Was ist der Unterschied zwischen Auftragsverarbeitung und gemeinsamer Verantwortung?
Recht
07. Mai 2020

Was ist der Unterschied zwischen Auftragsverarbeitung und gemeinsamer Verantwortung?

Dr. M. Dornbach Profilbild
Dr. M. Dornbach

Es gibt im betrieblichen Alltag viele Situationen, in denen personenbezogene Daten an Dritte weitergegeben werden. Hierbei ist es wichtig sicherzustellen, dass die jeweiligen Datenschutzvorgaben stets erfüllt sind. Auch wenn nicht jeder Einzelfall im Gesetz geregelt ist, gibt es doch ein paar Richtlinien, um zu entscheiden, welche Regelung für die Weitergabe personenbezogener Daten an Dritte greift. Je nach Situation und Art der Weitergabe unterscheidet man dabei drei verschiedene Möglichkeiten:

Die bekannteste Variante ist die der Auftragsverarbeitung, bei der im Zuge eines Auftrags personenbezogene Daten an einen Subunternehmer als Dienstleister weitergegeben werden. Entsprechend der DSGVO ist ein Auftragsverarbeiter „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Dies bedeutet, dass der Subunternehmer nicht über die Verwendung der Daten entscheidet und diesbezüglich an die Weisungen durch den Auftraggeber gebunden ist. Ein Beispiel hierfür ist ein Dienstleister im Telekommunikationsbereich, der zwar Name, Adresse und Telefonnummer eines Kunden verarbeitet, um eine Supportanfrage des Kunden zu bearbeiten, dies aber auf Weisung eines Auftraggebers, etwa einer Telefongesellschaft, erledigt. Bei der Auftragsverarbeitung kann der Auftragsverarbeiter also teilweise über das „Wie“ entscheiden, aber nicht über das „Was“ und „Warum“ einer Datenverarbeitung. Er gilt dafür im Gegenzug nicht als Dritter im Sinne des Datenschutzrechts und hat daher weniger Pflichten zu erfüllen. Die Grundlagen für ein solches Auftragsverarbeitungsverhältnis werden in einem sogenannten Auftragsverarbeitungsvertrag (AV-Vertrag), unter altem Recht oft auch Auftragsdatenverarbeitungsvertrag genannt, festgehalten. Alle relevanten Inhalte für einen solchen Auftragsverarbeitungsvertrag finden sich in Artikel 28 DSGVO.

Eine andere und weniger bekannte, aber häufig angewandte Variante ist die Weitergabe der Daten an einen Dritten, bei welcher das Unternehmen bzw. der Verein die Verantwortung über die weitere Datenverarbeitung an diesen abtritt. Hierbei ist laut DSGVO ein Dritter „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, [oder] dem Auftragsverarbeiter [...].“. Personenbezogene Daten werden also an Dritte weitergegeben, die sich im Zuge ihrer Tätigkeit um die Weiterverarbeitung kümmern. Ein Beispiel hierfür sind Paketdienste, die im Zuge der Auslieferung die Paketdaten der Absender und Empfänger speichern und in ihrer Datenbank hinterlegen. Der Absender kann hier nicht verlangen, dass die Daten am Ende der Bearbeitung gelöscht werden – er tritt die weiteren Entscheidungen über Zwecke und Mittel der Verarbeitung in dem Moment, in dem die Daten an den Dritten übergeben werden, an diesen ab. Neben der Übergabe der Daten und dem Abtreten der Entscheidungshoheit gibt der Auftraggeber auch die Verantwortung und die Haftung für die weitere Verarbeitung an den Dritten ab. Ein schriftlicher Vertrag für die Datenübergabe an Dritte ist nicht zwingend notwendig, aber zur Erfüllung der gesetzlichen Rechenschaftspflicht trotzdem empfehlenswert. Kurz gefasst: Der Dritte entscheidet sowohl über das „Wie“, als auch über das „Was“ und „Warum“ und haftet für seine Entscheidungen. Der Verantwortliche muss aber vorab prüfen, ob die Weitergabe der personenbezogenen Daten gerechtfertigt ist, also ob für die Übermittlung und weitere Verarbeitung beim Dritten eine entsprechende Rechtsgrundlage vorhanden ist.

