4 Nr. 8 die Definition aus der DSRL übernimmt, ist nunmehr auch klargestellt, dass Auftragsverarbeiter auch außerhalb der EU, d.h. in Drittstaaten, angesiedelt sein können. Die unter alter Rechtslage deutsche Besonderheit des § 3 Abs. 8 S. 2 BDSG a.F., die dies nicht vorsah, ist hinfällig.[426]
173
Nicht zulässig ist es, mittels eines nationalen Gesetzes zu bestimmen, wer bzw. wer kein Auftragsverarbeiter in diesem Sinne ist. Mangels Öffnungsklausel hinsichtlich der Begriffsdefinition des Auftragsverarbeiters bzw. der gegenläufigen gemeinsamen Verantwortlichkeit steht es dem nationalen Gesetzgeber nicht frei, abweichend von der Definition des Art. 4 Nr. 8 bzw. Nr. 7 Regelungen zu erlassen.[427]
174
Aus der Qualifikation als Auftragsverarbeiter nach Art. 4 Nr. 8 folgt zunächst die Pflicht, mit dem Verantwortlichen die Voraussetzungen für eine Auftragsverarbeitung nach Art. 28 zu schaffen.[428] Zusätzlich gibt es in der DS-GVO eine Vielzahl von Normen mit eigenen Rechtspflichten und Rechtsfolgen für den Auftragsverarbeiter. Dies sind insbesondere die Art. 27, 29, 30 Abs. 2, 31, 32, 33 Abs. 2, 35 Abs. 8.[429] Hinzu treten die verschiedenen Rechtsfolgen. Hier ist insbesondere daran zu denken, dass der Auftragsverarbeiter nach Art. 58 Adressat behördlicher Anordnungen werden kann.[430] Weiter muss es nach Art. 79 wirksame Beschwerdemöglichkeiten gegen den Auftragsverarbeiter geben.[431] Zusätzlich haftet dieser bei materiellen und immateriellen Schäden gegenüber dem Betroffenen nach Art. 82[432] und er kann selbst Adressat von Bußgeldern nach Art. 83 Abs. 4 lit. a[433] sein.
a) Privilegierung der Auftragsdatenverarbeitung
175
Nach dem BDSG a.F. wurde bei der Auftragsdatenverarbeitung überwiegend davon ausgegangen, dass der Auftraggeber für die Weitergabe der personenbezogenen Daten an den Auftragnehmer einer Auftragsdatenverarbeitung keines eigenen Erlaubnistatbestands bedurfte.[434]
176
Da der Begriff des „Übermittelns“ nicht mehr gesondert definiert ist, sondern als Beispiel der „Verarbeitung“ in Art. 4 Nr. 2 genannt wird, wird vertreten, dass die Übermittlung von personenbezogenen Daten an den Auftragsverarbeiter jetzt einer gesonderten Rechtsgrundlage bedarf.[435] Demgegenüber geht die Art.-29-Datenschutzgruppe davon aus, dass die Rechtmäßigkeit der Auftragsverarbeitung durch den von dem für die Verarbeitung Verantwortlichen erteilten Auftrag bestimmt wird.[436] Weiter könne dieser und der Auftragsverarbeiter als „innerer Kreis der Datenverarbeitung“ angesehen werden und falle nicht unter die speziellen Bestimmungen über Dritte.[437] Diese Auffassung kann man auch damit begründen, dass die Beauftragung eines Dienstleisters als Auftragsverarbeiter kein eigenständiger Akt der Datenverarbeitung ist, sondern sich als Teil der Verarbeitungshandlungen des Verantwortlichen als Auftraggeber nach Art. 4 Nr. 2 darstellt. Sofern die Verarbeitung durch den Verantwortlichen rechtmäßig auf der Grundlage eines Erlaubnistatbestands beruht, erstreckt sich diese Rechtmäßigkeit auch auf den Auftragsverarbeiter nach Maßgabe der Art. 28, 29. Hinzu kommt, dass der Auftragsverarbeiter gem. Art. 29 Daten nur strikt weisungsgebunden verarbeiten darf. Es besteht deshalb kein besonderer Schutzbedarf der betroffenen Person.[438]
b) Datenverarbeitung im Auftrag
177
