Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 197

251

Auftragsverarbeiter dürfen i.S.v. Art. 4 Nr. 7 DSGVO grundsätzlich nicht über den Zweck (und die wesentlichen Mittel) einer Datenverarbeitung bestimmen. Entscheidungen über inhaltliche Fragen, die den Kern der Rechtmäßigkeit der Verarbeitung wesentlich betreffen, sind daher dem für die Verarbeitung Verantwortlichen vorbehalten.495 Ein Auftragnehmer ist deshalb datenschutzrechtlich verantwortlich, wenn er einen Einfluss auf den Zweck hat und die Verarbeitung (auch) zu seinem eigenen Nutzen durchführt, der über eine bloße monetäre Kompensation durch den Auftraggeber hinausgeht.496 Die Verantwortlichkeit des Auftragnehmers kann sich dabei sowohl auf den gesamten als auch lediglich auf gewisse Abschnitte eines Verarbeitungsvorgangs erstrecken. Entscheidet der Auftragnehmer z.B. darüber, wie lange Daten aufbewahrt werden oder wer Zugang zu den verarbeiteten Daten hat, handelt er hinsichtlich dieses Teils der Datennutzung als ein für die Verarbeitung Verantwortlicher.497

252

Zu beachten ist hierbei, dass sich die Zwecksetzungsbefugnis stets auf die Verarbeitung eines konkreten Datensatzes bezieht. Insofern steht es Auftragsverarbeitern grundsätzlich frei, einen Verarbeitungszweck abstrakt zu bestimmen, etwa indem sie eine spezielle datenverarbeitende Tätigkeit am Markt anbieten. Zur Bestimmung der datenschutzrechtlichen Verantwortlichkeit ist vielmehr entscheidend, dass der Auftraggeber sich dazu entscheidet, die angebotene Leistung des Auftragnehmers in Anspruch zu nehmen, mithin in seiner datenschutzrechtlichen Verantwortlichkeit stehende personenbezogene Daten vom Auftragnehmer (nach dessen abstrakter Zweckbestimmung) verarbeiten zu lassen.498

253

Die Entscheidungsbefugnis über die Mittel der Verarbeitung ist demgegenüber zweitrangig. Sie hat eine Verantwortlichkeit für die Verarbeitung nur dann zur Folge, wenn über wesentliche Aspekte der Mittel entschieden wird.499 Die Entscheidung über bestimmte technische oder organisatorische Mittel der Verarbeitung kann daher vom Verantwortlichen durchaus auf den Auftragsverarbeiter delegiert werden, ohne seine Stellung als Auftragsverarbeiter zu gefährden.500 Es ist auch durchaus möglich, dass ausschließlich der Auftragsverarbeiter über die (unwesentlichen) technischen und organisatorischen Mittel entscheidet (vgl. obiges Beispiel eines spezialisierten Dienstleisters).501 Durch Inanspruchnahme der Dienstleistung und das damit einhergehende Akzeptieren der vom Auftragsverarbeiter festgelegten Mittel der Datenverarbeitung übernimmt der Auftraggeber auch die datenschutzrechtliche Verantwortung für die jeweilige Verarbeitungsaktivität.502