Will ein Auftragsverarbeiter personenbezogene Daten auch zu eigenen Zwecken verarbeiten, müssen vorab einige Grundlagen geschaffen werden. Andernfalls drohen sowohl für Verantwortliche aus auch Auftragsverarbeiter schmerzhafte Bußgelder. Wir erklären, wie Sie das richtig anstellen.
Zweck der Datenverarbeitung (im Auftrag)
Bei einer Auftragsverarbeitung bestimmt normaler Weise der Verantwortliche, zu welchen Zwecken der Auftragsverarbeiter (Dienstleister) die ihm übermittelten personenbezogenen Daten verarbeiten darf. Deswegen braucht ein Auftragsverarbeiter unter der Datenschutz-Grundverordnung (DSGVO) keine eigene Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten.
In der Praxis gibt es jedoch immer wieder Auftragsverarbeiter, welche die Daten auch zu eigenen Zwecken verarbeiten wollen. Das sind häufig Cloud- oder SaaS-Anbieter (insbesondere auch Anbieter von KI-Tools), die die Daten zur Verbesserung oder zum Schutz oder Training der eigenen Systeme nutzen wollen. Ein Ausschließen dieser Verarbeitungen zu eigenen Zwecken des Auftragsverarbeiters ist technisch und vertraglich für Verantwortliche nicht immer möglich. Für Verantwortliche bedeutet dies eine große Herausforderung.
Die französische Datenschutzbehörde (CNIL) hat deshalb im Januar 2022 Richtlinien für das Eingehen einer entsprechenden Vertragsbeziehung veröffentlicht. Zur Veranschaulichung verwendet die CNIL das Beispiel eines Cloud-Service-Providers, der die Daten des Verantwortlichen nicht nur weisungsgemäß verarbeitet, sondern die zur Verfügung gestellten Daten auch für seine eigenen Zwecke weiterverarbeitet, namentlich für die Verbesserung seiner Cloud-Computing-Dienste. Dies sind jedoch Zwecke, für die der Verantwortliche die Daten ursprünglich nicht erhoben hat.
Wir erklären die wichtigsten Aspekte der CNIL-Leitlinien und zeigen Ihnen, welche Maßnahmen Auftragsverarbeiter und Verantwortliche ergreifen müssen, um die Rechtmäßigkeit der Weiterverarbeitung von Daten durch den Auftragsverarbeiter für seine eigenen Zwecke (zum beiderseitigen Nutzen) sicherzustellen.
Gefahr der Verarbeitung durch Auftragsverarbeiter für ihre eigenen Zwecke
Eine Weiterverarbeitung ohne Erlaubnis des Verantwortlichen birgt für den Auftragsverarbeiter ein rechtliches Risiko. Sie stellt eine Verletzung seines Vertrags mit dem Verantwortlichen im Sinne von Art. 28 DSGVO dar, es sei denn, ein nationales oder europäisches Gesetz verpflichtet den Auftragsverarbeiter zu einer solchen Weiterverarbeitung (was jedoch unwahrscheinlich ist).
Auch für den Verantwortlichen birgt eine solche Weiterverarbeitung ein rechtliches Risiko. Der Verantwortliche bleibt letztlich gegenüber den betroffenen Personen für die Verarbeitung ihrer Daten verantwortlich. So ist der Verantwortliche unter anderem dazu verpflichtet, die betroffenen Personen bereits bei der Erhebung ihrer Daten über die gesamte Verarbeitung und den Zweck der Verarbeitung ihrer Daten zu informieren (lesen Sie mehr über die Informationen, die nach der DSGVO bereitgestellt werden müssen).
Zudem benötigt der Verantwortliche eine Rechtsgrundlage für sämtliche Verarbeitungen. Es ist unwahrscheinlich, dass ein Verantwortlicher Daten erhebt, um die Produkte seines Auftragsverarbeiters verbessern zu wollen. Daher ist es ebenso unwahrscheinlich, dass er die betroffenen Personen über eine solche Weiterverarbeitung oder deren Zweck informiert hat. Das Vorhandensein einer Rechtgrundlage ist also in der Regel nicht gegeben.
Findet eine solche Weiterverarbeitung statt, verstößt auch der Verantwortliche gegen Bestimmungen der DSGVO.
