… unterliegen der Entscheidung des Verantwortlichen
Für die Verarbeitung personenbezogener Daten gibt es immer einen Verantwortlichen. Um festzustellen, wer dieser Verantwortliche ist, werden einige wichtige Komponenten herangezogen, zu denen die Zwecke und Mittel der Verarbeitung zählen. Sie sind es nämlich, über die eine Stelle entscheiden muss, die für die Verarbeitung als Verantwortlicher gilt.
Was ist ein Zweck, was ist ein Mittel?
Als Zweck bezeichnet man im Allgemeinen das Ergebnis, das man von geplanten Handlungen erwartet. Man kann den Zweck auch als das Ziel einer Handlung ansehen. Die Datenschutzgrundverordnung gibt vor, dass personenbezogene Daten ausschließlich für rechtmäßige, eindeutige und festgelegte Zwecke erhoben und verarbeitet werden dürfen. Es ist nicht zulässig, diese Daten in einer Weise zu verarbeiten, die mit diesen Zwecken nicht vereinbar ist. Daher ist es von entscheidender Bedeutung, zum einen die Zwecke einer Verarbeitung und zum anderen die zur Erreichung dieser Zwecke eingesetzten Mittel klar zu definieren.
Warum und wie?
Es ist also zu entscheiden, warum und wie, also auf welche Weise, eine Datenverarbeitung erfolgt. Derjenige, der dies für eine bestimmte Verarbeitung entschieden hat, ist der für diese Verarbeitung Verantwortliche. Er hat damit den Zweck definiert: Warum? Wozu? Mit welchem Ziel? Und er hat entschieden, wie dieses Ziel zu erreichen ist. In solcher Weise können sowohl natürliche als auch juristische Personen die Verarbeitung von personenbezogenen Daten beeinflussen. Damit sind sie laut Art. 4 Nr. 7 DSGVO daran beteiligt, die Zwecke und Mittel festzulegen.
Wer trifft welche Entscheidung?
Der Verantwortliche entscheidet über den Zweck und die Mittel der Datenverarbeitung. Es ist nicht möglich, dass er nur über den Zweck entscheidet. Er muss immer auch über die Mittel entscheiden. Anders verhält es sich für Auftragsverarbeiter: Diese entscheiden nie über den Zweck der Datenverarbeitung, können aber an den Entscheidungen über die Mittel beteiligt sein.
Handlungsspielraum des Auftragsverarbeiters
Beauftragt der Verantwortliche einen Auftragsverarbeiter mit der Datenverarbeitung im Namen des Verantwortlichen, wird oft davon ausgegangen, dass der Auftragsverarbeiter auch selbst Entscheidungen über die Ausführung der Verarbeitung treffen können sollte. Der europäische Datenschutzausschuss, kurz EDSA, gesteht dem Auftragsverarbeiter einen gewissen Spielraum für sein Handeln zu, in dem er auch Entscheidungen zur Verarbeitung treffen könne. Besonderes Augenmerk gebührt hier der Frage, wie weit der Einfluss auf Zwecke und Mittel gehen darf, wenn er nicht die Einstufung als Verantwortlicher zur Folge haben soll. Anders ausgedrückt: In welchem Ausmaß dürfen Auftragsverarbeiter überhaupt Entscheidungen treffen?
Legt eine Organisation zweifelsfrei die Zwecke und die Mittel einer Verarbeitung fest und eine zweite Organisation übernimmt in deren Auftrag und unter Befolgung detaillierter Anweisungen die Verarbeitungstätigkeit, dann ist die zweite Organisation zweifellos der Auftragsverarbeiter und die erste der Verantwortliche. Doch es gibt andere Fälle, in denen auch der Auftragsverarbeiter Entscheidungen trifft. Hier ist allerdings eine klare Grenze zu ziehen: Entscheidungen über den Verarbeitungszweck sind allein dem Verantwortlichen vorbehalten. Daneben gibt es Entscheidungen, die der Auftragsverarbeiter treffen darf. Dabei ist eine Grenze zu beachten, die eine Unterscheidung trifft zwischen wesentlichen und nicht wesentlichen Mitteln.
