Praxiskommentar Auftragsverarbeitung (eBook)
130 Seiten
Fachmedien Recht und Wirtschaft (Verlag)
978-3-8005-9789-5 (ISBN)
Dr. Paul Voigt, Lic. en Derecho, CIPP/E, ist als Rechtsanwalt und Fachanwalt für Informationstechnologierecht bei Taylor Wessing Partnerschaftsgesellschaft mbB in Berlin tätig. Er leitet dort die deutsche Praxisgruppe Technologie, Medien & Telekommunikation und verantwortet den Bereich AI Strategy. Er berät seine Mandanten bei nationalen und internationalen Datenschutzprojekten und verfügt über ausgewiesene Expertise in den Bereichen IT-Sicherheitsrecht und KI.
Dr. Paul Voigt, Lic. en Derecho, CIPP/E, ist als Rechtsanwalt und Fachanwalt für Informationstechnologierecht bei Taylor Wessing Partnerschaftsgesellschaft mbB in Berlin tätig. Er leitet dort die deutsche Praxisgruppe Technologie, Medien & Telekommunikation und verantwortet den Bereich AI Strategy. Er berät seine Mandanten bei nationalen und internationalen Datenschutzprojekten und verfügt über ausgewiesene Expertise in den Bereichen IT-Sicherheitsrecht und KI.
B. Kommentierung zu Art. 4 Nr. 8
I. Gesetzestext
1
Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
8. “Auftragsverarbeiter” eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
II. Bedeutung der Norm
2
Die Norm definiert den Begriff des Auftragsverarbeiters und somit einen der Normadressaten der DSGVO. Sie ist heranzuziehen, wenn bestimmt werden muss, an wen sich die Vorgaben der DSGVO richten.
III. Hinweise für den Anwender
3
Für die Auslegung der Norm relevante Erwägungsgründe:
-
Zu dieser Begriffsbestimmung lassen sich keine spezifischen EG zuordnen.
4
Für die Norm relevante Definitionen:
-
Die Definition des Auftragsverarbeiters entspricht der früheren Definition in Art. 2 lit. e RL 95/46.
IV. Allgemeines
5
Mit dieser Definition wird der Normadressat bestimmt, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Er ist damit also gerade nicht Verantwortlicher im Sinne der DSGVO. Gleichzeitig wird der Auftragsverarbeiter aber im Vergleich zur RL 95/46 EG und zum BDSG a.F. stärker in die Verantwortung genommen. Er haftet bei materiellen oder immateriellen Schäden gegenüber dem Betroffenen (Art. 82), hat eigenständige Pflichten in Bezug auf die Sicherheit der Verarbeitung (Art. 32) und kann Adressat von Anordnungen der Aufsichtsbehörden gem. Art. 58 sowie von Bußgeldern sein (vgl. z.B. Art. 83 Abs. 3, 4 lit. a).
1. Regelungszweck
6
Die Definition grenzt den Auftragsverarbeiter vom in Art. 4 Nr. 7 definierten „Verantwortlichen“ ab. Ihr Zweck ist es, den Akteuren unterschiedliche Rollen im Rahmen der Verarbeitung zuzuweisen.
2. Normadressaten
7
Die Norm hat keinen direkten Normadressaten. Als Definition ist sie vielmehr für jeden Rechtsanwender von Bedeutung. Sie ist in der Gesamtschau mit den an den Auftragsverarbeitern gerichteten Normen zu lesen und bestimmt insoweit deren Anwendungsbereich.
3. Systematik
8
Der Auftragsverarbeiter gehört zu den in Art. 4 definierten Normadressaten der DSGVO. In der unmittelbaren Umgebung zur Definition des Auftragsverarbeiters finden sich in Art. 4 der Verantwortliche (Nr. 7), der Empfänger (Nr. 9) und der Dritte (Nr. 10). Die weiteren von der Norm umfassten Rollen bei der Begriffsbestimmung wie Vertreter (Nr. 17), Aufsichtsbehörde (Nr. 21) oder betroffene Aufsichtsbehörde (Nr. 22) werden eher unsystematisch aufgelistet. Aus der Systematik in der Auflistung der Begriffsbestimmungen ergeben sich keine besonderen Hinweise für die Auslegung.