Interessant wird es, wenn eine Weitergabe weder in die erste noch die zweite Kategorie fällt, sondern sich mehrere Stellen die Verantwortung für die Verarbeitung der Daten teilen. Die DSGVO beschreibt dies in Artikel 26: „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“ Ein Beispiel hierfür ist eine Lagerhalle, die sich zwei Unternehmen teilen und durch eine gemeinsame Videoüberwachung sichern. Aufgrund der gemeinsamen Interessen und der gemeinsamen Abstimmung, welche Überwachungsmaßnahmen ergriffen werden, sind beide Parteien für die daraus resultierende Verarbeitung von personenbezogenen Daten verantwortlich. Dies gilt sowohl untereinander als auch nach außen gegenüber betroffenen Personen, z. B. bei der Wahrung der Betroffenenrechte. Um klar zu regeln, wer hierbei wofür genau verantwortlich ist und beispielsweise den Betroffenen Auskunft erteilen muss, müssen beide Parteien einen sogenannten Joint-Control-Vertrag aufsetzen, der eben dieses Verhältnis regelt.

Werden personenbezogene Daten an Dritte weitergeben, sollte folglich vor Beginn der Verarbeitung überlegt werden, welche der oben genannten Varianten vorliegt. Viele Unternehmen schließen derzeit ohne weitere Prüfung Auftragsverarbeitungsverträge ab, obwohl es sich in vielen Fällen wohl eher um gemeinsame Verantwortung handelt. Ein Beispiel hierfür wäre eine Homepage, die sowohl einen Facebook-Button einbindet als auch Google Analytics nutzt. Keine der beiden genannten Firmen ist in diesem Fall Auftragsverarbeiter des Inhabers der Homepage, da diese Firmen die erhobenen Daten nicht nur auf dessen Weisung hin verarbeiten, sondern auch zu eigenen Zwecken, wie Tracking oder Profiling, verwenden. Aufgrund der gemeinsamen Verantwortung in Bezug auf Haftung und Betroffenenrechte bevorzugen viele Firmen aber einen Auftragsverarbeitungsvertrag, bei dem die Pflichten zuerst einmal vollständig beim Auftraggeber liegen. Die Rechtsprechung sieht dies jedoch oft anders und entscheidet, dass doch ein Fall der gemeinsamen Verantwortung vorliegt. Hieraus folgen nachträgliche Haftungsrisiken für die beteiligten Unternehmen bei der Verwendung des „falschen“ Vertrages. Um einfacher zwischen Auftragsverarbeitung, Datenweitergabe an Dritte und gemeinsamer Verantwortung unterscheiden zu können, haben wir von dacoto einige Beispiele zusammengestellt.

Unabhängig davon, ob ein Auftragsverarbeitungsvertrag oder ein Vertrag über gemeinsame Verantwortung geschlossen werden muss, können Sie demnächst die passenden Verträge automatisch durch dacoto erstellen lassen.

Kurz und knapp
  • icon=
    Bei der Auftragsverarbeitung kann der Auftragsverarbeiter zwar teilweise über das „wie“ entscheiden, aber nicht über das „was“ und „warum“ einer Datenverarbeitung. Er gilt dafür nicht als Dritter.
  • icon=
    Dritte entscheiden sowohl über das „wie“, als auch über das „was“ und „warum“ und haften für ihre Entscheidungen selbst. Der Verantwortliche muss aber vor Beginn prüfen, ob die Weitergabe gerechtfertigt ist.
  • icon=
    Wenn eine Weitergabe weder in die erste noch die zweite Kategorie fällt, weil sich zwei oder mehr Verantwortliche die Verantwortung für die Verarbeitung der Daten teilen, handelt es sich um gemeinsame Verantwortung.
Icon