Praxiskommentar Auftragsverarbeitung E-Book

ISBN 978–3–8005–1982–8

© 2025 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Mainzer Landstr. 251, 60326 Frankfurt am Main, [email protected]

www.ruw.de

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: WIRmachenDRUCK GmbH, Backnang

Inhaltsverzeichnis

A. Vorwort und Einleitung

B. Kommentierung zu Art. 4 Nr. 8

I. Gesetzestext

II. Bedeutung der Norm

III. Hinweise für den Anwender

IV. Allgemeines

1. Regelungszweck

2. Normadressaten

3. Systematik

4. Entstehungsgeschichte

a) Bisherige europäische Vorgaben

b) Bisherige nationale Vorgaben

V. Inhalt der Regelung

1. „Privilegierungswirkung“ auch unter der DSGVO?

2. „im Auftrag“

a) Kriterien zur Abgrenzung von Verantwortlichkeit und Auftragsverarbeitung

(1) Abgrenzungsfrage 1: Handelt der Auftragnehmer ausschließlich nach den Weisungen des Auftraggebers?

(2) Abgrenzungsfrage 2: Ist es dem Auftragnehmer untersagt, die übermittelten Daten mit eigenen Datenbeständen zusammenzuführen?

(3) Abgrenzungsfrage 3: Darf der Auftragnehmer die Daten ausschließlich zu den vom Auftraggeber vorgegebenen Zwecken nutzen?

(4) Abgrenzungsfrage 4: Obliegt die Sicherstellung der Rechtmäßigkeit der Datenverarbeitung im Wesentlichen dem Auftraggeber?

5) Abgrenzungsfrage 5: Fehlt es zwischen dem Auftragnehmer und den Betroffenen an einer direkten Vertragsbeziehung und tritt somit lediglich der Auftraggeber im eigenen Namen gegenüber den Betroffenen auf?

b) Fallgruppen

3. Verarbeiten

4. Drittstaaten

C. Kommentierung zu Artikel 28

I. Gesetzestext

II. Bedeutung der Norm

III. Hinweise für den Anwender

IV. Allgemeines

1. Regelungszweck

2. Normadressaten

3. Systematik

4. Entstehungsgeschichte

a) Frühere europäische Vorgaben

b) Frühere nationale Vorgaben

c) Verhandlungen zur DSGVO

V. Anwendungsvoraussetzungen

1. Einordnung von Einzelfällen

a) Cloud Computing

b) Rechenzentrum

c) Homeoffice

d) Transportdienstleistungen

e) Wartung/Fernwartung

2. Anforderungen an die Auswahl (Abs. 1)

3. Weitere Auftragsverarbeiter (Abs. 2 und 4)

a) Grundlagen

b) Formanforderungen

4. Grundlage der Auftragsverarbeitung

a) Inhalt der Vereinbarung

(1) Inhaltliche Anforderungen (Abs. 3)

(2) Vertragsgegenstand (Abs. 3 S. 1)

b) Weitere Mindestinhalte der Vereinbarung

(1) Weisungsgebundenheit (Abs. 3 S. 2 lit. a)

(2) Vertraulichkeitsverpflichtung (Abs. 3 S. 2 lit. b)

(3) Schutzmaßnahmen gemäß Art. 32 (Abs. 3 S. 2 lit. c)

(4) Weitere Auftragsverarbeiter (Abs. 3 S. 2 lit. d)

(5) Unterstützung bei Betroffenenrechten (Abs. 3 S. 2 lit. e)

(6) Unterstützung bei Art. 32 – 36 (Abs. 3 S. 2 lit. f)

(7) Umgang mit Daten nach Beendigung der Verarbeitung (Abs. 3

(8) Unterstützung zur Nachweiserbringung (Abs. 3 S. 2 lit. h)

c) Informationspflichten (Abs. 3 UAbs. 2)