Wesentliches Tatbestandsmerkmal zur Bestimmung des Auftragsdatenverarbeiters ist nach Art. 4 Nr. 8 die Datenverarbeitung „im Auftrag“. Es muss hierfür eine nachvollziehbare Beauftragung durch den Verantwortlichen erfolgt sein. Inhaltliche Regelungen bezogen auf diese Beauftragung finden sich in Art. 28.[439] Das zentrale Element der Auftragsverarbeitung ist die Weisungsgebundenheit des Auftragsverarbeiters. In der Regel erfolgt ein Auftrag durch den Verantwortlichen auf Grundlage eines Auftragsverarbeitungsvertrags. Aus diesem Vertrag ergibt sich das Weisungsverhältnis zwischen Verantwortlichem und Auftragsverarbeiter.[440]
178
Diese Weisungsgebundenheit des Auftragnehmers ist auch das entscheidende Kriterium bei der Abgrenzung der Auftragsverarbeitung von der Rechtsfigur der gemeinsamen Verantwortlichkeit.[441] Soweit bei gemeinsam Verantwortlichen jeder Beteiligte selber Verantwortlicher ist und einen steuernden und kontrollierenden Einfluss auf die Zwecke oder wesentlichen Mittel der Verarbeitung nimmt, unterwirft sich der Auftragsverarbeiter insofern den Weisungen des Verantwortlichen und wird lediglich als dessen „verlängerter Arm“ tätig.[442] Expertise und überlegenes Wissen allein führen nicht zur gemeinsamen Verantwortlichkeit, solange und soweit die Entscheidung über die Zwecke und Mittel der Verarbeitung beim Auftraggeber verbleiben. Einer Auftragsverarbeitung steht auch nicht entgegen, dass das Konzept einer Datenverarbeitung inklusive der Zwecke und wesentlichen Mittel der Verarbeitung von einem Dienstleister entwickelt wurde, solange der Auftraggeber das Konzept akzeptiert und der Dienstleister im Folgenden nur weisungsgebunden handelt.[443] Indiz für eine Auftragsverarbeitung kann sein, wenn ein Akteur über den Verarbeitungsprozess hinaus keine eigenen Interessen an den Daten hat oder an dem Ergebnis, welches aus der Verarbeitung resultiert.[444]
179
Umstritten ist die Abgrenzung zu anderen Dienstleistungen, die durch einen Auftragnehmer erbracht werden, jedoch keine Auftragsverarbeitung darstellen. Insbesondere hat sich dieser Streit an der Einordnung verschiedener freier Berufe entbrannt.
180
Im deutschen Datenschutzrecht wurde bisher der Begriff der Funktionsübertragung als Gegenbegriff zur weisungsgebundenen Auftragsverarbeitung gebraucht. Eine Funktionsübertragung wurde angenommen, wenn der Dritte über eine eigene Entscheidungsbefugnis hinsichtlich des „wie“ der Datenverarbeitung und diesbezüglich auch die Auswahlbefugnis hat, ihm damit die Aufgabe der Verarbeitung obliegt und er insoweit für die Datenverarbeitung verantwortlich ist und über die Daten verfügen kann.[445] Der Dritte hat in diesem Fall ein eigenes Interesse an den Daten. In Bezug auf freiberufliche Tätigkeiten, wie die eines Steuerberaters oder Wirtschaftsprüfers, wird man davon ausgehen müssen, dass eine Auftragsdatenverarbeitung regelmäßig nicht in Betracht kommt. Freiberufliche Tätigkeiten werden unabhängig, selbstständig und eigenverantwortlich durchgeführt. Diese Merkmale widersprechen grundlegend einer Weisungsgebundenheit, wie sie für die Auftragsverarbeitung elementar ist. So erläutert die Art.-29-Datenschutzgruppe auch bezogen auf den Rechtsanwalt, dass solche Berufsstände als unabhängige „für die Verarbeitung Verantwortliche“ anzusehen sind, wenn sie im Rahmen der rechtlichen Vertretung