4. Entstehungsgeschichte
a) Bisherige europäische Vorgaben
9
Die Begriffsbestimmung des Auftragsverarbeiters ist bereits in der RL
95/46 EG festgelegt. Der dortige Wortlaut unterscheidet sich nicht von der Begriffsbestimmung in der DSGVO.
10
| DS-RL 95/46 – Englisch | DSGVO – Englisch | DS-RL 95/46 – Deutsch | DSGVO – Deutsch |
|---|
| Art. 2 lit e ‘processor’ shall mean a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller; | Art. 4 Nr. 8 ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller; | Art. 2 lit e „Auftragsverarbeiter“ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet; | Art. 4 Nr. 8 „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; |
11
Daher kann die bisherige Auslegung des Begriffs des Auftragsverarbeiters durch die ehemalige Art. 29-Datenschutzgruppe in deren Working Paper 169 herangezogen werden.1 Obwohl die Art. 29-Datenschutzgruppe inzwischen durch den Europäischen Datenschutzausschuss (EDSA) abgelöst worden ist, der eigene Leitlinien zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters nach neuer Rechtslage veröffentlicht hat2, lebt das von der Art. 29-Datenschutzgruppe entwickelte Begriffsverständnis grundsätzlich fort.
b) Bisherige nationale Vorgaben
12
Das BDSG a.F. enthielt keine eigenständige Definition des Begriffs des Auftragsverarbeiters. Allerdings setzte § 11 BDSG a.F. den Auftragsverarbeiter voraus. Nach § 11 Abs. 1 BDSG a.F. blieb der Auftraggeber für die Einhaltung des Datenschutzes verantwortlich, wenn die personenbezogenen Daten durch andere Stellen „im Auftrag“ erhoben, verarbeitet oder genutzt wurden. § 11 Abs. 2 BDSG a.F. schrieb dann vor, dass ein solcher Auftrag schriftlich zu erteilen war.
13
Ferner gab § 3 Abs. 8 Satz 3 BDSG a.F. vor, dass Stellen, die personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, dann nicht „Dritte“ waren, wenn dies innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes geschah. Da im deutschen Recht der Begriff der „Übermittlung“ als das Bekanntgeben von personenbezogenen Daten an einen „Dritten“ definiert wurde (vgl. § 3 Abs. 4 Nr. 3 BDSG a.F.), ging die herrschende Meinung früher davon aus, dass bei Auftragsverarbeitern innerhalb der EU/des EWR keine „Übermittlung“ vorlag und somit keine weitere Rechtsgrundlage für diesen Verarbeitungsvorgang erforderlich war.3
V. Inhalt der Regelung
1. „Privilegierungswirkung“ auch unter der DSGVO?
14
Bei der Anwendung des BDSG a.F. ging man überwiegend davon aus, dass die Weitergabe der personenbezogenen Daten an den Auftragnehmer einer Auftragsverarbeitung keines eigenen Erlaubnistatbestandes bedürfe.