5. Weitere Auftragsverarbeiter (Abs. 4)

6. Faktoren für hinreichende Garantien (Abs. 5)

7. Standardvertragsklauseln zur Auftragsverarbeitung (Abs. 6 – 8)

a) Verfahren der Kommission

b) Verschiedene Sets an Standardvertragsklauseln

(1) Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern

(2) Standardvertragsklauseln für internationale Datentransfers

c) Sonstige Vereinbarungsmuster

8. Formvorschriften (Abs. 9)

9. Auftragsverarbeiter als Verantwortlicher (Abs. 10)

VI. Umsetzung in die Praxis

1. Rechtsfolgen bei Verstößen

2. Sanktionen

3. Rechtsschutz

D. Kommentierung zu Artikel 29

I. Gesetzestext

II. Bedeutung der Norm

III. Hinweise für den Anwender

IV. Allgemeines

1. Regelungszweck

2. Normadressaten

3. Systematik

4. Entstehungsgeschichte

a) Frühere europäische Vorgaben

b) Frühere nationale Vorgaben

c) Verhandlungen zur DSGVO

V. Inhalt der Norm

1. Weisungsunterworfene Personen

a) Auftragsverarbeiter

b) Dem Verantwortlichen unterstellte Personen

c) Dem Auftragsverarbeiter unterstellte Personen

2. Zugang zu personenbezogenen Daten

3. Sicherstellung der Weisungsbindung

VI. Weisung

VII. Grenzen der Weisungsbindung

VIII. Rechtsfolgen

IX. Sanktionen

E. Checklisten und Musterverträge

I. Checkliste zur Auswahl des richtigen Auftragsverarbeiters

II. Checkliste zur Auswahl des richtigen Auftragsverarbeitungsvertrags

III. Checkliste Anforderungen an einen Auftragsverarbeitungsvertrag

IV. Kurzform eines Auftragsverarbeitungsvertrags

1. Deutschsprachiges Muster:

2. Englischsprachiges Muster:

V. Standardvertragsklauseln für Auftragsverarbeitungsverhältnisse innerhalb der Europäischen Union

VI. Muster und Checklisten zum Download

F. Literaturverzeichnis

I. Stellungnahmen von Behörden

1. Europäische Behörden

2. Deutsche Behörden

3. Nationale Behörden aus anderen EU-Staaten

II. Literatur

A. Vorwort und Einleitung

Die Auftragsverarbeitung umfasst eine ganze Bandbreite unterschiedlicher wirtschaftlicher Konstellationen, die alle denselben einheitlichen Regeln der DSGVO unterfallen. Die datenschutzrechtlichen Regeln für die Auftragsverarbeitung sind daher von erheblicher praktischer Bedeutung.

Die rechtlichen Voraussetzungen einer Auftragsverarbeitung werden in Artikel 4 Nr. 8 DSGVO festgelegt. In Artikel 28 DSGVO finden sich Vorgaben zur Ausgestaltung des Auftragsverarbeitungsverhältnisses, und in Artikel 29 DSGVO wird die Weisungsgebundenheit des Auftragsverarbeiters zusätzlich gesetzlich fixiert. Diese drei wesentlichen Vorschriften der Auftragsverarbeitung werden in diesem Kommentar umfassend gewürdigt.

Abgerundet wird der Kommentar mit einem Kapitel zur praktischen Umsetzung und Einhaltung der DSGVO-Vorgaben bezüglich der Auftragsverarbeitung. Dort befinden sich drei Checklisten: Eine Checkliste für die Auswahl des richtigen Auftragsverarbeiters, eine zur Auswahl des richtigen Auftragsverarbeitungsvertrags sowie eine Checkliste zur Überprüfung eines fremden Auftragsverarbeitungsvertrags. Außerdem enthält dieses Kapitel verschiedene (teils kommentierte) Muster für Auftragsverarbeitungsverträge.

Mein Dank gilt Rudi Kramer, der vor einigen Jahren einmal die Ursprungsversion der Kommentierung erstellt hat, die Grundlage und Inspiration für diesen Kommentar war. Daneben danke ich Max Harttrumpf und Julian Pusch, ohne die die Erstellung dieses Kommentars nicht möglich gewesen wäre.

Feedback ist jederzeit herzlich willkommen!

Berlin, März 2025

Paul Voigt

B. Kommentierung zu Art. 4 Nr. 8

I. Gesetzestext

1

Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

8. “Auftragsverarbeiter” eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

II. Bedeutung der Norm

2

Die Norm definiert den Begriff des Auftragsverarbeiters und somit einen der Normadressaten der DSGVO. Sie ist heranzuziehen, wenn bestimmt werden muss, an wen sich die Vorgaben der DSGVO richten.

