definiert Art. 4 Nr. 8 eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Wie sich unmittelbar aus der Definition ergibt, setzt die Stellung des Auftragsverarbeiters voraus, dass es schon einen oder ggf. mehrere Verantwortliche gibt. Die Vorschrift dient, so wie auch die Definitionen anderer an der Verarbeitung von personenbezogener Daten beteiligter Akteure, der Festlegung von Verantwortlichkeiten im Anwendungsbereich der DS-GVO. Die Begriffsbestimmung muss im Zusammenhang mit den Definitionen der Begriffe „Verantwortlicher“ und „Dritter“ gesehen werden.[424] Im systematischen Kontext der Definition des Art. 4 Nr. 8 finden sich der Verantwortliche (Nr. 7), der Empfänger (Nr. 9) und der Dritte (Nr. 10). Die weiteren Rollen bei der Begriffsbestimmung wie der Vertreter (Nr. 17) oder die Aufsichtsbehörde (Nr. 21) finden sich wenig systematisch aufgelistet im Art. 4. Aus der Systematik in der Auflistung der Begriffsbestimmungen ergeben sich daher keine besonderen Hinweise oder Ansatzpunkte für die Auslegung.[425]
172
Die Begriffsbestimmung des Auftragsverarbeiters in der DS-GVO ist identisch mit der Vorgabe in Art. 2 lit. e DSRL. Insoweit kann bei der Auslegung im Rahmen der DS-GVO auf die bisherigen Auslegungen zurückgegriffen werden. Indem Art. 4 Nr. 8 die Definition aus der DSRL übernimmt, ist nunmehr auch klargestellt, dass Auftragsverarbeiter auch außerhalb der EU, d.h. in Drittstaaten, angesiedelt sein können. Die unter alter Rechtslage deutsche Besonderheit des § 3 Abs. 8 S. 2 BDSG a.F., die dies nicht vorsah, ist hinfällig.[426]
173
Nicht zulässig ist es, mittels eines nationalen Gesetzes zu bestimmen, wer bzw. wer kein Auftragsverarbeiter in diesem Sinne ist. Mangels Öffnungsklausel hinsichtlich der Begriffsdefinition des Auftragsverarbeiters bzw. der gegenläufigen gemeinsamen Verantwortlichkeit steht es dem nationalen Gesetzgeber nicht frei, abweichend von der Definition des Art. 4 Nr. 8 bzw. Nr. 7 Regelungen zu erlassen.[427]
174
Aus der Qualifikation als Auftragsverarbeiter nach Art. 4 Nr. 8 folgt zunächst die Pflicht, mit dem Verantwortlichen die Voraussetzungen für eine Auftragsverarbeitung nach Art. 28 zu schaffen.[428] Zusätzlich gibt es in der DS-GVO eine Vielzahl von Normen mit eigenen Rechtspflichten und Rechtsfolgen für den Auftragsverarbeiter. Dies sind insbesondere die Art. 27, 29, 30 Abs. 2, 31, 32, 33 Abs. 2, 35 Abs. 8.[429] Hinzu treten die verschiedenen Rechtsfolgen. Hier ist insbesondere daran zu denken, dass der Auftragsverarbeiter nach Art. 58 Adressat behördlicher Anordnungen werden kann.[430] Weiter muss es nach Art. 79 wirksame Beschwerdemöglichkeiten gegen den Auftragsverarbeiter geben.[431] Zusätzlich haftet dieser bei materiellen und immateriellen Schäden gegenüber dem Betroffenen nach Art. 82[432] und er kann selbst Adressat von Bußgeldern nach Art. 83 Abs. 4 lit. a[433] sein.
a) Privilegierung der Auftragsdatenverarbeitung
175
Nach dem BDSG a.F. wurde bei der Auftragsdatenverarbeitung überwiegend davon ausgegangen, dass der Auftraggeber für die Weitergabe der personenbezogenen Daten an den Auftragnehmer einer Auftragsdatenverarbeitung keines eigenen Erlaubnistatbestands bedurfte.[434]
176
Da der Begriff des „Übermittelns“ nicht mehr gesondert definiert ist, sondern als Beispiel der „Verarbeitung“ in Art. 4 Nr. 2 genannt wird, wird vertreten, dass die Übermittlung von personenbezogenen Daten an den Auftragsverarbeiter jetzt einer gesonderten Rechtsgrundlage bedarf.[435] Demgegenüber geht die Art.-29-Datenschutzgruppe davon aus, dass die Rechtmäßigkeit der Auftragsverarbeitung durch den von dem für die Verarbeitung Verantwortlichen erteilten Auftrag bestimmt wird.[436] Weiter könne dieser und der Auftragsverarbeiter als „innerer Kreis der Datenverarbeitung“ angesehen werden und falle nicht unter die speziellen Bestimmungen über Dritte.[437] Diese Auffassung kann man auch damit begründen, dass die Beauftragung eines Dienstleisters als Auftragsverarbeiter kein eigenständiger Akt der Datenverarbeitung ist, sondern sich als Teil der Verarbeitungshandlungen des Verantwortlichen als Auftraggeber nach Art. 4 Nr. 2 darstellt. Sofern die Verarbeitung durch den Verantwortlichen rechtmäßig auf der Grundlage eines Erlaubnistatbestands beruht, erstreckt sich diese Rechtmäßigkeit auch auf den Auftragsverarbeiter nach Maßgabe der Art. 28, 29. Hinzu kommt, dass der Auftragsverarbeiter gem. Art. 29 Daten nur strikt weisungsgebunden verarbeiten darf. Es besteht deshalb kein besonderer Schutzbedarf der betroffenen Person.[438]
b) Datenverarbeitung im Auftrag
177
Wesentliches Tatbestandsmerkmal zur Bestimmung des Auftragsdatenverarbeiters ist nach Art. 4 Nr. 8 die Datenverarbeitung „im Auftrag“. Es muss hierfür eine nachvollziehbare Beauftragung durch den Verantwortlichen erfolgt sein. Inhaltliche Regelungen bezogen auf diese Beauftragung finden sich in Art. 28.[439] Das zentrale Element der Auftragsverarbeitung ist die Weisungsgebundenheit des Auftragsverarbeiters. In der Regel erfolgt ein Auftrag durch den Verantwortlichen auf Grundlage eines Auftragsverarbeitungsvertrags. Aus diesem Vertrag ergibt sich das Weisungsverhältnis zwischen Verantwortlichem und Auftragsverarbeiter.[440]
178
Diese Weisungsgebundenheit des Auftragnehmers ist auch das entscheidende Kriterium bei der Abgrenzung der Auftragsverarbeitung von der Rechtsfigur der gemeinsamen Verantwortlichkeit.[441] Soweit bei gemeinsam Verantwortlichen jeder Beteiligte selber Verantwortlicher ist und einen steuernden und kontrollierenden Einfluss auf die Zwecke oder wesentlichen Mittel der Verarbeitung nimmt, unterwirft sich der Auftragsverarbeiter insofern den Weisungen des Verantwortlichen und wird lediglich als dessen „verlängerter Arm“ tätig.[442] Expertise und überlegenes Wissen allein führen nicht zur gemeinsamen Verantwortlichkeit, solange und soweit die Entscheidung über die Zwecke und Mittel der Verarbeitung beim Auftraggeber verbleiben. Einer Auftragsverarbeitung steht auch nicht entgegen, dass das Konzept einer Datenverarbeitung inklusive der Zwecke und wesentlichen Mittel der Verarbeitung von einem Dienstleister entwickelt wurde, solange der Auftraggeber das Konzept akzeptiert und der Dienstleister