241
Die vom Auftragsverarbeiter einzuhaltenden Pflichten ergeben sich in erster Linie aus dem Auftragsverhältnis zum Auftraggeber; Art. 28 DSGVO schreibt insoweit Regelungsbereiche vor, im Rahmen derer Auftraggeber und Auftragnehmer entsprechende vertragliche Abreden untereinander treffen müssen.483 Die DSGVO sieht darüber hinaus jedoch auch originäre, gesetzliche Pflichten für Auftragsverarbeiter vor.484 So sind Auftragsverarbeiter etwa verpflichtet, in ihrem Verantwortungsbereich angemessene technische und organisatorische Datensicherheitsmaßnahmen nach Art. 32 DSGVO zu implementieren und gemäß Art. 30 Abs. 2 DSGVO ein Verzeichnis der im Auftrag durchgeführten Verarbeitungsvorgänge zu führen.485
242
Nach Art. 82 DSGVO kann den Auftragsverarbeiter eine unmittelbare Außenhaftung gegenüber betroffenen Personen treffen, sofern er gegen ihm nach der DSGVO unmittelbar auferlegte Pflichten verstößt oder wider die rechtmäßig erteilten Anweisungen des Verantwortlichen handelt (vgl. Art. 82 Abs. 2 Satz 3 DSGVO).
2. Merkmale eines Auftragsverarbeiters bzw. einer Auftragsverarbeitung
243
Eine Auftragsverarbeitung liegt bei der Zusammenarbeit zwischen zwei Stellen vor, bei denen (1) ausschließlich der Auftraggeber über Zwecke und (wesentliche) Mittel der Verarbeitung entscheidet und (2) der Auftragnehmer an die Weisungen des Auftraggebers bezüglich der Verarbeitung der personenbezogenen Daten gebunden ist.486 Die Kriterien müssen dabei kumulativ vorliegen.
244
Wie auch bei der Bestimmung des Verantwortlichen ist dies grundsätzlich je Datenverarbeitungsverfahren zu evaluieren.487 Die Bestimmung kann dabei weitestgehend unproblematisch sein, etwa im Falle spezialisierter Dienstleister, die eine bestimmte Leistung stets weisungsgebunden für ihre Kunden erbringen, jedoch auch durchaus komplex ausfallen. Dies kann insbesondere im Rahmen von in Matrixstrukturen organisierten Unternehmensgruppen der Fall sein, sofern gewisse rechtliche Einheiten wechselseitig bestimmte Leistungen für andere Konzernteile erbringen.
245
Rechtlich eindeutig, jedoch in der Praxis oftmals unbeachtet, ist ferner der Umstand, dass auch spezialisierte Dienstleister, die gegenüber ihrem Auftraggeber stets als Auftragsverarbeiter tätig werden, im Hinblick auf etwa die Verarbeitung der personenbezogenen Daten ihrer eigenen Mitarbeiter freilich Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO sind und daher die anwendbaren datenschutzrechtlichen Vorgaben umfassend einhalten müssen.
a) Person des Auftragsverarbeiters
246
Auftragsverarbeiter kann grundsätzlich jede natürliche oder juristische Person sein, die rechtlich außerhalb des Verantwortlichen steht.488 Demgemäß können weder Mitarbeiter noch Abteilungen oder unselbstständige Zweigstellen des Verantwortlichen als Auftragsverarbeiter (im Verhältnis zum Verantwortlichen) tätig werden.
247
Nicht als Auftragsverarbeiter sind ferner solche natürliche Personen zu klassifizieren, die zwar nicht bei dem Verantwortlichen angestellt sind, jedoch so in dessen betriebliche Abläufe integriert sind, dass deren im Rahmen ihrer zugewiesenen Aufgabenerfüllung durchgeführte, datenverarbeitende Tätigkeiten datenschutzrechtlich dem Verantwortlichen zuzuordnen sind. Hierbei kann es sich etwa um von ihrem eigentlichen Arbeitgeber entliehene oder anderweitig externe Arbeitskräfte handeln.489 Dies ist jedenfalls dann der Fall, sofern die jeweilige Person ihre gesamte oder einen eindeutig abtrennbaren Teil ihrer Arbeitskraft für einen Verantwortlichen aufwendet und personenbezogene Daten (wie ein regulärer Angestellter) ausschließlich im betrieblichen Kontext und im Rahmen ihrer zugewiesenen Aufgabenfelder für den Verantwortlichen verarbeitet. In solchen Fällen genügt es, durch entsprechende Geheimhaltungs- und Vertraulichkeitsverpflichtungen sicherzustellen, dass Entliehene keine personenbezogenen Daten (so wie auch keine Betriebs- und Geschäftsgeheimnisse) an ihren eigentlichen Arbeitgeber, mithin das entleihende Unternehmen, herausgeben bzw. für dessen Zwecke verarbeiten.490
b) Möglicher Gegenstand einer Auftragsverarbeitung
248
Einer Auftragsverarbeitung sind dabei grundsätzlich alle Formen der Beauftragung zugänglich; eine Beschränkung auf bestimmte inhaltliche Tätigkeiten besteht nicht. Sie muss sich nicht in einer reinen Datenverarbeitungstätigkeit erschöpfen,491 sondern kann auch weitergehende Tätigkeiten des Auftragnehmers zum Gegenstand haben.492 Insbesondere ist der DSGVO keine Beschränkung des Auftragsverarbeiters auf die Erbringung reiner „technischer“ Hilfsleistungen zu entnehmen.
