Der Beruf des Datenschützers bringt es mit sich, dass man viel liest und dauerhaft lernt. Die Quellen sind vielfältig und ich gestehe: Seit langer Zeit bekomme ich auch den Newsletter von Stephan Hansen-Oest. Er ist ebenfalls Datenschutzbeauftragter und Jurist. Oft nicke ich mit dem Kopf und bin mit dem Newsletter schnell fertig. Diesmal fand ich das Thema sehr interessant – auch für meine Mandanten – und möchte die Frage bzw. Antwort hier weitergeben.
Die Ausgangsfrage
Es ging um die Frage eines Lesers seines Newsletters, ob beim Einsatz eines Webhosters ein AV-Vertrag notwendig ist, selbst wenn der Hoster nur verschlüsselte Daten erhält.
Warum ist diese Frage interessant?
Grundsätzlich kann man bei einer Verschlüsselung nach Stand der Technik davon ausgehen, dass der Auftragsverarbeiter – in diesem Fall der Hoster – keinen Zugriff auf die Daten erhält. Aus Sicht des Auftragnehmers handelt es sich demnach nicht um personenbezogene Daten. Damit steht zur Diskussion, ob die DSGVO überhaupt anwendbar wäre.
Wie wurde die Frage beantwortet?
Stephan Hansen-Oest weist in seiner Antwort darauf hin, dass eine Auftragsverarbeitung vorliegt, „… wenn personenbezogene Daten von einem Verantwortlichen im Auftrag durch einen Auftragnehmer verarbeitet werden.“ Es würde ausreichen, dass die Daten für den Verantwortlichen als personenbezogen anzusehen sind.
War es das – ist das schon alles?
Grundsätzlich unterstütze ich diese Antwort, aber es gibt weitere Argumente, und genau deshalb wollte ich dieses Thema aufgreifen.
Aus Sicht des Verantwortlichen ist es auch aus anderen Gründen sinnvoll, weiterhin von einer Auftragsverarbeitung auszugehen!
Egal ob die Daten für den Hoster lesbar sind oder eben nicht, aus Sicht des Auftraggebers stellt sich die Situation wie folgt dar:
Die Verarbeitung erfolgt durch den Verantwortlichen. Für diesen Verantwortlichen sind die Daten personenbezogen, weshalb die DSGVO zur Anwendung kommt. Es handelt sich also regelmäßig um eine Verarbeitung, die auch im Verzeichnis der Verarbeitungstätigkeiten (VVT) dokumentiert sein sollte. Im Eintrag des VVT empfehlen wir ebenfalls die Dienstleister zu dokumentieren, die mit den Daten in Kontakt kommen, da dies spätestens bei der Gewährleistung der Betroffenenrechte von Vorteil ist. Hier ist bereits der erste Ankerpunkt… Wenn die Daten weitergegeben werden, handelt es sich entweder um eine Auftragsverarbeitung oder um eine Datenübermittlung an einen Dritten. Denn wir erinnern uns: Aus Sicht des Verantwortlichen sind die Daten auch weiterhin personenbezogen.
Heute sicher… Aber auch in Zukunft?
Im zweiten Schritt stellt sich die Frage: Sind die Daten auch in Zukunft nicht zu entschlüsseln? Würde man davon ausgehen können, könnte man entspannt sein und davon ausgehen, dass die Daten auf ewig verschlüsselt bleiben und damit nie Dritten bekannt werden können. Es ist im Laufe der Zeit jedoch mehrfach dazu gekommen, dass Verschlüsselungen aufgebrochen werden konnten und die entsprechenden Verschlüsselungsverfahren im Nachhinein nicht mehr als sicher betrachtet werden konnten. In diesem Moment muss man wohl davon ausgehen, dass die Daten mit relativ wenig Aufwand wieder einen Personenbezug aufweisen können. Was jedoch, wenn ich nicht weiß, was der Hoster bis dahin mit diesen verschlüsselten Daten gemacht hat?
Der Sinn eines Vertrages zur Auftragsverarbeitung besteht auch darin, dass der Hoster (Auftragnehmer) die Daten nur auf Weisung des Verantwortlichen nutzen darf (Art. 28 Abs. 3 lit. a DSGVO). Dazu gehört auch, dass der Auftragnehmer die Daten nicht einfach an ein anderes Unternehmen zur Speicherung weitergeben darf, sofern dies nicht im Rahmen des AV-Vertrages kenntlich gemacht wurde und der nun speichernde Dienstleister als Unterauftragnehmer ebenfalls zur Weisungsbindung und Vertraulichkeit verpflichtet wurde (Art. 28 Abs. 4 DSGVO).
In knappen Worten
Ungeachtet der Tatsache, dass die Daten für die DSGVO nur aus Sicht des Verantwortlichen personenbezogen sein müssen, damit die DSGVO anzuwenden ist, zahlt es auch auf die Schutzziele des Datenschutzes und der Informationssicherheit ein, wenn weiterhin von einer Auftragsverarbeitung ausgegangen wird.
Denn durch den AV-Vertrag wird zumindest formal sichergestellt, dass die Themen Weisungsbindung und Vertraulichkeit auch vom Datenempfänger eingehalten werden müssen. Der AV-Vertrag bringt dem Verantwortlichen also eine gewisse Rechtssicherheit.
Meine Meinung: Als Verantwortlicher würde ich ohnehin wissen wollen, wie die Daten beim Dienstleister geschützt werden (TOMs) und ob eine Weitergabe an andere Unternehmen vorgesehen ist (Unterauftragnehmer).
Fazit
In beiden Betrachtungsweisen liegt im Ergebnis eine Auftragsverarbeitung vor. Während die knappe juristische Herleitung jedoch möglicherweise Unverständnis auslöst – auch wenn ich diese für korrekt halte – bin ich der Meinung, dass die Betrachtung des Schutzzwecks und der Schutzziele des Datenschutzes deutlich hervorhebt, warum eine Auftragsverarbeitung hier sinnvoll erscheint.
Gibt es Meinungen, die dieser Auffassung widersprechen? Her damit…
Und wer Fragen dazu hat, darf sich ebenfalls gerne an mich wenden!
