Was ist der Regelungsinhalt von Art 29 DSGVO (Verarbeitung unter Aufsicht des Verantwortlichen oder des Auftragsverarbeiters)?
Art 29 DSGVO lautet:
Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.
Die zwei Regelungsbereiche des Art 29 DSGVO:
Diese Regelung bringt außerhalb von gesetzlich angeordneten Verarbeitungsvorgängen die „Weisungsgebundenheit“
1. der Personen, die für einen Verantwortlichen oder einen Auftragsverarbeiter tätig sind,
2. und des Auftragsverarbeiters
gegenüber dem Verantwortlichen und hat in Art 16 DSRL eine unmittelbare Vorgängerbestimmung, und ist daher nicht neu. Die Überschrift des Art 16 DSRL lautet: „Vertraulichkeit der Verarbeitung“.
Auswirkungen auf „Personen, die Zugang zu den personenbezogenen Daten haben“ und auf Auftragsverarbeiter:
Mit der Bestimmung des Artikel 29 DSGVO soll sichergestellt werden, dass der Verantwortliche seine Entscheidungen in Bezug auf die Art und Weise der Verarbeitung der personenbezogenen Daten auch gegenüber den Personen, die dann die Verarbeitung auch tatsächlich durchführen, durchsetzen kann.
Die Weisungsgebundenheit (bzw. Auftragsgebundenheit) bezieht sich insbes. auf Mitarbeiter, freie Dienstnehmer, Freelancer oder Berater auf Werkvertragsbasis bzw. auch Unter-Auftragsverarbeiter, sofern diese Zugang zu den personenbezogenen Daten haben. In jedem vertraglichen Verhältnis zu Personen, die Zugang zu den Daten haben, ist es mE vertragsimmanent, dass der Verantwortliche das Weisungsrecht in Bezug auf die Verarbeitungen wahrnimmt.
Im Rahmen der Auftragsverarbeitung ist in Art 28 DSGVO der notwendige Vertragsinhalt normiert, und auch dort findet sich eine Bezugnahme auf die Weisungsmöglichkeit des Verantwortlichen gegenüber dem Auftragsverarbeiter. Aus Art 29 DSGVO ergibt sich diese ausdrückliche, sich direkt aus dem Gesetz ergebende Pflicht, Weisungen des Verantwortlichen zu befolgen.
Da der Verantwortliche für die Verarbeitung der Daten und die Einhaltung der Bestimmungen der DSGVO verantwortlich ist, und auch unter der Strafsanktion bzw. der anderen Sanktionen der DSGVO steht, ist es nur verständlich, dass er die Möglichkeit erhalten muss, auch durch Weisungen auf die Art und Weise der Verarbeitungen Einfluss nehmen zu können.
Vertraulichkeit und Integrität sind Prinzipien des Datenschutzes, die vom Verantwortlichen zu wahren sind, und auch aus Art 29 DSGVO ergibt sich mE, dass der Verantwortliche jenen Personen, die Zugang zu den personenbezogenen Daten haben, „unter seiner Kontrolle“ haben muss, um diese Prinzipien erfüllen zu können.
Bei Mitarbeitern oder Vertragspartnern, die im Auftrag des Verantwortlichen tätig sind, ist die Weisung bereits in der Aufgabenverteilung und Aufgabenbeschreibung enthalten, denn im Rahmen des Aufgabengebietes, das der Verantwortliche an die konkrete Person delegiert hat, ist diese Person für ihn tätig. Wenn jedoch der Mitarbeiter oder der Vertragspartner den Auftrag oder das Aufgabengebiet überschreiten, dann sind diese nicht mehr unter der Kontrolle des Verantwortlichen, und damit verlassen auch die personenbezogenen Daten den Bereich, den der Verantwortliche kontrollieren kann, und es kommt zum Verlust der Vertraulichkeit.
Kommentar schreiben