Welche Aussage ist richtig?
a) Ein Auftragsverarbeiter darf die Daten nicht für eigene Zwecke verwenden.
b) Die als Auftragsverarbeiter agierende Partei kann niemals den Zweck der Verarbeitung bestimmen.
Was wäre, wenn der Verantwortliche über den Zweck der Verarbeitung dahingehend entscheidet, dass es sich um einen eigenen Zweck des Auftragnehmers handelt?
Ich sehe hier einen Widerspruch. Wo liegt mein Denkfehler?
Quelle: EDSA-Leitlinie 7/2020
Hallo @anne !
Meiner Meinung nach sind beide von Dir angeführten Aussagen, zumindest mit Blick auf das Verhältnis Verantwortlicher/Auftragsverarbeiter zutreffend.
Ein Auftragsverarbeiter ist grundsätzlich nicht berechtigt, die ihm zur Verarbeitung überlassenen Daten für eigene Zwecke zu nutzen. Eine solche Nutzung müsste ihm vom Verantwortlichen ausdrücklich gestattet werden. Mit Blick auf die dann für eigene Zwecke durchgeführte Verarbeitung wird der Auftragsverarbeiter dann aber auch zum Verantwortlichen.
Dies setzt allerdings auch zusätzlich voraus, dass der Verantwortliche berechtigt ist die betreffenden Daten zu übermitteln und es auch eine Rechtsgrundlage für die mögliche Zweckänderung gibt.
Das ein Auftragsverarbeiter nie über den Zweck der Verarbeitung entscheiden kann ergibt sich m.E. schon aus der Definition in Art. 4 Nr. 8 DSGVO.
Was Deine zweite Fragestellung angeht, betrifft dies weniger eine Auftragsverarbeitung, sondern eher das Verhältnis zwischen zwei Verantwortlichen, welche Daten für die jeweils eigenen Zwecke verarbeiten. Hier könnte man ggf. über eine gemeinsame Verantwortlichkeit i.S.v. Art 26 DSGVO sprechen.
Ich stimme zu, dass die Diskussion über “Zwecke und Mittel” im Rahmen der Entscheidung über Auftragsverarbeitung oft realitätsfern und an den Haaren herbeigezogen ist. In der Regel haben Dienstleister ja ihre Dienstleistung bereits “fertig”, wenn sie damit an den Markt gehen. Also sind Zwecke und Mittel schon - durch den Auftragsverarbeiter - definiert, BEVOR überhaupt ein Kontakt zu irgendeinem potenziellen Auftraggeber aufgenommen wurde.
Die Diskussion (auch im genannten EDSA-Papier) sieht immer so aus, als würde sich ein Auftraggeber irgendwelche Leute suchen und die dann um die Umsetzung ihres Auftrags bitten - und zwar so, wie er es definiert (hinsichtlich Zweck und Mittel). Das kommt in der Praxis wirklich selten so vor.
dass hier ein Widerspruch vorliegt, ist nachvollziehbar. Aber der Schlüssel liegt in der Definition der Rollen und der Zweckbestimmung laut DSGVO und den EDSA-Leitlinien 07/2020.
Richtige Aussage:a) Ein Auftragsverarbeiter darf die Daten nicht für eigene Zwecke verwenden.
Falsche Aussage:b) Die als Auftragsverarbeiter agierende Partei kann niemals den Zweck der Verarbeitung bestimmen. Das ist nicht korrekt, denn: Wenn der vermeintliche Auftragsverarbeiter selbst den Zweck bestimmt, ist er nicht mehr Auftragsverarbeiter, sondern Verantwortlicher im Sinne der DSGVO.
Wo liegt der Denkfehler?Du fragst:
Was wäre, wenn der Verantwortliche über den Zweck der Verarbeitung dahingehend entscheidet, dass es sich um einen eigenen Zweck des Auftragnehmers handelt?
Das ist der Knackpunkt. Wenn der Verantwortliche sagt: „Ich beauftrage dich, aber du verarbeitest die Daten für deinen eigenen Zweck“ – dann liegt kein Auftragsverarbeitungsverhältnis mehr vor.
Warum?
FazitEs gibt keinen Widerspruch, sondern eine klare Trennung:
| Rolle | Zweckbestimmung | Nutzung der Daten |
|---|---|---|
| Verantwortlicher | bestimmt Zweck | darf Daten nutzen |
| Auftragsverarbeiter | führt aus, aber nicht für eigene Zwecke | darf Daten nicht für eigene Zwecke nutzen |
| Eigenverantwortlicher Dritter | bestimmt eigenen Zweck | wird zum Verantwortlichen |
Ich wünsch mir ja, dass Auftragsverarbeitungsverträge immer gaaaanz sauber wären. Dass sie nur Sachen behandeln, die der Auftragsverarbeitung unterliegen. Idealerweise mit den EU-Standardklauseln, wo man nur kurz die Anhänge betrachten muss. Dass sind dann ausschließlich die Verarbeitungszwecke des Verantwortlichen, die für diesen hoffentlich zulässig sind und für die er auch die anderen Grundsätze einhält.
