Arbeitsteiliges Verarbeiten von personenbezogenen Daten ist Realität, sei es zB ausgelagerte Speicherung oder Aktenvernichtung oder auch die Erhebung von Daten zB für Marketingzwecke durch Dritte. Eine datenverarbeitende Organisation ist entweder „Verantwortlicher“ oder „Auftragsverarbeiter“, aber nicht beides gleichzeitig.

„Verantwortlicher“ (Definition lt. Art 4 Z 7 DSGVO) ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

„Auftragsverarbeiter“ (Definition lt. Art 4 Z 8 DSGVO) eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Bestimmte Regelungen der DSGVO treffen nur Verantwortliche, und schreiben diesem bestimmte Verhaltensweisen vor; hier einige Beispiele von Verpflichtungen, die nur Verantwortliche, nicht aber Auftragsverarbeiter treffen:

·         Rechtmäßigkeit der Verarbeitung der Daten iSd Art 6, Art 9 oder Art 10 DSGVO,

·         Informationspflicht iSd Art 13 oder Art 14 DSGVO gegenüber den Betroffenen

·         Wahrnehmung der Rechte der betroffenen Personen

Werden Daten auf vertraglicher Basis von einem Verantwortlichen an einen Empfänger weitergegeben (übermittelt), dann stellt sich oft die Frage, ob der Empfänger der Daten, der mit den Daten auch gewisse Verarbeitungen zur Erfüllung seiner Leistungsverpflichtung durchführt, ein Auftragsverarbeiter ist, oder nicht.

Der Auftragsverarbeiter nimmt dem Verantwortlichen einen Teil dessen eigener Verarbeitungstätigkeit ab, und führt diese „im Auftrag“ für diesen durch; er hat keinen eigenen Zweck für diese Verarbeitung, und auch der Inhalt der Daten ist für seine Tätigkeit nur von untergeordneter Relevanz.

Eine weitere Möglichkeit nach den Bestimmungen der DSGVO in der arbeitsteiligen Datenverarbeitung sind sog. „gemeinsame Verantwortliche“ iSd Art 26 DSGVO, bei der zwei oder mehr (eigenständige) Verantwortliche gemeinsam mit vertraglich definierten Verantwortlichkeiten personenbezogene Daten verarbeiten. Ein Beispiel dafür wäre zB eine gemeinsam geführte Kunden- oder Marketingdatenbank oder eine gemeinsame Buchungsplattform von unterschiedlichen Reiseveranstaltung und Unternehmen die Nebenleistungen anbieten (Hotels, Mietwagen, Veranstaltungsbuchung etc…).

Die entscheidende Frage ist, ob der Auftragsverarbeiter für einen Verantwortlichen eine Verarbeitungstätigkeit iSd DSGVO durchführt. Diese sind in der DSGVO umfassend definiert. Sie umfassen automatisierte oder nicht-automatisierte Vorgänge oder Vorgangsreihen im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten von natürlichen Personen.

Es muss sich bei der Tätigkeit u.a. um eine zielgerichtete Verarbeitung von personenbezogenen Daten im Kernbereich der Aufgabe des Verarbeiters für einen Verantwortlichen handeln, damit diese als Auftragsverarbeitung qualifiziert wird. Zusätzliche Aufgaben, die der Auftragsverarbeiter übernimmt, verändern die Beurteilung nicht. Verarbeitet die Organisation die Daten nur anlässlich eines Auftrages, der außerhalb des Kernbereiches einer Datenverarbeitung liegt, stellt dies vermutlich eine bloße Übermittlung der Daten an einen eigenen Verantwortlichen dar, der diese Daten benötig, um eine inhaltlich definierte Aufgabe zu erbringen, die im Kernbereich keine Verarbeitungstätigkeit für den übermittelnden Verantwortlichen darstellt. Der Übermittlungsempfänger nutzt diese übermittelten Daten für einen eigenen Zweck, und eben nicht im Auftrag des übermittelnden Verantwortlichen.

Entscheidet der Verarbeiter selbst über den Einsatz von Mittel und Zweck der Verarbeitung der Daten iSd Art 4 Z 7 DSGVO. In der Abgrenzung ist es von wesentlicher Bedeutung, dass der Übermittlungsempfänger über die Verarbeitungszwecke entscheidet. Die Auswahl der technisch-organisatorischen Fragen der Verarbeitung kann auch delegiert werden.

Eine konkrete Stellungnahme der Österreichischen Datenschutzbehörde zur Abgrenzung ist im Leitfaden nicht erfolgt. Es kann auf die Veröffentlichungen in Deutschland zurückgegriffen werden; es ist jedoch zu berücksichtigen, dass die Rechtsfigur der sog. Funktionsübertragung in der DSGVO nicht umgesetzt wurde. Die DSK hat ein Kurzpapier zur Auftragsverarbeitung veröffentlicht, und auch die Bitkom veröffentlichte Hinweise dazu.

Nur eine Kerntätigkeit des Auftragsverhältnisses in einer Verarbeitungstätigkeit iSd DSGVO führt zur Qualifikation als Auftragsverarbeiter für einen Verantwortlichen. Zu denken ist zB an die Erhebung der Daten durch Dritte am einen Ende der Verarbeitungskette und an die datenschutzkonforme Entsorgung (Vernichtung) am anderen Ende derselben. Sämtliche dazwischenliegenden Verarbeitungsvorgänge, wie das Organisieren, die Aufbereitung, die Anreicherung von Daten. Es kann zB auch die Speicherung und Ablage der Daten oder ein Security-Backup oder das Löschen von Daten an einen Dritten als Auftragsverarbeiter ausgelagert werden.