Doch wo verläuft diese Grenze?
In diesem Zusammenhang lassen sich wesentliche und nicht wesentliche Mittel unterscheiden. Dabei sind die wesentlichen Mittel und deren Festlegung einzig und allein Sache des Verantwortlichen, während das bei den nicht wesentlichen Mitteln anders aussieht. Wesentliche Mittel stehen in einer engen Beziehung zu Zweck und Umfang der Datenverarbeitung. Sie können beispielsweise die Art der verarbeiteten personenbezogenen Daten betreffen, deren Verarbeitungsdauer, die Kategorien der betroffenen Personen und auch die der Empfänger, die auf die Daten zugreifen können. Wie der Verarbeitungszweck stehen auch die wesentlichen Mittel sehr eng mit der Frage nach der Rechtmäßigkeit, der Erforderlichkeit und der Verhältnismäßigkeit der Datenverarbeitung in Beziehung. Hingegen geht es bei nicht wesentlichen Mitteln mehr um die Umsetzungspraxis. Hier sind die Auswahl von Soft- und Hardware zu nennen und die genauen Sicherheitsmaßnahmen, die im Ermessen des Auftragsverarbeiters stehen.
Wenn der Auftragsverarbeiter über nicht wesentliche Mittel entscheidet
Werden dem Auftragsverarbeiter Entscheidungen zu nicht wesentlichen Mitteln übertragen, hat der Verantwortliche trotzdem bestimmte Aspekte festzulegen. Ein Beispiel aus dem Bereich der Sicherheitsanforderungen: Der Verantwortliche entscheidet, dass sämtliche nach Art. 32 DSGVO nötigen Maßnahmen ergriffen werden sollen. Nun muss in der entsprechenden Vereinbarung geregelt werden, dass der Verantwortliche vom Auftragsverarbeiter unterstützt wird, wenn es um die Einhaltung des Art. 32 geht. Fraglos muss der Verantwortliche dennoch geeignete organisatorische und technische Maßnahmen ergreifen, um sicherzustellen und nachzuweisen, dass die Datenverarbeitung in Übereinstimmung mit Art. 24 der Verordnung realisiert wird. Art, Umfang, Umstände und Zwecke der Datenverarbeitung, aber auch Risiken für Freiheiten und Rechte von natürlichen Personen sind zu berücksichtigen. Folglich ist der Verantwortliche über die Mittel zu informieren, die eingesetzt werden. Nur so kann er fundiert über die hieraus abgeleiteten Anforderungen und deren Umsetzung entscheiden. Es ist im Hinblick auf einen eventuell vom Verantwortlichen zu führenden Nachweis sehr sinnvoll, wenn wenigstens die organisatorischen und technischen Maßnahmen, die dabei erforderlich sind, in dem Vertrag zwischen ihm und dem Auftragsverarbeiter dokumentiert werden. Eine Alternative wäre eine ergänzende Vereinbarung.
Sie benötigen detaillierte Informationen zu Auftragsverarbeitung?
Lassen Sie uns darüber sprechen! Klingeln Sie einfach unter Telefon 09122 6937302 bei uns durch oder schreiben Sie uns eine kurze Nachricht. Wir tauschen uns gern mit Ihnen aus!
Ihr Team von Datenschutz Prinz
Mehr zum Thema Auftragsverarbeitung:
- Rechenschaftspflicht: DSGVO setzt neue Rahmenbedingungen
- Verantwortlicher: Wie definiert die Datenschutzgrundverordnung diese Rolle?
- Entscheidungsträger: Verarbeiter entscheidet über Zwecke und Mittel der Verarbeitung
- Verarbeitung personenbezogener Daten: Verantwortlicher für ein oder mehrere Verarbeitungsvorgänge