterich, DStR 2012, 1771 f.).
  • Petri vertritt in Simitis, BDSG, 8. Aufl. 2014, § 11, Rdnr. 31, einerseits die Auffassung, dass die "Entgeltabrechnung" eines der "klassischen Beispiele" der Auftragsdatenverarbeitung sei. Zugleich meint er drei Randnummern zuvor (a.a.O.), die Übernahme der Lohn- und Gehaltsabrechnung durch Steuerberater sei "Funktionsübertragung".
  • Gabel meint in Taeger/Gabel, BDSG, 2. Aufl. 2013,  § 11, Rdnr. 19, die Lohn- und Gehaltsabrechnung sei (nur dann) Auftragsdatenverarbeitung, wenn es Vorgaben des Auftraggebers gebe,"die keinen oder zumindet keinen wesentlichen inhaltlichen Entscheidungs- und Beurteilungsspielraum zulassen".
  • Plath vertritt die Auffassung, die Lohn- oder Gehaltsbuchhaltung lasse sich "im Wege der Auftragsdatenvereinbarung auf einen externen Dienstleister übertragen" (Plath/Plath, BDSG/DSGVO, 2. Aufl. 2016, § 11 BDSG, Rdnr. 38).

Welch ein verwirrendes Bild zu einem alltäglichen Sachverhalt. Ein Bild, das nur vor dem Hintergrund zu verstehen ist, dass die Auftragsdatenvereinbarung gemeinhin als "privilegiert" galt (vgl. Plath, a.a.O, Rdnr. 4). Denn der Auftragsdatenverarbeiter mit Sitz in der EU ist nach geltendem Recht kein "Dritter" (§ 3 Abs. 8 Satz 3 BDSG). Das Verbotsprinzip gilt daher bislang für die Übermittlung an den Auftragsdatenverarbeiter nicht (vgl. § 4 Abs. 1 i.V.m. § 3 Abs. 4 Nr. 3 BDSG).

Bisherige Privilegierung

Die (vermeintliche) "Privilegierung" der Auftragsdatenverarbeitung führte in den letzten zehn Jahren zu einer explosionsartigen Zunahme von Auftragsdatenverarbeitungsverträgen. Cloud Computing, Tracking Tools, Datenübermittlung innerhalb von Konzernen: Immer wenn es mühsam oder unmöglich erschien, Einwilligungen der Betroffenen einzuholen, zauberte man das Instrument der Auftragsdatenverarbeitung hervor und umschiffte damit geschickt die komplizierten Abwägungen der §§ 28 und 29 BDSG. Dabei kam man oft zu skurillen Ergebnissen: Wer Google Analytics für seine Website einsetzte, wurde für die Datenanalyse "verantwortlich", die Google auf fernen Rechnern vornahm. Und Amazon hält für seine Cloudprodukte jeweils passende Verträge vor, durch die sich Amazon den Weisungsrechten seiner Kunden unterwirft. Der Schwanz wackelt dabei gerne einmal mit dem Hund.

Künftige Privilegierung?

§ 3 Abs. 4 Nr. 3 BDSG ist ab dem 25.5. Geschichte. Ob damit auch die "Privilegierung" der Auftrags(daten)verarbeituung entfällt, ist streitig. Vieles spricht jedoch dafür, dass wir uns von einer (sei es auch nur vermeintlichen) "Privilegierung" verabschieden müssen.

  • Begriff "Datenverarbeitung"

Dies liegt maßgeblich daran, dass Art. 4 Nr. 2 DSGVO die Kleinschrittigkeit des § 3 Abs. 4 und 5 BDSG (Speichern, Verändern, Übermitteln, Sperren, Löschen, Nutzen) nicht kennt und einen einheitlichen Begriff der Datenverarbeitung verwendet (vgl. Härting, ITRB 2016, 137, 139):

„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.
  • Folgen für Auftragsverarbeitung

Wenn nach Art. 6 Abs. 1 DSGVO die Rechtmäßigkeit der Datenverarbeitung geprüft wird, kommt es auf den „Vorgang“ der Datenverarbeitung an und nicht – kleinteilig – auf jeden Verarbeitungsschritt. Dies hat für die Auftragsverarbeitung eine negative und eine positive Folge, wenn man nach der Rechtmäßigkeit der Überlassung von Daten an einen Dienstleister fragt:

  • Negativ: "Das ist erlaubt, weil der Dienstleister Auftragsverarbeiter ist." Dies war die schlichte Antwort nach bisherigem Recht. Nach der DSGVO hingegen ist die Einschaltung eines Dienstleisters nicht bereits dann zulässig, wenn die Voraussetzungen des Art. 28 DSGVO erfüllt sind.
  • Positiv: Wenn ein Unternehmen einen Dienstleister im Wege des Outsourcing mit der Verarbeitung personenbezogener Daten beauftragt, handelt es sich bei dieser Datenverarbeitung um einen einheitlichen Vorgang, der insgesamt nach Art. 6 DSGVO zu würdigen ist. Verfügt das Unternehmen beispielsweise über Einwilligungen aller Betroffenen, so ist dem Unternehmen nicht nur die Datenvereinbarung erlaubt, sondern auch das Outsourcing, ohne dass es gesonderter Einwilligungserklärungen der Betroffenen hinsichtlich des Outsourcings bedarf.

