Auftragsverarbeitung bei Email

Was besagt Artikel 28 DSGVO?

Artikel 28 Auftragsverarbeiter der DSGVO fordert (DSGVO):

Anderes Rechtsinstrument?

Ausnahmen?

Funktionsübertragungen

Leider gibt es dafür keine eindeutige Definition (s. z.B. Abgrenzung zur Funktionsübertragung. Typische Beispiele dafür sind die Steuererklärung, die nicht vom Unternehmen selbst sondern vom Steuerberater durchgeführt wird, oder auch Inkassoaufträge. Ob bei einer Funktionsübertragung der Betroffene im Unklaren gelassen werden darf, oder ob das als Weitergabe in die Datenschutzerklärung gehört ist umstritten. Die Datenschutzkonferenz Kurzpapier Nr. 13: Auftrags­verarbeitung, Art. 28 DS-GVO scheint im Falle einer Funktionsübertragung regelmäßig auch eine Auftrags­verarbeitung zu sehen. Habe ich einen Auftrags­verarbeitungs­vertrag, muss ich diese Dienstleister nicht in meiner Datenschutz­erklärung erwähnen, andererseits müsste der Steuerberater auch seinen IT-Dienstleister als Subunternehmer genehmigen lassen – das wiederum stelle ich mir schwierig vor.

Telekommunikations­dienstleistungen

Darunter fällt zum Beispiel eine Telefon­gesellschaft. Eine Zeitlang wurden auch Emailanbieter darunter angesehen, siehe E-Mail-Anbieter sind keine Auftrags­verarbeiter im Sinne der DSGVO von Bernhard Krämer, der sich auf das Bayerische Landesamt für Datenschutz­aufsicht beruft. Seit dem EuGH Urteil vom 13.06.2019 – C-193/18 war das eigentlich vom Tisch, aber eine klare Kommunikation der Aufsichten hinsichtlich der Notwendigkeit von Auftrags­verarbeitungs­verträgen fehlt. Durch das Tele­kommunikations­modernisierungs­gesetz fällt Email aber seit dem 1.12.2021 als nummernunabhängiger interpersoneller Dienst (TKG §3 Nr. 40) erneut unter das TKG und damit auch unter das Fernmelde­geheimnis von TTDSG §3 (2) Nr.2, aber möglicherweise auch unter die Verpflichtung, nach TKG §170 Überwachungs-Schnittstellen vorzusehen (der Begriff öffentlich zugängliche Telekommunikations­dienste in TKG §3 Nr. 44 ist unscharf definiert – natürlich kann eine unbestimmte Personengruppe Emails an korrekte Empfänger­adressen schicken – Anfrage bei der Bundesnetzagentur läuft).

Unklar bleibt dabei – wie in der Vergangenheit auch – ob sich

1. das Fernmeldegeheimnis nur für den eigentlichen Übermittlungsvorgang (vereinfacht sozusagen das SMTP-Protokoll) oder auch auf das Vorhalten für zukünftige Abrufe (vereinfacht POP oder IMAP-Zugriff) gilt. Wegen 2 BvR 902/06 vom 16. Juni 2009 vermute ich beides.
2. ob man zusätzlich zum TKG/TTDSG einen Auftrags­verarbeitungs­vertrag braucht. Meine Meinung: klares Ja, denn weder TKG noch TTDSG (und auch nicht DE-Mail-G) regeln abschließend alle denkbaren Sicherheitsmaßnahmen die im Auftrags­verarbeitungs­vertrag zu definieren sind. Abweichende Meinung zumindest bei der Telekom, die bei DE-Mail einen Auftrags­verarbeitungs­vertrag für unnötig hält (s.a. Email-Verschlüsselung). Und auch die United Internet Marken Gmx.net oder Web.de bieten keinen Auftrags­verarbeitungs­vertrag oder verstecken ihn gut. Meine Anfrage bei der für mich zuständigen Aufsicht LfDI BW ist noch unbeantwortet.

Berufsgeheimnisträger?

• Die Haufe Online Redaktion scheint in IT-Sicherheitspflichten für Freiberufler seit Geltung der DSGVO Auftragsverarbeitung in Ordnung zu finden, wenn geeignete Sicherheits­maßnahmen, insbesondere Verschlüsselung, vereinbart sind.
• Die Datenschutzkonferenz schreibt im bereits angeführten Kurzpapier Nr. 13: Auftrags­verarbeitung, Art. 28 DS-GVO Zu beachten ist, dass die Datenverarbeitung im Auftrag auch künftig keine Erlaubnis darstellt, Datendem Auftrags­verarbeiter zu offenbaren, die aufgrund gesetzlicher Geheim­haltungs­pflichten odervon Berufs- oder besonderen Amtsgeheimnissen,die nicht auf gesetzlichen Vorschriften beruhen,vertraulich zu behandeln sind (vgl. § 1 Abs. 2 S. 3 BDSG-neu)., verweist aber auch auf das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen und STGB § 203 (3) und (4).

Fazit

Anfragen