III. Hinweise für den Anwender

3

Für die Auslegung der Norm relevante Erwägungsgründe:

Zu dieser Begriffsbestimmung lassen sich keine spezifischen EG zuordnen.

4

Für die Norm relevante Definitionen:

Die Definition des Auftragsverarbeiters entspricht der früheren Definition in Art. 2 lit. e RL 95/46.

IV. Allgemeines

5

Mit dieser Definition wird der Normadressat bestimmt, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Er ist damit also gerade nicht Verantwortlicher im Sinne der DSGVO. Gleichzeitig wird der Auftragsverarbeiter aber im Vergleich zur RL 95/46 EG und zum BDSG a.F. stärker in die Verantwortung genommen. Er haftet bei materiellen oder immateriellen Schäden gegenüber dem Betroffenen (Art. 82), hat eigenständige Pflichten in Bezug auf die Sicherheit der Verarbeitung (Art. 32) und kann Adressat von Anordnungen der Aufsichtsbehörden gem. Art. 58 sowie von Bußgeldern sein (vgl. z.B. Art. 83 Abs. 3, 4 lit. a).

1. Regelungszweck

6

Die Definition grenzt den Auftragsverarbeiter vom in Art. 4 Nr. 7 definierten „Verantwortlichen“ ab. Ihr Zweck ist es, den Akteuren unterschiedliche Rollen im Rahmen der Verarbeitung zuzuweisen.

2. Normadressaten

7

Die Norm hat keinen direkten Normadressaten. Als Definition ist sie vielmehr für jeden Rechtsanwender von Bedeutung. Sie ist in der Gesamtschau mit den an den Auftragsverarbeitern gerichteten Normen zu lesen und bestimmt insoweit deren Anwendungsbereich.

3. Systematik

8

Der Auftragsverarbeiter gehört zu den in Art. 4 definierten Normadressaten der DSGVO. In der unmittelbaren Umgebung zur Definition des Auftragsverarbeiters finden sich in Art. 4 der Verantwortliche (Nr. 7), der Empfänger (Nr. 9) und der Dritte (Nr. 10). Die weiteren von der Norm umfassten Rollen bei der Begriffsbestimmung wie Vertreter (Nr. 17), Aufsichtsbehörde (Nr. 21) oder betroffene Aufsichtsbehörde (Nr. 22) werden eher unsystematisch aufgelistet. Aus der Systematik in der Auflistung der Begriffsbestimmungen ergeben sich keine besonderen Hinweise für die Auslegung.

4. Entstehungsgeschichte

a) Bisherige europäische Vorgaben

9

Die Begriffsbestimmung des Auftragsverarbeiters ist bereits in der RL

95/46 EG festgelegt. Der dortige Wortlaut unterscheidet sich nicht von der Begriffsbestimmung in der DSGVO.

10

DS-RL 95/46 – Englisch

DSGVO – Englisch

DS-RL 95/46 – Deutsch

DSGVO – Deutsch

Art. 2 lit e ‘processor’ shall mean a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;

Art. 4 Nr. 8 ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;

Art. 2 lit e „Auftragsverarbeiter“ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

Art. 4 Nr. 8 „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

11

Daher kann die bisherige Auslegung des Begriffs des Auftragsverarbeiters durch die ehemalige Art. 29-Datenschutzgruppe in deren Working Paper 169 herangezogen werden.1 Obwohl die Art. 29-Datenschutzgruppe inzwischen durch den Europäischen Datenschutzausschuss (EDSA) abgelöst worden ist, der eigene Leitlinien zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters nach neuer Rechtslage veröffentlicht hat2, lebt das von der Art. 29-Datenschutzgruppe entwickelte Begriffsverständnis grundsätzlich fort.

b) Bisherige nationale Vorgaben

12

Das BDSG a.F. enthielt keine eigenständige Definition des Begriffs des Auftragsverarbeiters. Allerdings setzte § 11 BDSG a.F. den Auftragsverarbeiter voraus. Nach § 11 Abs. 1 BDSG a.F. blieb der Auftraggeber für die Einhaltung des Datenschutzes verantwortlich, wenn die personenbezogenen Daten durch andere Stellen „im Auftrag“ erhoben, verarbeitet oder genutzt wurden. § 11 Abs. 2 BDSG a.F. schrieb dann vor, dass ein solcher Auftrag schriftlich zu erteilen war.