Was bedeutet dies für die outgesourcete Lohn- und Gehaltsabrechnung?

Die Abrechnung ist zur Erfüllung der vertraglichen Verpflichtungen des Arbeitgebers erforderlich (§ 26 Abs. 1 Satz 1 BDSG-neu). Hierzu darf sich der Arbeitgeber auch der Dienste eines Steuerberaters oder Lohnbüros bedienen, denn es steht dem Verantwortlichen frei, die Verarbeitung selbst durchzuführen oder sie von einem qualifizierten Auftragsverarbeiter durchführen zu lassen (Art. 28 DSGVO, vgl. Montreal, PinG 2017, 216, 223) bzw. gemeinsam mit einem anderen Verantwortlichen vorzunehmen (Art. 26 DSGVO).

Die Daten, mit denen der Steuerberater oder das Lohnbüro die Lohn- und Gehaltsabrechnung vornimmt, stammen vom Arbeitgeber. Die Abrechnung ist zudem ein Zweck, den der Arbeitgeber vorgibt. Wie auch immer die Abrechnung im einzelnen ausgestaltet ist, der Arbeitgeber gibt "allein oder gemeinsam" mit dem Steuerberater bzw. Lohnbüro "die Zwecke und Mittel der Verarbeitung" vor und kommt jedenfalls von seiner Verantwortlichkeit gem. Art. 4 Nr. 7 DSGVO nicht los.

  • Auftragsverarbeitung oder gemeinsame Verantwortlichkeit

Ist eine "Funktionsübertragung" demnach keine Option, bleibt die Wahl zwischen Auftragsverarbeitung (Art. 28 DSGVO) und gemeinsamer Verantwortlichkeit (Art. 26 DSGVO). Dies wiederum ist eine Frage der Vertragsgestaltung. Je mehr man die Weisungsrechte des Arbeitgebers betont, desto mehr spricht dies für eine Auftragsverarbeitung. Je mehr Spielräume dem Dienstleister bei der Abrechnung bleiben, desto eher liegt eine gemeinsame Verantwortlichkeit vor. Beim Steuerberater wird dementsprechend eine Ausgestaltung als Auftragsverarbeiter schwieriger sein als beim Lohnbüro, von dem man weniger anspruchsvolle Tätigkeiten als von einem Steuerberater erwartet.

  • Rechtmäßigkeit der Datenverarbeitung

Datenschutzrechtlich sind die Hürden für die gemeinsame Verantwortlichkeit nicht anders als bei der Auftragsverarbeitung:

  • Negativ: "Das ist erlaubt, weil der Dienstleister mitverantwortlich ist." So einfach ist es nicht. Die Mitverantwortung des Dienstleisters besagt nichts über die Rechtmäßigkeit der Datenverarbeitung gem. Art. 6 DSGVO.
  • Positiv: Wenn ein Unternehmen einen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, handelt es sich bei dieser Datenverarbeitung auch dann um einen einheitlichen Vorgang, der insgesamt nach Art. 6 DSGVO zu würdigen ist, wenn die Voraussetzungen des Art. 26 DSGVO vorliegen. Die Einbeziehung eines weiteren Verantwortlichen in die Datenverarbeitung ist als solches kein Tatbestand, der einer gesonderten Beurteilung der Rechtmäßigkeit unterliegt. Verfügt das Unternehmen daher beispielsweise über Einwilligungen aller Betroffenen, so ist die Einbeziehung eines weiteren ("gemeinschaftlich") Verantwortlichen erlaubt, ohne dass es gesonderter Einwilligungserklärungen der Betroffenen hinsichtlich des Outsourcings bedarf.

Vorteile "gemeinsamer Verantwortlichkeit"

Das Instrument der "gemeinsamen Verantwortlichkeit" ist bei einer solchen Sichtweise ein Instrument, das die Vertragsgestaltung bei arbeitsteiligen Verarbeitungsprozessen erheblich erleichtern kann. Im Konzern kann eine "gemeinsame Verantwortlichkeit" die Basis sein, auf der die Konzernunternehmen bei der Datenverarbeitung zusammenwirken und gemeinsam die Verpflichtungen der DSGVO einhalten. Bei Clouddiensten, Tracking- und Analyse-Tools kann eine "gemeinsame Verantwortlichkeit" die Grundlage sein, um US-amerikanische Dienstleister für die eigene Datenverarbeitung in die Verantwortung zu nehmen, ohne deren Kunden, von denen die Daten stammen, aus dieser Verantwortung zu entlassen.

Fazit:  Chancen der Vertragsgestaltung

Deutsche Datenschutzrechtler werden sich umgewöhnen müssen, wenn es um die Auftragsverarbeitung geht. Gleichzeitig gilt es, die Spielräume zu erkennen, die das in Art. 26 DSGVO verankerte Institut der gemeinsamen Verantwortlichkeit eröffnet. Wer sich ängstlich an bisherige Auslegungen klammert, verpasst jetzt die Chancen eines Neuanfangs bei der vertraglichen Ausgestaltung arbeitsteiliger Verarbeitungsprozesse.

Zurück