Auftragsverarbeitung – Schwerpunkttheorie

Ein Plädoyer zum sparsamen und gezielten Umgang mit Auftragsverarbeitungen. Nicht für jeden Service mit Kontakt zu personenbezogenen Daten muss ein Dienstleister mit allumfassenden Weisungsmöglichkeiten überzogen werden. Gut gemeinte, weitgehende Auftragsverarbeitungs-Vereinbarungen verschieben eine Beauftragung vielfach unbeabsichtigt in die Nähe einer verdeckten Arbeitnehmerüberlassung. Wer sich von der Schwerpunkttheorie bei der Bewertung von Auftragsverarbeitungs-Verhältnissen leiten lässt, kann das regulatorische Dilemma vermeiden.

Positionierung der Datenschutzaufsicht

Art. 28 DSGVO definiert jede bzw. eine Verarbeitung im Auftrag eines Verantwortlichen als Auftragsverarbeitung (AV). Da der Begriff „Verarbeitung“ in Art. 4 DSGVO recht weit gefasst wird, liegt es bei enger Auslegung der DSGVO in gewisser Weise nahe, dass jede irgendwie beauftragte Tätigkeit eine AV sein müsse; denn personenbezogene Daten (pbD) dürften regelmäßig immer eine Rolle bei quasi jeder Auftragserfüllung spielen.

Diese Auslegung wird dem Geist der Norm jedoch kaum gerecht. Schließlich fordert Art. 29 DSGVO, dass die Verarbeitung „ausschließlich auf Weisung des Verantwortlichen“ erfolgen darf. Bei enger Auslegung der DSGVO wäre unsere arbeitsteilige Wirtschaft dann zwangsläufig durch ein komplexes und nicht mehr handhabbares Geflecht von Weisungen durchzogen.

Die Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat in einem „Kurzpapier“ das Thema Auftragsverarbeitung aufbereitet (dsk_kpnr_13.pdf). Es wird erläutert, welche Beauftragungen regelmäßig als Auftragsverarbeitung zu bewerten sind und welche Tätigkeiten eine Verarbeitung in eigener Verantwortung darstellen und somit keine Auftragsverarbeitung sind.

Diese Ausführungen werden noch ergänzt durch das Bayerisches Landesamt für Datenschutzaufsicht (FAQ_Abgrenzung_Auftragsverarbeitung.pdf): „Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.“ Der Definition ist eine Liste mit Beispielen angefügt. Wir betrachten hier den Betrieb von internen Poststellen durch einen externen Dienstleister, um das Dilemma um allumfassende Auftragsverarbeitungen zu erläutern.

Die Beispiele stellen “Postdienste für den Brief- oder Pakettransport” klar als Tätigkeit heraus, die regelmäßig nicht als Auftragsverarbeitung zu bewerten sind. Die Königsdisziplin einer internen Poststelle, ist der Brief- und Pakettransport zu den Schreibtischen der Empfänger (oder zumindest in deren Nähe).

Vielfach werden Betreiber von internen Poststellen noch zu weiteren Zusatzaufgaben verpflichtet, wie das Öffnen von eingehenden Rechnungen, Scannen und Überführen in ERP-Systeme. Die Liste der Beispiele in der FAQ der DSK betrachtet die „Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten“ klar als Auftragsverarbeitung.

Beim Zustellen von Postsendungen werden pbD verarbeitet, weil der Zusteller sich mit der Zieladresse der Sendung auseinandersetzen muss (egal ob innerhalb eines Betriebes oder auf der Straße). Kern der Tätigkeit ist jedoch nicht das Verarbeiten dieser pbD sondern die Zustellung. Beim Scannen von Briefen / Rechnungen ist die Umsetzung der Daten aus den Briefen / Rechnungen Kern bzw. Schwerpunkt der Tätigkeit; es handelt sich also um eine AV, sofern die Tätigkeit im Auftrag eines Verantwortlichen erfolgt.

Ist in einer Poststelle, in der auch Sendungen gescannt werden nun der gesamte Betrieb als Auftragsverarbeitung vertraglich zu fassen?

Keine Pauschalierung bitte

Niemand käme wohl auf die Idee, alle Vertragsbeziehungen mit einem multinationalen Großunternehmen zur AV umzuwidmen, nur weil ein kleiner Teilprozess tatsächlich als AV auszugestalten ist. Das Großunternehmen wird mit dem Abschluss einer AV-Vereinbarung als juristische Person zwar zum Auftragsverarbeiter, muss sich deswegen jedoch nicht mit allen Bereichen dem Regime einer AV-Vereinbarung unterwerfen; dies ist nur für den (Teil-) Prozess erforderlich, der tatsächlich eine AV darstellt.

Sobald das Leistungsspektrum der Vertragspartner kleiner wird, ist das Gebot der Differenzierung und der notwendigen Detailorientierung bei der Regelung von AV-Verhältnissen vielfach nicht mehr ganz so deutlich zu erkennen. Anders kann kaum erklärt werden, warum insbesondere im Bereich des Gebäudemanagements oder auch bei Beratungsleistungen pauschale AV-Vereinbarungen verlangt bzw. geschlossen werden. Aus Angst vor möglichen Bußgeldrisiken werden hier vielfach pauschale, das gesamt Vertragsverhältnis umspannende AV-Vereinbarungen gefordert.