Was Verantwortliche für die Datenverarbeitung tun müssen
Wenn der Verantwortliche weiß, dass ein Auftragsverarbeiter Daten für seine eigenen Zwecke verarbeiten wird, muss der Verantwortliche laut CNIL (mindestens) folgende Maßnahmen ergreifen:
Kompatibilitätsprüfung
Erstens ist eine Kompatibilitätsprüfung erforderlich, da Daten nicht weiterverarbeitet werden dürfen (egal von wem), wenn die Zwecke dieser Verarbeitung mit dem ursprünglichen Zweck, für den die Daten erhoben wurden, unvereinbar sind (Art. 6 Abs. 4 DSGVO). Als derjenige, der die Daten erhebt, bleibt der Verantwortliche für die Vereinbarkeit der Zwecke jeder weiteren Verarbeitung mit dem ursprünglichen Zweck verantwortlich.
Bei einem solchen Kompatibilitätstest hat der Verantwortliche u.a. auch zu berücksichtigen:
- den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
- die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß 9 DSGVO verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO verarbeitet werden,
- die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
- das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
Die CNIL-Erklärung stellt klar, dass der Verantwortliche die Genehmigung zur Weiterverwendung der Daten verweigern muss, wenn ein Weiterverarbeitungszweck als unvereinbar angesehen wird. Jeder Weiterverarbeitungszweck muss auf seine Vereinbarkeit geprüft werden. Eine generelle Genehmigung ist also nicht möglich.
Vertragliche Vereinbarung
Zweitens muss der Verantwortliche den Auftragsverarbeiter schriftlich ermächtigen, die Daten für seine eigenen Zwecke zu verarbeiten. Die Ermächtigung kann im Dienstleistungsvertrag oder im Auftragsverarbeitungs-Vertrag enthalten sein, der von den Parteien unterzeichnet wird. Es darf sich jedoch nicht um eine allgemeine Ermächtigung handeln, die es dem Auftragsverarbeiter erlaubt, Daten für beliebige eigene Zwecke zu verarbeiten. Die Genehmigung muss auf die spezifischen Zwecke des Auftragsverarbeiters zugeschnitten sein, die der Verantwortliche in der nachstehend beschriebenen Weise als vereinbar erachtet hat.
Information Betroffener
Drittens muss der ursprüngliche Verantwortliche die betroffenen Personen über die Verwendung ihrer Daten durch den Auftragsverarbeiter für spätere Zwecke und ihre diesbezüglichen Rechte informieren, es sei denn, der Auftragsverarbeiter übernimmt diese Pflicht in einer für beide Seiten vorteilhaften Weise (siehe unten).
Was Auftragsverarbeiter für die Datenverarbeitung tun müssen
Erstens sollte ein Auftragsverarbeiter, der Daten für seine eigenen Zwecke weiterverwendet, die Genehmigung des Verantwortlichen einholen, wie oben beschrieben.
Zweitens darf der Auftragsverarbeiter die Daten nur dann weiterverarbeiten, wenn die Zwecke dieser Weiterverarbeitung durch die oben beschriebene Bewertung des ursprünglich Verantwortlichen als vereinbar angesehen wurden.
Drittens sollte der Auftragsverarbeiter beachten, dass er in Bezug auf diese Daten zu einem weiteren Verantwortlichen wird. Daher muss er alle Pflichten eines Verantwortlichen gegenüber den betroffenen Personen erfüllen. Dazu gehört u.a. Folgendes:
- Sicherstellung, dass die Weiterverarbeitung einem genau definierten Zweck dient;
- Sicherstellung, dass die Weiterverarbeitung eine dem Zweck angemessene Rechtsgrundlage hat;
- Begrenzung der Datenerhebung auf das für diesen Zweck erforderliche Minimum;
- Ermöglichung der Ausübung der Rechte der betroffenen Person, z. B. des Rechts auf Widerspruch;
- alle erforderlichen Sicherheitsmaßnahmen zu ergreifen; und
- Unterrichtung der betroffenen Personen über die weitere Verarbeitung (zusätzlich zum ursprünglichen Verantwortlichen).
In der Praxis wirft insbesondere die Benachrichtigung der betroffenen Personen Schwierigkeiten auf, da der Auftragsverarbeiter möglicherweise keinen Kontakt hat. Ein einfaches Bereitstellen einer Datenschutzerklärung auf einer Website (oder ähnlich) reicht in der Regel nicht aus, da die Betroffenen ja nicht wissen, das und wo sie sich informieren können.
