Auftragsverarbeitung oder Gemeinsam Verantwortliche?

Wer gemeinsam mit dem Verantwortlichen über Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, ist nicht Auftragsverarbeiter.

Mit der umfassenden Weisungsgebundenheit (Art. 28 Abs. 3 Satz 1 und Satz 2 Buchstabe a, Art. 29 DSGVO) ist es nicht vereinbar, dass ein Dienstleister – über die eigentliche Dienstleistung hinaus – eigene Interessen an den personenbezogenen Daten verfolgt. Wer selbst (auch) über den Zweck und über wesentliche Aspekte der Mittel der Datenverarbeitung bestimmt, ist in Bezug auf die Datenverarbeitung nicht ein dem Verantwortlichen untergeordneter Auftragsverarbeiter. Das betrifft insbesondere den Fall einer rechtswidrigen Überschreitung der Weisungen des Verantwortlichen durch den Auftragsverarbeiter. In Bezug auf eine solche Verarbeitung gilt der Auftragsverarbeiter selbst als Verantwortlicher (vgl. Art. 28 Abs. 10 DSGVO) mit den daraus folgenden Verpflichtungen.

Auch wer gemeinsam mit dem Verantwortlichen über Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, ist nicht Auftragsverarbeiter. Gemäß Art. 26 Abs. 1 DSGVO ist er neben dem (gegebenenfalls Haupt-) Verantwortlichen (weiterer) Verantwortlicher („gemeinsam Verantwortliche“). Ein Beispiel ist die Zusammenarbeit in Netzwerken. Gemeinsam Verantwortliche (Joint Controllership) müssen in einer Vereinbarung in transparenter Weise festlegen, wer von ihnen welche datenschutzrechtlichen Pflichten erfüllt (Art. 26 Abs. 1 Satz 2 DSGVO). Nach dem Gesetz ist die Anzahl der gemeinsam Verantwortlichen nicht beschränkt (Art. 26 Abs. 1 DSGVO: „zwei oder mehr Verantwortliche“).

Für eine Auftragsverarbeitung spricht:

  • Der Dienstleister besitzt keine Entscheidungsbefugnis hinsichtlich des Zwecks der Verarbeitung personenbezogener Daten; der Verantwortliche, der den Auftrag erteilt, behält die Hoheit über die Verwendung der Daten einschließlich deren Löschung oder Vernichtung.
  • Der Dienstleister ist ausführlichen Weisungen des Verantwortlichen unterworfen, die ihm wenig Spielraum lassen.
  • Die Daten werden dem Dienstleister vom Verantwortlichen lediglich zur Verfügung gestellt.
  • Der Vertrag enthält Weisungen bezüglich der Art der durchzuführenden Datenverarbeitung und des Umgangs mit den personenbezogenen Daten (welche Daten wie lange zu welchem Zweck verarbeitet werden, wer Zugang zu ihnen hat), gewährt dem Dienstleister aber keine eigenen Nutzungsrechte. Es besteht somit ein vertragliches Nutzungsverbot.
  • Der Dienstleister hat im Außenverhältnis (z. B. gegenüber Bürgern) keinerlei Entscheidungsbefugnisse.
  • Der Dienstleister wird durch den Verantwortlichen, der den Auftrag erteilt, überwacht.

Gegen eine Auftragsverarbeitung spricht:

  • Der Dienstleister erhält das Recht zur Nutzung der personenbezogenen Daten zu eigenen Zwecken.
  • Auftraggeber und Dienstleister entscheiden gemeinsam über Zweck und wesentliche Elemente der Mittel der Datenverarbeitung.
  • Die zugrunde liegende fachliche Aufgabe wird auf den Dienstleister übertragen.
  • Der Auftraggeber besitzt keinen entscheidenden Einfluss auf die Datenverarbeitung durch den Dienstleister oder keine umfassenden Informationsrechte gegenüber dem Dienstleister.
  • Der Dienstleister entscheidet auch selbst, auf welche Weise wann welche Daten verarbeitet werden.