Das Problem: Solche AV-Vereinbarungen umfassen dann so viele Tätigkeits- und Prozessschritte, dass bei der Beschreibung der technisch organisatorischen Maßnahmen nicht mehr angemessen differenziert wird. Der Regelungsaufwand steht schlichtweg auch nicht mehr im Verhältnis zum Wert der Dienstleistung. Im Ergebnis kommt es folglich zu pauschalen, potentiell nichtssagenden oder vielfach zu nicht (sinnvoll) erfüllbaren Forderungen wie die Pseudonymisierung einer Warenannahme oder die Pflicht zur Erstellung eines Verschlüsselungskonzeptes für den Verantwortlichen der Hauspostverteilung. Diese Beispiele sind real und keine Einzelfälle.

Solche TOMs sind problematisch, weil sie nicht sinnvoll anwendbar sind und mangels Konkretisierung nicht prüfbar sind. Solche TOMs binden trotzdem Ressourcen beim Aushandeln und Administrieren, bringen am Ende aber kein Mehr an Datenschutz.

Konsequente Prozesssicht

Wer sich ausschließlich auf die nach der Schwerpunkttheorie als Auftragsverarbeitung zu bewertenden Prozesse beschränkt, hat eher eine realistische Chance, konkrete und angemessene technische und organisatorische Maßnahmen (TOM) passgenau auf den jeweiligen Verarbeitungsprozess festzuschreiben. Im vorhin genutzten Beispiel hieße dies, nicht die gesamte Poststelle pauschal als AV zu fassen, sondern nur den Teilprozess des Scannens als AV zu vereinbaren und zu regulieren.

Diese Konzentration schafft Freiräume, sinnvolle und konkrete TOMs zu entwickeln und zu vereinbaren. Nur konkrete TOMs sind mess- und auditierbar. Je allgemeiner und unspezifischer die AV-Vereinbarung und die korrespondierenden TOMs formuliert sind, desto schwächer wird das Regelwerk. Die von der DSGVO geforderte technische Beherrschbarkeit kann so kaum erreicht werden.

Eine undifferenzierte Ausweitung der AV-Vereinbarung erhöht auch die Anforderungen an die organisatorische Beherrschbarkeit. Wer als Auftraggeber aus Gründen der vermeintlichen Vereinfachung eine umfassende pauschalierte AV-Vereinbarung abschließt, ist damit dann auch in allen umklammerten Bereichen für die Gewährleistung der Betroffenenrechte verantwortlich. Das bedeutet im Nachgang regelmäßig ein erhebliches Mehr an administrativen Arbeiten.

Dem nicht genug: Je weiter der Bogen einer AV-Vereinbarung ohne Not um eine Vielzahl von Verarbeitungstätigkeiten gespannt wird, desto umfassender muss zwangsläufig auch das gesetzlich geforderte Weisungsrecht definiert werden. Die Bindung an Weisungsrechte des Auftraggebers nimmt dem Dienstleister jedoch ein wichtiges Merkmal für die wirtschaftliche Selbstständigkeit. Insbesondere bei Inhouse-Services werden im ungünstigen Fall rechtliche Bedingungen geschaffen, die Wesenszüge einer (ungeregelten und ebenfalls bußgeldbewehrten) Arbeitnehmerüberlassung annehmen.

In Service-Verträgen sollte also eine konsequente Orientierung auf die tatsächlichen AV-Prozesse vorgenommen werden. Die Vorgaben zur Absicherung dieser Prozesse hat dann detailliert zu erfolgen. Auch die DSGVO fordert die Behandlung einzelner Prozesse und nicht die pauschale Generalverpflichtung der Vertragspartner.

Für in diesem Text als Beispiel herangezogenen Poststellen-Services heißt dies: Die klassische Poststelle ist der Schwerpunkttheorie der Aufsichtsbehörden folgend nicht als AV zu behandeln. Die Verarbeitung pbD erfolgt durch den Dienstleister in eigener Verantwortung, so wie es in der Prozesskette zwischen Absender und Empfänger im Übrigen auch alle anderen Zustellunternehmen (Deutsche Post, dpd, UPS etc.) tun. Werden neben der klassischen Poststellentätigkeit z.B. als Teil der Beauftragung Sendungen geöffnet und digitalisiert, ist diese spezielle Tätigkeit wiederum als AV zu bewerten und zu behandeln. Keinesfalls sollte deswegen der sonstige Poststellenbetrieb zur AV umgewidmet werden.

Das bewusste Ausklammern von nicht AV-Prozessen aus einer AV-Vereinbarung entbindet den Beauftragten im Übrigen ja nicht von seiner Pflicht zur Sicherstellung geeigneter Absicherungen seiner Verarbeitungsprozesse. Die DSGVO und ihre Pflicht zur Absicherung der Daten gilt selbstverständlich trotzdem.