Leider stehen häufig auftragsfremde Zwecke im Text. Beschreiben, dass der Auftragsverarbeiter auch noch C, D, E usw. macht (Produktverbesserung, Abrechnung, beliebige Herausgabeverpflichtungen…). Oder er lässt sich explizit mit bestimmten Aktivitäten beauftragen, die er vorhat, die der Verantwortliche aber nicht alle rechtfertigen kann. (Hallo, Microsoft!) So muss ich jedes Wort auf die Datenschutzwaage legen, Rückfragen, Verständnislosigkeit…
Solche problematischen Vorhaben sollten außerhalb der AV-Vereinbarung eindeutig abgegrenzt sein. Nur der Teil, der Zwecke des Verantwortlichen umsetzt dürfte vom AV behandelt werden. Der Rest wäre extra. Für jeden der zusätzlichen Punkte müsste der Verantwortliche überlegen, wie er ihn zulässig hinbekommt. Notfalls vertraglich stehen lassen, aber für diesen Bereich keine sensiblen Daten einfüttern.
D., der aus Erfahrung misstrauisch ist.
Wenn ich die mir zugänglichen Kommentare richtig verstehe kann ein Auftraggeber die Wahl der Mittel komplett dem Auftragnehmer überlassen. Der Auftraggeber entscheidet aber, welche Daten verarbeitet werden und damit liegt die Herrschaft über die Zwecke der Verarbeitung vollständig bei ihm. Auch ein Auftragnehmer, der ein komplettes Produkt für bestimmte Zwecke anbietet, bleibt Auftragnehmer, weil er keine Herrschaft über die zu verarbeitenden Daten hat.
Mein Problem liegt im Bereich der Forschung, wo es eine Forschungsfrage gibt, die der Auftraggeber beantwortet haben möchte. Die Beantwortung einschließlich Datenerhebung wird oft dem Auftragnehmer überlassen. Soweit dieser die Forschungsergebnisse nicht selbst publiziert, sondern nur an den Auftraggeber zurückmeldet, ist m.E. das Rechtsverhältnis klar. Oft aber wird bei der Entwicklung des Forschungsprojekts, also vor der eigentlichen Datenerhebung, zwischen Auftraggeber und Auftragnehmer kommuniziert, um die konkrete Ausgestaltung (z.B. Inhalte des Fragebogens) abzustimmen, und da frage ich mich, ob da nicht schon eine gemeinsame Verantwortung entsteht.
Den Schmerz kenn ich.
Bei mir reiht sich aber manchmal noch bisschen schadenfreude mit ein, wenn ich Kunden empfehle wirklich nur die SCC zu nutzen, die dann aber auf ein eigenes Muster bestehen und sich dann ärgern wenn Vertragsabschlüsse aufgrund von Datenschutzbedenken und Extra-loops und meetings, verzögert werden und ich dann jedesmal auf meine erste E-Mail mit der SCC Empfehlung pochen kann.
Ich find es wird grundsätzlich zu wenig die gemeinsame Verantwortlichkeit genutzt und sich unnötig davor gesträubt, gerade hier klingt das ja nach einem guten Edge-Case
26, 28,… Ich musste gerade nachschauen, was in Art. 27 steht (Vertreter in der EU). Der kann weg, bzw. in 24 oder 45 verschoben werden.
Dann wäre dort vorgeschrieben, bei Überlappungen Auftragsverarbeitung, gemeinsame Verantwortung und getrennte Verantwortung auseinander zu klamüsern.
Als Lösung stelle ich mir eine Tabelle vor, deren einer Teil zu 28 führt. (Und möglichst mit den Standardklauseln erledigt wird.) Der andere löst Vereinbarungen und Informationen nach 26 aus. (Wobei nicht unbedingt ein extra “Datenschutz”-Vertrag geschlossen werden muss, wenn schon die Leistungsvereinbarung regelt, wer was zu machen hat.) Und schließlich was weder Auftragsverarbeitung noch gemeinsame Verantwortung wird. (Wo die Parteine getrennt vorgehen; sich durchaus gegenseitig was übermitteln können, aber ohne “Wie” und “Wozu” einzeln festgelegt zu haben.) Vielleicht noch mögliche Schnittstellen und Standards, die von 26 /28 /getrennt benutzt werden müssen bzw. können.
D, der nicht immer so viel Text lesen will.