Viertens sollte der Auftragsverarbeiter daher die Verpflichtungen der DSGVO mit dem Verantwortlichen teilen, wie die CNIL in ihren Richtlinien erklärt (siehe die folgenden Absätze).
Gemeinsame Erfüllung der Verpflichtungen aus der DSGVO
Verantwortlicher und Auftragsverarbeiter sollten zusammenarbeiten, um sicherzustellen, dass die Zwecke der Weiterverarbeitung mit dem ursprünglichen Zweck, für den die Daten erhoben wurden, vereinbar sind. Anstatt Spannungen zwischen den Parteien zu schaffen, weil sie sich nicht einigen können, ob ein weiterer Zweck ausreichend mit dem ursprünglichen Zweck verknüpft ist, sollten sie sich um einen Dialog und eine offene Kommunikation über die Bedürfnisse jedes Einzelnen bemühen.
In der Praxis kann dies schwierig sein, da einige Auftragsverarbeiter nicht bereit sind, auf individuelle Bedürfnisse ihrer Kunden einzugehen. Man denke etwa an große Cloud- oder Software-Anbieter. In diesem Fall sollte ein anderer Dienstleister in Betracht gezogen werden.
Wie bereits erwähnt, ist der ursprüngliche Verantwortliche im Prinzip auch dafür verantwortlich, die betroffenen Personen bei der Erhebung ihrer Daten über die Weitergabe der Daten an einen neuen Verantwortlichen zu informieren, d. h. an den Auftragsverarbeiter, der die Daten für seine eigenen Zwecke verwendet. Dies ist für den ursprünglich Verantwortlichen mit einem hohen Aufwand verbunden. Daher ist es in Fällen, in denen der Auftragsverarbeiter die Möglichkeit hat, sich direkt an die betroffenen Personen zu wenden, ratsam, dass der Auftragsverarbeiter den ursprünglich Verantwortlichen von diesem Aufwand entlastet.
Dies ist für beide Seiten von Vorteil, da der ursprüngliche Verantwortliche keine Informationen über Verarbeitungen bereitstellen muss, die er nicht selbst vornimmt oder vornehmen lässt, und der Auftragsverarbeiter (der neue Verantwortliche) sicherstellt, dass er seinen Verpflichtungen aus der DSGVO nachkommt.
In Fällen, in denen der neue Verantwortliche keinen direkten Kontakt zu den betroffenen Personen hat, kann der ursprüngliche Verantwortliche in dem Bemühen, eine für beide Seiten vorteilhafte Beziehung zu gewährleisten, die betroffenen Personen über die Weiterverarbeitung im Namen des neuen Verantwortlichen informieren. Um dies zu erleichtern, muss der neue Verantwortliche dem ursprünglichen Verantwortlichen alle relevanten Informationen über die Weiterverarbeitung und deren Zwecke zur Verfügung stellen.
Diese Lösung stellt sicher, dass die Verpflichtungen der DSGVO für beide Parteien erfüllt werden, dass der ursprüngliche Verantwortliche die Dienste des Auftragsverarbeiters in Anspruch nehmen kann und dass der Auftragsverarbeiter in seiner Eigenschaft als neuer Verantwortlicher die Vorteile der Verarbeitung erhält, die er für seine eigenen Zwecke vornimmt.
Fazit: Gegenseitiger Nutzen wird durch echte Zusammenarbeit erreicht
Verantwortliche und Auftragsverarbeiter müssen sich über die Bedürfnisse des jeweils anderen im Klaren sein und die oben genannten Schritte unternehmen, um eine für beide Seiten vorteilhafte Vertragsbeziehung aufzubauen. Eine Beziehung, in der der Verantwortliche von der Verarbeitung durch den Auftragsverarbeiter profitiert und der Auftragsverarbeiter von den Erkenntnissen, die aus den Daten des Verantwortlichen gewonnen werden, während gleichzeitig sichergestellt wird, dass keiner der beiden Parteien ein Schaden entsteht.
In der Praxis wird dies nicht immer erreichbar sein, insbesondere wenn es sich um sehr große Auftragsverarbeiter handelt. Wenn keine Alternativen zu den Dienstleistern bestehen, sollten Verantwortliche mittels zusätzlicher technischer und organisatorischer Maßnahmen (etwa Verschlüsselung) versuchen, datenschutzrechtliche Risiken bei der Weiterverarbeitung zu eigenen Zwecken des Auftragsverarbeiters zu verringern.