zur Übersicht

Auftragsverarbeitung: Keine Weisungsgebundenheit bei „rechtlicher Verpflichtung“?

Auftragsverarbeiter dürfen personenbezogene Daten nur nach Weisung des Auftraggebers verarbeiten. So will es die DSGVO und so muss es in einem entsprechenden Vertrag geregelt sein. In der Praxis kommt es aber oft vor, dass ein Auftragsverarbeiter in dieser Vereinbarung zur Auftragsverarbeitung („AVV“) ausnahmsweise von der Weisungsgebundenheit freigestellt wird, wenn er „rechtlich“ zu einer bestimmten Datenverarbeitung verpflichtet ist. Das betrifft z. B. die Herausgabe von Daten an Sicherheitsbehörden oder die Aufbewahrung für steuerliche Zwecke. Problematisch ist das, wenn es sich dabei um rechtliche Vorgaben aus einem Drittland handelt, beispielsweise um US-Recht. Wie ist eine solche Ausnahmeregelung rechtlich zu bewerten und wie ist damit in der Praxis am besten umzugehen? Besteht auch hier keine Weisungsgebundenheit bei „rechtlicher Verpflichtung“?

Sachverhalt

Vor allem bei Verhandlungen mit global agierenden Dienstleistern wird eine solche Ausnahmeregelung gerne in die Auftragsverarbeitungsvereinbarung (kurz „AVV“) aufgenommen. Beispiel aus einer AVV: „Der Auftragsverarbeiter verarbeitet die Daten nur in Übereinstimmung mit den schriftlichen Weisungen des Kunden, es sei denn, er ist rechtlich zur Verarbeitung verpflichtet.“

Bewertung: Keine Weisungsgebundenheit bei „rechtlicher Verpflichtung“?

Der Gesetzeswortlaut in Art. 28 Abs. 3, S. 2 lit. a) und Art. 29 DSGVO lässt eine Ausnahme von der Weisungsgebundenheit nur dann zu, wenn der Auftragsverarbeiter nach dem Unionsrecht oder dem Recht des Mitgliedstaates, dem der Auftragsverarbeiter unterliegt, zur Verarbeitung der Daten verpflichtetet ist. Wird die Regelung dieser Ausnahme zu weit gefasst, könnte eine Verletzung der Artikel 28 und 29 DSGVO vorliegen.

Dies führt zu verschiedenen Risiken für den Auftraggeber (und den Auftragsverarbeiter):

  • Zum einen besteht die Gefahr, dass in einem Drittland personenbezogene Daten außerhalb des eigentlichen Gegenstandes der Auftragsverarbeitung, z. B. durch den Zugriff von Behörden, verarbeitet werden. Dies kann eine rechtswidrige Datenübermittlung darstellen, für die im Zweifel auch der Auftraggeber gegenüber Dritten haftet.
  • Zusätzliche Verarbeitungen stellen immer auch ein weiteres Risiko für die betroffenen Daten dar. Jede weitere Verarbeitung erhöht die Wahrscheinlichkeit, dass diese Daten durch unbefugten Zugriff, Datenlecks oder andere Sicherheitsvorfälle kompromittiert werden könnten. Das kann wiederum dazu führen, dass der Auftraggeber aufgrund eines Datenschutzvorfalls bei der Aufsichtsbehörde vorstellig werden muss.
  • Schließlich birgt der Verstoß gegen die gesetzlichen Vorgaben der DSGVO für den Auftraggeber das Risiko einer Geldbuße und eines Reputationsverlustes. Das Haftungsrisiko steigt.

In Anlehnung an einen Beschluss der Datenschutzkonferenz (kurz „DSK“) vom 31. Januar 2023 zur datenschutzrechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen in Drittländern auf personenbezogene Daten stellt die Gefahr, dass diese Stellen auf personenbezogene Daten zugreifen können, die vor Vertragsabschluss zu prüfende Zuverlässigkeit des Auftragsverarbeiters in Frage.

Die DSK empfiehlt zunächst eine Bewertung sämtlicher Umstände des Einzelfalls. Die Tatsache, dass eine AVV nach europäischen Maßstäben unzulässige Verarbeitungen auf der Grundlage des Rechts eines Drittlands erlaubt, ist bei der Bewertung der Zuverlässigkeit des Auftragsverarbeiters zu berücksichtigen.

