Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 199

257

Der Wortlaut von Art. 4 Nr. 8 DSGVO spricht dafür, dass eine Auftragsverarbeitungskonstellation nur dort gegeben ist, wo tatsächlich auch eine (aktive) Verarbeitung i.S.v. Art. 4 Nr. 2 DSGVO im Auftrag erfolgt. Dies wird noch der Fall sein, wo zumindest eine Kenntnisnahme der Daten durch den Datenempfänger ausdrücklich gewünscht ist,506 es sei denn, es handelt sich um eine eigenverantwortliche Verarbeitungstätigkeit des jeweiligen Dienstleisters.507

258

Betreffen die Tätigkeiten im eigentlichen Kern nicht die Verarbeitung von personenbezogenen Daten, sondern ist der Kontakt mit personenbezogenen Daten nur möglich oder ein unvermeidliches „Beiwerk“, unterfallen diese in der Regel nicht dem Regime der Auftragsverarbeitung.508 Dies ergibt sich denknotwendig auch schon aus dem Umstand, dass der Auftragnehmer nicht den Weisungen des Auftraggebers in Bezug auf die Verarbeitung von personenbezogenen Daten unterliegen kann, sofern eine solche Verarbeitung gar nicht Gegenstand der vertraglichen Leistung ist. Zu diesen Tätigkeiten zählen etwa Transportleistungen von Post- oder Kurierdiensten, Übertragungsleistungen von öffentlichen Telekommunikationsdiensten, Bewachungsdienste, Reinigungs- und Handwerksdienstleistungen oder Server-Housing. Unbeschadet etwaiger besonderer Geheimhaltungsverpflichtungen, wie dem Post-, Telekommunikations- oder Bankgeheimnis, reicht in solchen Konstellationen im Regelfall eine Geheimhaltungsverpflichtung der externen Personen aus.509

259

Ähnlich verhält es sich bei der Wartung von Datenverarbeitungsanlagen, etwa in Fällen, in denen ein Dienstleister per Remote auf IT-Systeme des Kunden zugreift, um Updates aufzuspielen oder Störungen zu beheben. § 11 Abs. 5 BDSG a.F. schrieb in solchen Konstellationen eine entsprechende Anwendung der Regelungen zur Auftragsverarbeitung vor, da der Zugriff auf personenbezogene Daten durch den Dienstleister nicht ausgeschlossen werden könne.510 Demgegenüber enthält Art. 28 DSGVO keine dem § 11 Abs. 5 BDSG a.F. vergleichbare Regelung.511 Nach der hier vertretenen Ansicht sind die Voraussetzungen einer aktiven Verarbeitung deshalb nicht erfüllt, wenn nur gelegentlich einer anderen Tätigkeit (z.B. einer Reinigungs- oder Wartungsleistung) ein Zugriff auf personenbezogene Daten möglich, aber eben nicht auftragsgegenständlich ist.512 Sofern jedoch eine (aktive) Verarbeitung notwendig ist, um die jeweiligen Wartungsarbeiten vorzunehmen, ist zu prüfen, ob diese Tätigkeiten einer Auftragsverarbeitung zugänglich sind oder es sich vielmehr um eine eigenverantwortliche, datenschutzrechtlich zu rechtfertigende Verarbeitungstätigkeit des Dienstleisters handelt.513 Im letzteren Fall ist dann auch auf Seite des Kunden sicherzustellen, dass ein entsprechender Erlaubnistatbestand vorliegt, der es rechtfertigt, die personenbezogenen Daten durch den Dienstleister verarbeiten zu lassen.

260

Nicht von der DSGVO geregelt sind jene Konstellationen, in denen der Auftragnehmer zwar ohne Zweifel personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, für ihn jedoch keine Möglichkeit zur inhaltlichen Kenntnisnahme besteht. Dies kann etwa vorliegen, wenn der Auftragnehmer ausschließlich verschlüsselte Daten verarbeitet, ohne jedoch über eine Möglichkeit zur Entschlüsselung der Daten zu verfügen (z.B. Hosting von verschlüsselten Daten). In solchen Fällen ist zu beachten, dass es sich für den Auftragnehmer dabei nicht um personenbezogene Daten handelt, dies jedenfalls, sofern ihm keine „Mittel“ vernünftigerweise zur Verfügung stehen, die Daten zu entschlüsseln und so einen Personenbezug herzustellen.514 In Konsequenz würde der Auftragnehmer dann (jedenfalls aus seiner Sicht) auch keine personenbezogenen Daten im Auftrag verarbeiten. Demgemäß spricht in solchen Konstellationen vieles dafür, weder eine Auftragsverarbeitung noch eine datenschutzrechtlich relevante Verarbeitung durch bzw. Übermittlung an den Auftragnehmer anzunehmen. Da dem Auftragnehmer keine schutzbedürftigen, personenbezogenen Daten offengelegt werden, entsteht insoweit auch nicht das einer Auftragsverarbeitung ansonsten stets inhärente Risiko für die jeweils Betroffenen.515 Die (an den Auftragnehmer ausgelagerte) Verarbeitung durch den Auftraggeber unterliegt freilich datenschutzrechtlichen Limitierungen, sofern er die jeweiligen Daten entschlüsseln kann. Vor diesem Hintergrund erscheint auch der Abschluss eines Vertrags nach Art. 28 DSGVO obsolet. Freilich ist in solchen Konstellationen stets im Einzelfall zu prüfen, ob für den Auftragnehmer nicht doch eine Möglichkeit zur Entschlüsselung der Daten besteht, etwa da er in bestimmten Konstellationen einen entsprechenden vertraglichen Anspruch gegen den Auftraggeber hat.