13

Ferner gab § 3 Abs. 8 Satz 3 BDSG a.F. vor, dass Stellen, die personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, dann nicht „Dritte“ waren, wenn dies innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes geschah. Da im deutschen Recht der Begriff der „Übermittlung“ als das Bekanntgeben von personenbezogenen Daten an einen „Dritten“ definiert wurde (vgl. § 3 Abs. 4 Nr. 3 BDSG a.F.), ging die herrschende Meinung früher davon aus, dass bei Auftragsverarbeitern innerhalb der EU/des EWR keine „Übermittlung“ vorlag und somit keine weitere Rechtsgrundlage für diesen Verarbeitungsvorgang erforderlich war.3

V. Inhalt der Regelung

1. „Privilegierungswirkung“ auch unter der DSGVO?

14

Bei der Anwendung des BDSG a.F. ging man überwiegend davon aus, dass die Weitergabe der personenbezogenen Daten an den Auftragnehmer einer Auftragsverarbeitung keines eigenen Erlaubnistatbestandes bedürfe.

15

Begründet wurde diese Ansicht mit einem Umkehrschluss zu der Definition des „Dritten“ in § 3 Abs. 8 S. 3 BDSG a.F.: „Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.“ Des Weiteren konnte diese Meinung durch die Definition des „Übermittelns“ in § 3 Abs. 4 Nr. 3 BDSG a.F. gestützt werden. Nach § 3 Abs. 4 Nr. 3 BDSG a.F. war Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben wurden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsah oder abrief. Aus dem Zusammenspiel dieser beiden Definitionen konnte abgeleitet werden, dass die Beauftragung eines Auftragsdatenverarbeiters keine Übermittlung an einen Dritten sei und somit keines weiteren Erlaubnistatbestandes bedürfe.4 In der Literatur wurde insoweit von der „Privilegierung der Auftragsdatenverarbeitung“ gesprochen.5

16

Nach Art. 4 Nr. 10 ist der Auftragsverarbeiter ebenfalls nicht „Dritter“. Dagegen ist der Begriff des „Übermittelns“ nicht mehr gesondert definiert, sondern findet sich als ein Beispiel der „Verarbeitung“ in Art. 4 Nr. 2 wieder. Aus diesem Grund ist teilweise problematisiert worden, ob die Übermittlung von personenbezogenen Daten nunmehr (auch innerhalb der EU/des EWR) einer gesonderten Rechtsgrundlage bedürfe.6 Es handelt sich offenbar um eine sehr vom deutschen Recht geprägte Diskussion; andere Mitgliedstaaten kennen die Problematik nicht.7 Auch der EDSA geht davon aus, dass die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 sowie ggf. Art. 9 DSGVO aus der Tätigkeit des Verantwortlichen abgeleitet werde.8 Dies kann man damit begründen, dass die Einbindung des Dienstleisters kein eigenständiger Akt der Datenverarbeitung ist, sondern Teil der Verarbeitungshandlungen des Auftraggebers (des Verantwortlichen) gem. Art. 4 Nr. 2.9 Ist die Verarbeitung der Daten durch den Verantwortlichen nach Art. 6 Abs. 1 rechtmäßig, erstreckt sich diese Rechtmäßigkeit auch auf den Auftragsverarbeiter nach Maßgabe der Art. 28 und 29.10 Der Auftragsverarbeiter steht im Lager des Verantwortlichen, ist mithin sein „verlängerter Arm“11. Dafür spricht auch, dass der Auftragsverarbeiter keine Entscheidungshoheit über Mittel und Zwecke der Verarbeitung hat und nur strikt weisungsgebunden verarbeiten kann (vgl. Art. 29).12 Allerdings bleibt der Auftragsverarbeiter nach Ansicht des EDSA auch dann Auftragsverarbeiter, wenn er zwar Einfluss auf die Gestaltungsspielräume in der Umsetzung hat, aber dem Auftraggeber ein ausreichendes Maß an rechtlicher und/oder tatsächlicher Kontrolle auf die endgültige Entscheidung zusteht, wie personenbezogene Daten verarbeitet werden.13 Im Ergebnis gehen auch die deutschen Aufsichtsbehörden davon aus, dass die Weitergabe personenbezogener Daten an den Auftragsverarbeiter sowie die anschließende Datenverarbeitung durch diesen keiner weiteren Rechtsgrundlage bedürfen.14 Dies entspricht zudem der ganz herrschenden Auffassung in der Literatur.15