Im Anschluss an die Bewertung wird empfohlen, die Risiken einer „europarechtswidrigen Datenverarbeitung“ durch technische und / oder organisatorische Maßnahmen auszugleichen.

Bei Auftragsverarbeitern mit Sitz in einem Drittland mit angemessenem Datenschutzniveau können die Risiken, die aus dem Regelverstoß für den Auftraggeber entstehen, gegebenenfalls als geringer eingestuft werden. Dabei kann das Vorliegen eines Angemessenheitsbeschlusses berücksichtigt werden. Teilweise wird auch davon ausgegangen, dass der Auftragsverarbeiter diese Datenverarbeitung im Rahmen eines berechtigten Interesses auf Basis von Art. 6 Abs. 1 S. 1 lit. f) DSGVO vornehmen dürfe. Dies ist aus unserer Sicht wenig überzeugend, da Art. 28 Abs. 3 DSGO hier eine eindeutige und anderslautende Regelung trifft.

Keine Weisungsgebundenheit bei „rechtlicher Verpflichtung“ kann also im Grunde nur innerhalb der EU gelten.

Prominenter Fall

Im März 2024 untersagte der Europäische Datenschutzbeauftrage (EDSB) der EU-Kommission die Nutzung von Microsoft Teams. Die Gründe betrafen insbesondere die unzureichende Ausgestaltung der AVV mit Microsoft vom 12. Mai 2021. Einer der Kritikpunkte war die Zulassung der Datenverarbeitung durch Microsoft, wenn dies das Recht von Nicht-EU-Staaten vorsieht.

Ende April 2024 gab das Land Niedersachsen bekannt, eine datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Microsoft Teams in der Verwaltung getroffen zu haben. Voraussichtlich erfolgte die Anpassung durch eine Zusatzvereinbarung zum üblichen Data Protection Agreement. Der Text wurde bislang nicht veröffentlicht. Der Landesbeauftragte für den Datenschutz Niedersachsen äußerte sich in einer Information vom 3. Mai 2024 dahingehend, dass der Verantwortliche bei der Datenverarbeitung durch Microsoft auch weiterhin zusätzliche Schutzmaßnahmen zu ergreifen haben wird. Unter anderem sei der Verantwortliche dazu verpflichtet:

• den Umfang der von Microsoft bisher erst teilweise eingeführten „EU Data Boundary“/“EU-Datengrenze“ zu berücksichtigen,
• interne Maßnahmen zur Datenminimierung zu ergreifen,
• eine individuelle Datenschutzfolgenabschätzung zu erstellen,
• technische und organisatorische Datenschutzmaßnahmen zu überprüfen.

Wie sich bereits aus dem oben genannten Beschluss der DSK entnehmen lässt, sind zusätzliche Schutzmaßnahmen dieser Art dazu geeignet, das aus einer zu weit gehenden Ausnahmeregelung entstehende Risiko für den Auftraggeber einzudämmen.

Im aktuellen Datenschutznachtrag zu den Produkten und Services von Microsoft vom 2. Januar 2024, welches auf den Internetseiten von Microsoft hier veröffentlicht ist, wird übrigens die Ausnahme von der Weisungsgebundenheit, wenn das Recht der Union oder des Mitgliedstaates, dem Microsoft unterliegt, hierzu verpflichtet, geregelt.

Fazit

Die Ausnahme von der Weisungsgebundenheit ist per Gesetz auf das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zu begrenzen. Die Regelung einer Ausnahme aufgrund „rechtlicher“ Verpflichtungen in Drittländern geht zu weit und verstößt gegen die DSGVO. Daher sollte eine Änderung der Regelung in der AVV angestrebt werden. Zumindest sollten zusätzliche Schutzmaßnahmen ergriffen und dokumentiert werden.

Lösungsansätze zu weiteren, immer wieder auftretenden Problemen beim Abschluss von AVV, wie die unzureichende Beschreibung der Auftragsspezifika, die umfängliche Übertragung anfallender Kosten auf den Auftraggeber sowie die Einschränkung der Kontrollrechte des Auftraggebers finden Sie in den kostenlosen Unterlagen zu unserem diesbezüglichen Webinar vom 25. Juni 2024.


Abonnieren Sie gerne unseren Newsletter, um bei den Entwicklungen im Datenschutz immer auf dem aktuellen Stand zu sein.