B. Kommentierung zu Art. 4 Nr. 8

I. Gesetzestext

1

Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

8. “Auftragsverarbeiter” eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

II. Bedeutung der Norm

2

Die Norm definiert den Begriff des Auftragsverarbeiters und somit einen der Normadressaten der DSGVO. Sie ist heranzuziehen, wenn bestimmt werden muss, an wen sich die Vorgaben der DSGVO richten.

III. Hinweise für den Anwender

3

Für die Auslegung der Norm relevante Erwägungsgründe:

• Zu dieser Begriffsbestimmung lassen sich keine spezifischen EG zuordnen.

4

Für die Norm relevante Definitionen:

• Die Definition des Auftragsverarbeiters entspricht der früheren Definition in Art. 2 lit. e RL 95/46.

IV. Allgemeines

5

Mit dieser Definition wird der Normadressat bestimmt, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Er ist damit also gerade nicht Verantwortlicher im Sinne der DSGVO. Gleichzeitig wird der Auftragsverarbeiter aber im Vergleich zur RL 95/46 EG und zum BDSG a.F. stärker in die Verantwortung genommen. Er haftet bei materiellen oder immateriellen Schäden gegenüber dem Betroffenen (Art. 82), hat eigenständige Pflichten in Bezug auf die Sicherheit der Verarbeitung (Art. 32) und kann Adressat von Anordnungen der Aufsichtsbehörden gem. Art. 58 sowie von Bußgeldern sein (vgl. z.B. Art. 83 Abs. 3, 4 lit. a).

1. Regelungszweck

6

Die Definition grenzt den Auftragsverarbeiter vom in Art. 4 Nr. 7 definierten „Verantwortlichen“ ab. Ihr Zweck ist es, den Akteuren unterschiedliche Rollen im Rahmen der Verarbeitung zuzuweisen.

2. Normadressaten

7

Die Norm hat keinen direkten Normadressaten. Als Definition ist sie vielmehr für jeden Rechtsanwender von Bedeutung. Sie ist in der Gesamtschau mit den an den Auftragsverarbeitern gerichteten Normen zu lesen und bestimmt insoweit deren Anwendungsbereich.

3. Systematik

8

Der Auftragsverarbeiter gehört zu den in Art. 4 definierten Normadressaten der DSGVO. In der unmittelbaren Umgebung zur Definition des Auftragsverarbeiters finden sich in Art. 4 der Verantwortliche (Nr. 7), der Empfänger (Nr. 9) und der Dritte (Nr. 10). Die weiteren von der Norm umfassten Rollen bei der Begriffsbestimmung wie Vertreter (Nr. 17), Aufsichtsbehörde (Nr. 21) oder betroffene Aufsichtsbehörde (Nr. 22) werden eher unsystematisch aufgelistet. Aus der Systematik in der Auflistung der Begriffsbestimmungen ergeben sich keine besonderen Hinweise für die Auslegung.

4. Entstehungsgeschichte

a) Bisherige europäische Vorgaben

9

Die Begriffsbestimmung des Auftragsverarbeiters ist bereits in der RL

95/46 EG festgelegt. Der dortige Wortlaut unterscheidet sich nicht von der Begriffsbestimmung in der DSGVO.

10

11

Daher kann die bisherige Auslegung des Begriffs des Auftragsverarbeiters durch die ehemalige Art. 29-Datenschutzgruppe in deren Working Paper 169 herangezogen werden.1 Obwohl die Art. 29-Datenschutzgruppe inzwischen durch den Europäischen Datenschutzausschuss (EDSA) abgelöst worden ist, der eigene Leitlinien zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters nach neuer Rechtslage veröffentlicht hat2, lebt das von der Art. 29-Datenschutzgruppe entwickelte Begriffsverständnis grundsätzlich fort.

b) Bisherige nationale Vorgaben

12

Das BDSG a.F. enthielt keine eigenständige Definition des Begriffs des Auftragsverarbeiters. Allerdings setzte § 11 BDSG a.F. den Auftragsverarbeiter voraus. Nach § 11 Abs. 1 BDSG a.F. blieb der Auftraggeber für die Einhaltung des Datenschutzes verantwortlich, wenn die personenbezogenen Daten durch andere Stellen „im Auftrag“ erhoben, verarbeitet oder genutzt wurden. § 11 Abs. 2 BDSG a.F. schrieb dann vor, dass ein solcher Auftrag schriftlich zu erteilen war.

13

Ferner gab § 3 Abs. 8 Satz 3 BDSG a.F. vor, dass Stellen, die personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, dann nicht „Dritte“ waren, wenn dies innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes geschah. Da im deutschen Recht der Begriff der „Übermittlung“ als das Bekanntgeben von personenbezogenen Daten an einen „Dritten“ definiert wurde (vgl. § 3 Abs. 4 Nr. 3 BDSG a.F.), ging die herrschende Meinung früher davon aus, dass bei Auftragsverarbeitern innerhalb der EU/des EWR keine „Übermittlung“ vorlag und somit keine weitere Rechtsgrundlage für diesen Verarbeitungsvorgang erforderlich war.3

V. Inhalt der Regelung

1. „Privilegierungswirkung“ auch unter der DSGVO?

14

Bei der Anwendung des BDSG a.F. ging man überwiegend davon aus, dass die Weitergabe der personenbezogenen Daten an den Auftragnehmer einer Auftragsverarbeitung keines eigenen Erlaubnistatbestandes bedürfe.

15

Begründet wurde diese Ansicht mit einem Umkehrschluss zu der Definition des „Dritten“ in § 3 Abs. 8 S. 3 BDSG a.F.: „Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.“ Des Weiteren konnte diese Meinung durch die Definition des „Übermittelns“ in § 3 Abs. 4 Nr. 3 BDSG a.F. gestützt werden. Nach § 3 Abs. 4 Nr. 3 BDSG a.F. war Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben wurden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsah oder abrief. Aus dem Zusammenspiel dieser beiden Definitionen konnte abgeleitet werden, dass die Beauftragung eines Auftragsdatenverarbeiters keine Übermittlung an einen Dritten sei und somit keines weiteren Erlaubnistatbestandes bedürfe.4 In der Literatur wurde insoweit von der „Privilegierung der Auftragsdatenverarbeitung“ gesprochen.5

16

Nach Art. 4 Nr. 10 ist der Auftragsverarbeiter ebenfalls nicht „Dritter“. Dagegen ist der Begriff des „Übermittelns“ nicht mehr gesondert definiert, sondern findet sich als ein Beispiel der „Verarbeitung“ in Art. 4 Nr. 2 wieder. Aus diesem Grund ist teilweise problematisiert worden, ob die Übermittlung von personenbezogenen Daten nunmehr (auch innerhalb der EU/des EWR) einer gesonderten Rechtsgrundlage bedürfe.6 Es handelt sich offenbar um eine sehr vom deutschen Recht geprägte Diskussion; andere Mitgliedstaaten kennen die Problematik nicht.7 Auch der EDSA geht davon aus, dass die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 sowie ggf. Art. 9 DSGVO aus der Tätigkeit des Verantwortlichen abgeleitet werde.8 Dies kann man damit begründen, dass die Einbindung des Dienstleisters kein eigenständiger Akt der Datenverarbeitung ist, sondern Teil der Verarbeitungshandlungen des Auftraggebers (des Verantwortlichen) gem. Art. 4 Nr. 2.9 Ist die Verarbeitung der Daten durch den Verantwortlichen nach Art. 6 Abs. 1 rechtmäßig, erstreckt sich diese Rechtmäßigkeit auch auf den Auftragsverarbeiter nach Maßgabe der...