17

Es besteht demgegenüber auch kein besonderer Schutzbedarf der betroffenen Personen.16 Auch der Erlaubnisvorbehalt nach Art. 6 Abs. 1 bezieht sich nur auf die Weitergabe an Dritte.17

18

Würde man dagegen eine eigenständige Rechtsgrundlage für die Übermittlung an den Auftragsverarbeiter fordern, wäre eine Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 im Regelfall nicht möglich bzw. sie würde die ausdrückliche Einwilligung der betroffenen Person gem. Art 9 Abs. 2 lit. a erfordern. Für diese Fälle wäre ein Rückgriff auf Art. 6 Abs. 1 lit. f nicht möglich.

2. „im Auftrag“

19

Ein wesentliches Tatbestandsmerkmal für die Einstufung als Auftragsverarbeiter ist die Verarbeitung „im Auftrag“. Sie ist also abhängig von einer nachvollziehbaren Beauftragung durch einen Verantwortlichen (= Auftraggeber). Der Inhalt der Beauftragung ergibt sich aus Art. 28. Insbesondere müssen sich aus der Beauftragung die Art und der Zweck der Verarbeitung ergeben. Zentrales Element der Auftragsverarbeitung ist die Weisungsabhängigkeit des Auftragsverarbeiters (vgl. Art. 28 Abs. 3 lit. a und 10 sowie Art. 29). Die Initiative zur Verarbeitung geht vom Auftraggeber aus, der auch die Vorgaben für die Beendigung vorgibt (Art. 28 Abs. 3 lit. g). Die Aufsichtsbehörden konkretisieren den „Auftrag“ so, dass der Verantwortliche über die Zwecke und wesentlichen Mittel der Verarbeitung entscheidet.18 Für die Auswahl unwesentlicher Mittel, d.h. der konkreten technischen und organisatorischen Umsetzung der Weisungen, kann auch dem Auftragsverarbeiter ein Ermessen zukommen.19

20

Die Abgrenzung zu anderen Dienstleistungen, die durch einen Auftragnehmer erbracht werden, jedoch keine Auftragsverarbeitung sind, ist zum Teil umstritten. Besonders hat sich diese Diskussion zu Dienstleistungen einiger freier Berufe herausgeprägt.

a) Kriterien zur Abgrenzung von Verantwortlichkeit und Auftragsverarbeitung

21

Die Abgrenzung zwischen Verantwortlichkeit und Auftragsverarbeitung hat stets anhand der konkreten Umstände des Einzelfalls zu erfolgen, wobei eine detaillierte Analyse der einzelnen Verarbeitungsvorgänge und Datenflüsse erforderlich sein kann. Für eine erste grobe Einordnung der datenschutzrechtlichen Rollenverteilung können die folgenden Fragen20 herangezogen werden, wobei die Bejahung einer oder mehrerer Fragen das Vorliegen einer Auftragsverarbeitung nahelegt. Anknüpfungspunkte sind hierbei die Befugnisse des Auftragnehmers (Abgrenzungsfragen 1 bis 3), die Wahrnehmung datenschutzrechtlicher Pflichten (Abgrenzungsfrage 4) sowie das Vorliegen vertraglicher Beziehungen zwischen Auftragnehmer und Betroffenen (Abgrenzungsfrage 5).

(1) Abgrenzungsfrage 1: Handelt der Auftragnehmer ausschließlich nach den Weisungen des Auftraggebers?

22

Gemäß Art. 29 darf ein Auftragsverarbeiter die ihm übermittelten Daten ausschließlich auf Weisung des Auftraggebers verarbeiten. Ist zwischen den Beteiligten eine solche Weisungsgebundenheit vereinbart, spricht dies für das Vorliegen eines Auftragsverarbeitungsverhältnisses. Gleichwohl ist es nicht vonnöten, dass dem Auftragnehmer aufgrund seiner Weisungsgebundenheit vollends die Hände gebunden sind. Vielmehr kann ihm die Befugnis eingeräumt sein, über technische und organisatorische Mittel der Verarbeitung zu entscheiden, solange dem Auftraggeber ein Interventionsrecht zusteht, das ihm faktisch die endgültige Entscheidung über die Mittel der Datenverarbeitung ermöglichen würde.

