den Verarbeitungsprozess hinaus keine eigenen Interessen an den Daten hat oder an dem Ergebnis, welches aus der Verarbeitung resultiert.[444]
179
Umstritten ist die Abgrenzung zu anderen Dienstleistungen, die durch einen Auftragnehmer erbracht werden, jedoch keine Auftragsverarbeitung darstellen. Insbesondere hat sich dieser Streit an der Einordnung verschiedener freier Berufe entbrannt.
180
Im deutschen Datenschutzrecht wurde bisher der Begriff der Funktionsübertragung als Gegenbegriff zur weisungsgebundenen Auftragsverarbeitung gebraucht. Eine Funktionsübertragung wurde angenommen, wenn der Dritte über eine eigene Entscheidungsbefugnis hinsichtlich des „wie“ der Datenverarbeitung und diesbezüglich auch die Auswahlbefugnis hat, ihm damit die Aufgabe der Verarbeitung obliegt und er insoweit für die Datenverarbeitung verantwortlich ist und über die Daten verfügen kann.[445] Der Dritte hat in diesem Fall ein eigenes Interesse an den Daten. In Bezug auf freiberufliche Tätigkeiten, wie die eines Steuerberaters oder Wirtschaftsprüfers, wird man davon ausgehen müssen, dass eine Auftragsdatenverarbeitung regelmäßig nicht in Betracht kommt. Freiberufliche Tätigkeiten werden unabhängig, selbstständig und eigenverantwortlich durchgeführt. Diese Merkmale widersprechen grundlegend einer Weisungsgebundenheit, wie sie für die Auftragsverarbeitung elementar ist. So erläutert die Art.-29-Datenschutzgruppe auch bezogen auf den Rechtsanwalt, dass solche Berufsstände als unabhängige „für die Verarbeitung Verantwortliche“ anzusehen sind, wenn sie im Rahmen der rechtlichen Vertretung ihrer Klienten Daten verarbeiten.[446]
181
Der Begriff der Funktionsübertragung ist der DS-GVO fremd. Um sachgerechte Abgrenzungen vorzunehmen wird aber am Konstrukt der Funktionsübertragung festzuhalten sein. Es ist auch weiterhin davon auszugehen, dass Rechtsanwälte, Steuerberater und andere freie Berufsträger und Dienstleister, die eine eigenverantwortliche und weisungsfreie Aufgabe übernehmen, selbst Verantwortliche und eben keine Auftragsverarbeiter sind. Sie bedürfen damit einer eigenen Legitimation zur Datenverarbeitung und haben die weiteren Pflichten eines Verantwortlichen zu erfüllen.[447]
182
Inhalt der Beauftragung muss eine Verarbeitung personenbezogener Daten sein. Der Begriff des Verarbeitens ist auch im Anwendungsbereich des Art. 4 Nr. 8 weit zu verstehen, so dass jeder Verarbeitungsschritt erfasst wird. Ausreichend ist bereits die Auslagerung der Datenerhebung auf den Auftragsverarbeiter, z.B. im Rahmen von Call-Centern.[448]
3. Einzelfälle/Praxisbeispiele
183
Ein Internet-Dienstanbieter, der Hosting-Dienste bereitstellt, ist grundsätzlich ein Auftragsverarbeiter hinsichtlich der personenbezogenen Daten, die von seinen Kunden – die diesen Anbieter für das Hosting und die Wartung ihrer Websites einsetzen – online veröffentlicht werden. Wenn der Internet-Dienstanbieter die auf den Websites erhaltenen Daten für seine eigenen Zwecke weiterverarbeitet, ist er jedoch der für die Verarbeitung Verantwortliche hinsichtlich dieser spezifischen Verarbeitung. Dieser Sachverhalt unterscheidet sich von einem Internet-Diensteanbieter, der E-Mail- oder Internet-Zugangsdienste bereitstellt.[449]
184
Die Einstufung von Rechnungsprüfern und Steuerberatern kann je nach Kontext unterschiedlich sein. Wenn Rechnungsprüfer und Steuerberater für die breite Öffentlichkeit und Kleinbetriebe Dienstleistungen auf der Grundlage sehr allgemeiner Weisungen erbringen („Erstellen Sie meine Steuererklärung“), dann handeln sie – wie Rechtsanwälte und Notare unter ähnlichen Umständen und aus ähnlichen Gründen – als für die Verarbeitung Verantwortliche. Wenn ein Rechnungsprüfer jedoch für ein Unternehmen tätig wird, z.B. um eine umfassende Buchprüfung vorzunehmen, und dabei ausführliche Weisungen des fest angestellten Buchprüfers des Unternehmens unterliegt, dann ist er aufgrund der klaren Weisungen und des mithin eingeschränkten Handlungsspielraums generell als Auftragsverarbeiter einzustufen, sofern er nicht ein Angestellter des Unternehmens ist. Diese Einstufung unterliegt jedoch einem großen Vorbehalt: Stellt ein Rechnungsprüfer ein meldepflichtiges Fehlverhalten fest, handelt er aufgrund seiner beruflichen Verpflichtung als für die Verarbeitung Verantwortlicher.[450]
185
Weitere klassische Anwendungsbereiche der Auftragsverarbeitung sind etwa die Auslagerung der Lohn- und Gehaltsabrechnung, Archivierungsvorgänge und Konvertierungen von Dokumenten, Verarbeitung von Kundendaten durch Callcenter ohne wesentliche eigene Entscheidungsspielräume oder die Datenträgerentsorgung. Auch Software als Service Angebote sind als Auftragsdatenverarbeitung zu qualifizieren, sofern der SaaS-Anbieter die Daten nicht auch für eigene Auswertungen zu Zwecken der Qualitätssicherung oder Produktoptimierung verwendet.[451]
1. Allgemeines
186
Nach Art. 4 Nr. 9 ist Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Eine Ausnahme gilt nach Art. 4 Nr. 9 S. 2 für Behörden. Behörden, die im Rahmen eines Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gem. den Zwecken der Verarbeitung.
187
Der Begriff des „Empfängers“ ist der Oberbegriff für alle Stellen, die personenbezogene Daten durch den Verantwortlichen erhalten. In der DS-GVO findet der Begriff insbesondere bei den Rechten des Betroffenen auf Information, Auskunft, Berichtigung und Löschung gem. den Art. 13, 14, 15 und 19 Anwendung.[452] Auch für das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 ist der Begriff des Empfängers von Bedeutung.[453]
188
Adressat der Norm ist zunächst der Verantwortliche. Wenn er personenbezogene Daten einem Empfänger offengelegt hat, treffen ihn Informations- und Auskunftspflichten gegenüber dem Betroffenen, Mitteilungspflichten gegenüber dem Empfänger und Dokumentationspflichten.[454] Zusätzlich ist die Norm auch für den Empfänger der personenbezogenen Daten von Bedeutung. Dieser muss prüfen, ob und welche Pflichten ihn nach der DS-GVO treffen, sofern er als Empfänger einzustufen ist.
2. Inhalt
189
Voraussetzung für die Einstufung als Empfänger nach Art. 4 Nr. 9 sind eine empfangende Stelle und die Offenlegung personenbezogener Daten dieser Stelle gegenüber.
a) Empfangende Stelle
190
Empfänger kann jede natürliche oder juristische Person, jede Behörde, jede Einrichtung und jede andere Stelle sein. Diesen Personen oder Stellen müssen personenbezogene Daten offengelegt werden. Im Kern geht es darum, dass einem Empfänger personenbezogene Daten zugänglich gemacht werden, d.h. entweder