249
Die einzig relevanten Prüfungskriterien bei der Abgrenzung zur eigenverantwortlichen Verarbeitung sind, ob der Auftragnehmer (gegebenenfalls gemeinsam mit dem Auftraggeber) nach Maßgabe des Art. 4 Nr. 7 DSGVO über Zwecke und (wesentliche) Mittel der Verarbeitung entscheidet oder bei der Verarbeitung der personenbezogenen Daten nicht an die Weisungen des Auftraggebers gebunden ist.493
250
Gleichwohl können die Grenzen verschwimmen. So können gewisse Verarbeitungskonstellationen sowohl als Auftragsverarbeitung als auch als Datenübermittlung zwischen Verantwortlichen ausgestaltet werden; ferner ist es möglich, dass ein Dienstleister im Rahmen eines Auftrags gewisse datenverarbeitende Tätigkeiten als Auftragsverarbeiter und wiederum andere als Verantwortlicher durchführt.494
c) Bestimmung der Zwecke und Mittel der Datenverarbeitung durch den Auftraggeber
251
Auftragsverarbeiter dürfen i.S.v. Art. 4 Nr. 7 DSGVO grundsätzlich nicht über den Zweck (und die wesentlichen Mittel) einer Datenverarbeitung bestimmen. Entscheidungen über inhaltliche Fragen, die den Kern der Rechtmäßigkeit der Verarbeitung wesentlich betreffen, sind daher dem für die Verarbeitung Verantwortlichen vorbehalten.495 Ein Auftragnehmer ist deshalb datenschutzrechtlich verantwortlich, wenn er einen Einfluss auf den Zweck hat und die Verarbeitung (auch) zu seinem eigenen Nutzen durchführt, der über eine bloße monetäre Kompensation durch den Auftraggeber hinausgeht.496 Die Verantwortlichkeit des Auftragnehmers kann sich dabei sowohl auf den gesamten als auch lediglich auf gewisse Abschnitte eines Verarbeitungsvorgangs erstrecken. Entscheidet der Auftragnehmer z.B. darüber, wie lange Daten aufbewahrt werden oder wer Zugang zu den verarbeiteten Daten hat, handelt er hinsichtlich dieses Teils der Datennutzung als ein für die Verarbeitung Verantwortlicher.497
252
Zu beachten ist hierbei, dass sich die Zwecksetzungsbefugnis stets auf die Verarbeitung eines konkreten Datensatzes bezieht. Insofern steht es Auftragsverarbeitern grundsätzlich frei, einen Verarbeitungszweck abstrakt zu bestimmen, etwa indem sie eine spezielle datenverarbeitende Tätigkeit am Markt anbieten. Zur Bestimmung der datenschutzrechtlichen Verantwortlichkeit ist vielmehr entscheidend, dass der Auftraggeber sich dazu entscheidet, die angebotene Leistung des Auftragnehmers in Anspruch zu nehmen, mithin in seiner datenschutzrechtlichen Verantwortlichkeit stehende personenbezogene Daten vom Auftragnehmer (nach dessen abstrakter Zweckbestimmung) verarbeiten zu lassen.498
253
Die Entscheidungsbefugnis über die Mittel der Verarbeitung ist demgegenüber zweitrangig. Sie hat eine Verantwortlichkeit für die Verarbeitung nur dann zur Folge, wenn über wesentliche Aspekte der Mittel entschieden wird.499 Die Entscheidung über bestimmte technische oder organisatorische Mittel der Verarbeitung kann daher vom Verantwortlichen durchaus auf den Auftragsverarbeiter delegiert werden, ohne seine Stellung als Auftragsverarbeiter zu gefährden.500 Es ist