Auftragsverarbeitung bei Email

Wer als Verantwortlicher personenbezogene Daten von jemand anderem verarbeiten lässt, braucht dafür einen Auftragsverarbeitungsvertrag. Wohl auch bei Email. Das hat sich vor allem bei Kleinstunternehmen oder Freiberuflern noch nicht wirklich rumgesprochen.

Was besagt Artikel 28 DSGVO?

Artikel 28 Auftragsverarbeiter der DSGVO fordert (DSGVO):

DSGVO Artikel 28 Auftragsverarbeiter
(1)
Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
(2)
...
(3)
Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderenRechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter inBezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck derVerarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechtedes Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass derAuftragsverarbeiter
a)
...
b)
...
c)
alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
...
 
...
 

Anderes Rechtsinstrument?

Dazu schreibt Dr. Robert Kazemi in einem Beitrag aus Haufe Deutsches Anwalt Office Premium:

§ 8 Auftragsverarbeitung / I. Begründung durch Vertrag oder anderes Rechtsinstrument, Rz. 37
Art. 28 DSGVO definiert nicht näher, was unter einem anderen Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zu verstehen ist. Eine ähnliche Regelung war bereits in Art. 17 Abs. 3 DSRL enthalten. Der deutsche Gesetzgeber hat mit dem DSAnpUG-EU keinerlei Regelungen in Bezug auf Art. 28 DSGVO getroffen, sodass derartige andere Rechtsinstrumente neben einem Vertag jedenfalls in der Bundesrepublik aktuell nicht bestehen. ...

Stimmt nicht ganz. Einige Bistümer haben eigene Kirchengesetze erlassen, so z.B. das Bistum Münster. Das dürfte aber in der Privatwirtschaft nicht in Frage kommen.

Klug schreibt in Gola Datenschutz-Grundverordnung Kommentar zu Artikel 28 Rdnr 7, dass ... die Vertragsgestaltung im öffentlichen Bereich eher die Ausnahme bildet. Leider ohne Klarstellung was denn dann die Regel ist. (03.12.2021)

Ausnahmen?

Also ist im Normalfall ein Auftrags­verarbeitungs­vertrag erforderlich. Diskussionen zu Ausnahmen findet man zu
Funktionsübertragungen
Leider gibt es dafür keine eindeutige Definition (s. z.B. Abgrenzung zur Funktionsübertragung. Typische Beispiele dafür sind die Steuererklärung, die nicht vom Unternehmen selbst sondern vom Steuerberater durchgeführt wird, oder auch Inkassoaufträge. Ob bei einer Funktionsübertragung der Betroffene im Unklaren gelassen werden darf, oder ob das als Weitergabe in die Datenschutzerklärung gehört ist umstritten. Die Datenschutzkonferenz Kurzpapier Nr. 13: Auftrags­verarbeitung, Art. 28 DS-GVO scheint im Falle einer Funktionsübertragung regelmäßig auch eine Auftrags­verarbeitung zu sehen. Habe ich einen Auftrags­verarbeitungs­vertrag, muss ich diese Dienstleister nicht in meiner Datenschutz­erklärung erwähnen, andererseits müsste der Steuerberater auch seinen IT-Dienstleister als Subunternehmer genehmigen lassen – das wiederum stelle ich mir schwierig vor.
Telekommunikations­dienstleistungen
Darunter fällt zum Beispiel eine Telefon­gesellschaft. Eine Zeitlang wurden auch Emailanbieter darunter angesehen, siehe E-Mail-Anbieter sind keine Auftrags­verarbeiter im Sinne der DSGVO von Bernhard Krämer, der sich auf das Bayerische Landesamt für Datenschutz­aufsicht beruft. Seit dem EuGH Urteil vom 13.06.2019 – C-193/18 war das eigentlich vom Tisch, aber eine klare Kommunikation der Aufsichten hinsichtlich der Notwendigkeit von Auftrags­verarbeitungs­verträgen fehlt. Durch das Tele­kommunikations­modernisierungs­gesetz fällt Email aber seit dem 1.12.2021 als nummernunabhängiger interpersoneller Dienst (TKG §3 Nr. 40) erneut unter das TKG und damit auch unter das Fernmelde­geheimnis von TTDSG §3 (2) Nr.2, aber möglicherweise auch unter die Verpflichtung, nach TKG §170 Überwachungs-Schnittstellen vorzusehen (der Begriff öffentlich zugängliche Telekommunikations­dienste in TKG §3 Nr. 44 ist unscharf definiert – natürlich kann eine unbestimmte Personengruppe Emails an korrekte Empfänger­adressen schicken – Anfrage bei der Bundesnetzagentur läuft).

