Bei der Zusammenarbeit mit anderen Unternehmen werden sehr häufig – bewusst oder unbewusst, Kundendaten oder Mitarbeiterdaten offengelegt und (mit)verarbeitet. In der Regel sind dies sog. personenbezogene Daten im Sinne der EU-Datenschutz­grund­verordnung (DSGVO), sodass deren rechtliche Vorgaben einzuhalten sind. Das kann zum Beispiel der Fall sein, wenn man eine Fanpage bei Facebook hat, einen Anbieter für den Versand von Newslettern hinzuzieht, einen externen IT-Administrator beauftragt oder eine Firma mit der Entsorgung vertraulichen Papiermülls betraut.

Bevor Sie sich konkret der Frage widmen, wie Sie Ihren Vertragspartner oder sich nach der DSGVO einordnen müssen, wer also Verantwortlicher, Dritter, ein gemeinsamer Verantwortlicher oder ein Auftragsverarbeiter ist, müssen Sie sich zuerst folgende Grundfragen zur Datenverarbeitung stellen:

1. Werden irgendwie personenbezogene Daten i.S.v. Art. 4 Ziffer 1 DSGVO verarbeitet?

2. Zu welcher Datenkategorie gehören diese Daten?

3. Sind diese Daten besonderen Kategorien i.S.v. Art. 9 Abs. 1 DSGVO zuzuordnen und deshalb besonders schutzbedürftig?

4. Um welche Art der Datenverarbeitung i.S.v. Art. 4 Ziffer 2 DSGVO handelt es sich? Speicherung, Ordnen, Verwenden, Offenlegen etc.

5. Zu welchen konkreten Zwecken werden diese Daten verarbeitet?

6. Auf welcher Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO werden diese Daten verarbeitet?

7. Ist eine Datenschutz­folgen­abschätzung i.S.v. 35 DSGVO notwendig?

8. Und welche technischen und organisatorischen Maßnahmen i.S.v. Art. 32 DSGVO werden zum Schutz der Daten getroffen?

Haben Sie diese Punkte für sich geklärt, müssen Sie Farbe bekennen: Handelt es sich bei dem Vertragspartnern, Dienstleister oder Kunden um einen Dritten i.S.v. Art. 4 Ziffer 10 DSGVO, einen gemeinsamen Verantwortlichen i.S.v. Art. 26 Abs. 1 DSGVO, oder einen Auftragsverarbeiter i.S.v. Art. 4 Ziffer 8 DSGVO?

Neben Hilfestellungen von Verbänden wie zum Beispiel des BITKOM sind vor allem Orientierungshilfen von Datenschutzaufsichtsbehörden heranzuziehen. Eine solche Orientierungshilfe hat zum Beispiel das Bayrische Landesamt für Datenschutzaufsicht in Form von FAQ zur DSGVO mit einer Abgrenzung zu Auftragsverarbeitung veröffentlicht. Sie sind zwar nicht rechtsverbindlich. Aber nicht selten werden die zuständigen Behörden von Kunden oder gar von Wettbewerbern auf ein Unternehmen aufmerksam gemacht. Dann sind die Aufsichtsbehörden aufgrund des Amtsermittlungsgrundsatzes verpflichtet, nachzuforschen und in Folge dessen auch behördliche Anordnungen oder Bußgelder zu erlassen. Daher helfen diese behördlichen Einschätzungen dabei, die eigene juristische Bewertung vorzunehmen. Sie lassen zudem erahnen, wie die Aufsichtsbehörden den Sachverhalt bewerten würden, wenn sie ihn prüfen sollten.

Ein fehlender Auftragsverarbeitungsvertrag nach Art. 28 DSGVO kann so beispielsweise teuer werden, vor allem, wenn die Schriftformregelung (elektronische Form reicht auch) nicht beachtet wird, da diese Dokumentations-, Beweissicherungs- und Authentizitäts­sicherungs­zwecke verfolgt. So hat zum Beispiel die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg gegen ein Unternehmen ein Bußgeld von 50.000 EUR verhängt, weil das Unternehmen versäumt hatte, rechtzeitig einen schriftlichen Auftragsverarbeitungsvertrag abzuschließen.

Schließlich wird die Frage, wer wofür bei der Verarbeitung personenbezogener Daten verantwortlich ist, durch die Digitalisierung immer komplexer und unüberschaubarer. Daher beschäftigten sich auch bereits oberste Gerichte mit der Frage, wer eigentlich für die Datenverarbeitung auf einer Facebook Fanpage verantwortlich ist. So gab es bereits am 5. Juni 2018 eine Entscheidung des EuGH. Damals sahen die Richter basierend auf dem Europäischen Vorgänger der DSGVO, der Datenschutzrichtlinie 95/46, eine gemeinsame Verantwortlichkeit von Facebook Irland und den Fanpage Betreibern. Interessant wird, ob der BGH in dem Verkündungstermin in der Sache Facebook App Zentrum am 28. Mai 2020 auch noch einmal Stellung dazu nimmt, wer (gemeinsamer) Verantwortlicher ist und wer Dritter.

Ob Ihr Unternehmen im Einzelfall also Verantwortlicher, gemeinsamer Verantwortlicher oder Auftragsverarbeiter ist, müssen Sie juristisch prüfen. Die Dokumentation des Ergebnisses ist wegen der allgemeinen Nachweispflicht gem. Art. 5 Abs. 2 DSGVO jedoch nicht nur dem Verantwortlichen vorbehalten. Vielmehr muss auch ein Auftragsverarbeiter darauf achten, dass er seine eigene Datenverarbeitung dokumentiert und der Vertrag nach Art. 28 Abs. 9 DSGVO schriftlich abgeschlossen wird. Im Ernstfall sollte dieser historisch nachvollziehbar rechtzeitig abgeschlossen worden sein.

Alle oben genannten Prüfungsschritte zu beachten, vor allem die Einbeziehung Dritter und Auftragsverarbeiter sorgfältig festzuhalten, ist eine aufwändige Arbeit. Hier erleichtert ein digitales und intuitives Datenschutz-Managementsystem die Datenschutzdokumentation erheblich. Mit dem Datenschutz Modul der Akarion Compliance Cloud unterstützen wir Sie dabei, dass Sie auch jede Einbeziehung von Vertragspartnern festhalten und damit Ihren datenschutzrechtlichen Dokumentations- und Nachweispflichten einfach, effizient und manipulationssicher nachkommen können. Stellen Sie in einem von Datenschutz- und IT-Sicherheits-Experten entwickelten System Ihr eigenes Verzeichnis der Verarbeitungs­tätigkeiten zusammen und erstellen eine Grafik zu allen Vertragspartnern, mit denen oder über die Sie personenbezogene Daten verarbeiten.

Wenn Sie mehr zum Datenschutz Management in der Akarion Compliance Cloud erfahren möchten, wenden Sie sich gerne direkt an uns. Wir freuen wir uns, mit Ihnen ins Gespräch zu kommen.