15
Begründet wurde diese Ansicht mit einem Umkehrschluss zu der Definition des „Dritten“ in § 3 Abs. 8 S. 3 BDSG a.F.: „Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.“ Des Weiteren konnte diese Meinung durch die Definition des „Übermittelns“ in § 3 Abs. 4 Nr. 3 BDSG a.F. gestützt werden. Nach § 3 Abs. 4 Nr. 3 BDSG a.F. war Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben wurden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsah oder abrief. Aus dem Zusammenspiel dieser beiden Definitionen konnte abgeleitet werden, dass die Beauftragung eines Auftragsdatenverarbeiters keine Übermittlung an einen Dritten sei und somit keines weiteren Erlaubnistatbestandes bedürfe.4 In der Literatur wurde insoweit von der „Privilegierung der Auftragsdatenverarbeitung“ gesprochen.5
16
Nach Art. 4 Nr. 10 ist der Auftragsverarbeiter ebenfalls nicht „Dritter“. Dagegen ist der Begriff des „Übermittelns“ nicht mehr gesondert definiert, sondern findet sich als ein Beispiel der „Verarbeitung“ in Art. 4 Nr. 2 wieder. Aus diesem Grund ist teilweise problematisiert worden, ob die Übermittlung von personenbezogenen Daten nunmehr (auch innerhalb der EU/des EWR) einer gesonderten Rechtsgrundlage bedürfe.6 Es handelt sich offenbar um eine sehr vom deutschen Recht geprägte Diskussion; andere Mitgliedstaaten kennen die Problematik nicht.7 Auch der EDSA geht davon aus, dass die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 sowie ggf. Art. 9 DSGVO aus der Tätigkeit des Verantwortlichen abgeleitet werde.8 Dies kann man damit begründen, dass die Einbindung des Dienstleisters kein eigenständiger Akt der Datenverarbeitung ist, sondern Teil der Verarbeitungshandlungen des Auftraggebers (des Verantwortlichen) gem. Art. 4 Nr. 2.9 Ist die Verarbeitung der Daten durch den Verantwortlichen nach Art. 6 Abs. 1 rechtmäßig, erstreckt sich diese Rechtmäßigkeit auch auf den Auftragsverarbeiter nach Maßgabe der...
| Erscheint lt. Verlag | 27.3.2025 |
|---|---|
| Reihe/Serie | Datenschutzberater | Datenschutz-Berater |
| Verlagsort | Frankfurt am Main |
| Sprache | deutsch |
| Themenwelt | Recht / Steuern ► Arbeits- / Sozialrecht |
| Recht / Steuern ► Wirtschaftsrecht | |
| Schlagworte | Artikel 28 DSGVO • Artikel 29 DSGVO • Artikel 4 Nr. 8 DSGVO • Auftragsverarbeiter • Auftragsverarbeitung • BDSG • Betroffenenrechte • bücher für juristen • Buch Recht • Datenschutz • Datenschutzberater • Datenschutz-Grundverordnung • Deutsche Gesetze Buch • Deutscher Fachverlag • Deutscher Fachverlag GmbH • DFV • dfv Mediengruppe • DSGVO • Europäische Vorgaben • fachbücher recht • Fachbuch Recht • Fachbuch Verlag • Fachliteratur Recht • fachmedien recht und wirtschaft • jura bücher • Jura Recht • juristische Bücher • Juristische Literatur • juristischer Fachverlag • Nachschlagewerk • nachschlagewerk recht • nationale Vorgaben • Paul Voigt • Personenbezogene Daten • Praxiskommentar DSGVO • R& • R&W • Recht Buch • Recht und Wirtschaft • Recht und Wirtschaft Frankfurt • Recht und Wirtschaft Verlag • recht verlag • RuW • Schutzmaßnahmen • verlag recht wirtschaft • Verträge • W |
| ISBN-10 | 3-8005-9789-6 / 3800597896 |
| ISBN-13 | 978-3-8005-9789-5 / 9783800597895 |
| Informationen gemäß Produktsicherheitsverordnung (GPSR) | |
| Haben Sie eine Frage zum Produkt? |
EPUB (Wasserzeichen)DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasserzeichen und ist damit für Sie personalisiert. Bei einer missbräuchlichen Weitergabe des eBooks an Dritte ist eine Rückverfolgung an die Quelle möglich.
Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belletristik und Sachbüchern. Der Fließtext wird dynamisch an die Display- und Schriftgröße angepasst. Auch für mobile Lesegeräte ist EPUB daher gut geeignet.
Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise
Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.
aus dem Bereich