(2) Abgrenzungsfrage 2: Ist es dem Auftragnehmer untersagt, die übermittelten Daten mit eigenen Datenbeständen zusammenzuführen?

23

Da eine Zusammenführung von Datenbeständen dem aus dem Zweckbindungsgrundsatz (Art. 5 Abs. 1 lit. b) ableitbaren Prinzip der Datentrennung widerspricht und folglich den Kern der Rechtmäßigkeit der Datenverarbeitung tangiert, ist sie allein dem Verantwortlichen vorbehalten. Ist dem Auftragnehmer demgegenüber eine Zusammenführung gestattet, spricht dies für dessen Einordnung als datenschutzrechtlich Verantwortlichen.

(3) Abgrenzungsfrage 3: Darf der Auftragnehmer die Daten ausschließlich zu den vom Auftraggeber vorgegebenen Zwecken nutzen?

24

Während die Entscheidung über die Mittel der Verarbeitung im Rahmen eines dem Auftraggeber zustehenden Weisungsrechts an den Auftragnehmer als Auftragsverarbeiter delegiert werden kann (s. Art. 4 Nr. 8 Rn. 16), ist die Entscheidung über die Zwecke der Datenverarbeitung allein und ausnahmslos dem Verantwortlichen vorbehalten. Entscheidet der Auftragnehmer mithin selbst über die Verarbeitungszwecke, ist er nicht Auftragsverarbeiter, sondern (ggf. gemeinsam) Verantwortlicher.

(4) Abgrenzungsfrage 4: Obliegt die Sicherstellung der Rechtmäßigkeit der Datenverarbeitung im Wesentlichen dem Auftraggeber?

25

Im Rahmen eines Auftragsverarbeitungsverhältnisses ist die Sicherstellung der Rechtmäßigkeit der Datenverarbeitung Sache des Auftraggebers. Sofern der Auftragnehmer demgegenüber selbst beispielsweise separate Einwilligungen einholt, spricht dies gegen das Vorliegen einer Auftragsverarbeitung.

(5) Abgrenzungsfrage 5: Fehlt es zwischen dem Auftragnehmer und den Betroffenen an einer direkten Vertragsbeziehung und tritt somit lediglich der Auftraggeber im eigenen Namen gegenüber den Betroffenen auf?

26

Das Fehlen einer eigenständigen rechtlichen Beziehung zwischen Auftragnehmer und Betroffenem deutet auf eine Auftragsverarbeitung hin, wohingegen das Vorliegen einer eigenen Vertragsbeziehung für eine Verantwortlichkeit des Auftragnehmers spricht. Den vertraglichen Verhältnissen kommt insofern jedoch lediglich indizielle Bedeutung zu, da für die datenschutzrechtliche Rollenverteilung letztlich die tatsächlichen und nicht die rechtlichen Umstände maßgebend sind. Sofern der Auftragnehmer im Verhältnis zu den Betroffenen nicht selbst oder lediglich im Namen des Auftraggebers auftritt, liegt ebenfalls die Annahme eines Auftragsverarbeitungsverhältnisses nahe.

b) Fallgruppen

27

In der aufsichtsbehördlichen Praxis haben sich für die Abgrenzung von Auftragsverarbeitung und Verantwortlichkeit inzwischen relativ feststehende Fallgruppen herausgebildet.

28

Demgemäß sollen u.a. die folgenden Dienstleistungen regelmäßig Auftragsverarbeitungen darstellen:21

die Finanzbuchhaltung durch Rechenzentren,

das Outsourcing im Rahmen des Cloud-Computings, sofern kein inhaltlicher Zugriff des Cloud-Betreibers erfolgt oder

Verarbeitungen von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume.

29

Eine Auftragsverarbeitung scheide demgegenüber stets dann aus, wenn die Inanspruchnahme fremder Fachleistungen im Vordergrund stehe, deren Kern nicht (zumindest auch) in der Datenverarbeitung bestehe. Dies betrifft etwa:

Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer sowie sonstige Berufsgeheimnisträger,

Bankinstitute für Geldtransfers,

Postdienstleister für den Brief- oder Pakettransport oder

Insolvenzverwalter.

3. Verarbeiten

30