Unklar bleibt dabei – wie in der Vergangenheit auch – ob sich
  1. das Fernmeldegeheimnis nur für den eigentlichen Übermittlungsvorgang (vereinfacht sozusagen das SMTP-Protokoll) oder auch auf das Vorhalten für zukünftige Abrufe (vereinfacht POP oder IMAP-Zugriff) gilt. Wegen 2 BvR 902/06 vom 16. Juni 2009 vermute ich beides.
  2. ob man zusätzlich zum TKG/TTDSG einen Auftrags­verarbeitungs­vertrag braucht. Meine Meinung: klares Ja, denn weder TKG noch TTDSG (und auch nicht DE-Mail-G) regeln abschließend alle denkbaren Sicherheitsmaßnahmen die im Auftrags­verarbeitungs­vertrag zu definieren sind. Abweichende Meinung zumindest bei der Telekom, die bei DE-Mail einen Auftrags­verarbeitungs­vertrag für unnötig hält (s.a. Email-Verschlüsselung). Und auch die United Internet Marken Gmx.net oder Web.de bieten keinen Auftrags­verarbeitungs­vertrag oder verstecken ihn gut. Meine Anfrage bei der für mich zuständigen Aufsicht LfDI BW ist noch unbeantwortet.

Berufsgeheimnisträger?

Dass Email unter das Fernmeldegeheimnis fällt ist jedenfalls gut, denn telefonieren dürfen die Berufsgeheimnisträger auch. Unklarer ist, welche Ansprüche an einen Auftrags­verarbeitungs­vertrag man stellen muss und was dann wer darf. Da gibt es anscheinend unterschiedliche Auffassungen: Zumindest sollte man im Auftrags­verarbeitungs­vertrag – und StPO §53a deutet an, dass ein Vertrag erforderlich ist – klarstellen, welches Mitwirken konkret gemeint ist und dass man sich der Geheimhaltungspflicht bzw. der Strafbarkeit bewusst ist.

Fazit

Unterstellt man wie ich, dass für Email ein Auftrags­verarbeitungs­vertrags erforderlich ist, dann muss man annehmen, dass ganz viele Kleinunternehmen und Freiberufler gegen Artikel 28 verstoßen, darunter auch Rechtsanwälte, Ärzte, Psychologen und andere Berufs­geheimnis­träger. Ganz viele ohne das zu wissen, einige aber auch weil die großen Anbieter nicht verpflichtet sind, geeignete Verträge anzubieten. Statt einer Strafandrohung hilft vermutlich eher Aufklärung und eine Verpflichtung an Anbieter, geeignete Verträge anzubieten. Und dann gibt es auch viele, die US-Anbieter verwenden. Die haben dann oft sogar Auftrags­verarbeitungs­verträge, aber ob die nach Schrems II noch in Ordnung sind?

Anfragen

Ich habe das in Anfragen an die Datenschutzkonferenz / das BfDI und aufgrund der ersten Antwort an die Bundesnetzagentur gepackt. So viele Unklarheiten hätte ich nicht erwartet...

ErstelltGeändertStatusBehördeThema
08.12.202109.09.2022EingeschlafenKonferenz der unabhängigen Datenschutzbehörden des Bundes und der LänderAuftragsverarbeitung bei Email?
Der BfDI hat also keine Unterlagen zur Auftragsverarbeitung bei Email die er nach dem IFG herausgeben kann. Aber er ist m.W. auch zuständig für die Beratung, mal sehen ob da etwas kommt. Oder vielleicht aus Baden-Württemberg? Die haben bisher auch nicht reagiert (https://blog.lindenberg.one/BeschwerdenLfdiBw).Weitere Informationen auf https://blog.lindenberg.one/AuftragsverarbeitungEmail und https://blog.lindenberg.one/AufsichtOhneOrientierung.
18.12.202111.06.2022EingeschlafenBundesnetzagenturöffentlich zugängliche Telekommunikationsdienste?
Diese Anfrage ist Teil von https://blog.lindenberg.one/AufsichtOhneOrientierung. Über ein Jahr nach Inkrafttreten des neuen TTDSG und TKG ist immer noch nicht klar, wer wieviel Sicherheit gewährleisten soll.
18.12.202103.07.2024Warten auf Antwort (verspätet)BundesnetzagenturSchutzmaßnahmen und Sicherheitsanforderungen in TKG §§165ff
Diese Anfrage ist Teil von https://blog.lindenberg.one/AufsichtOhneOrientierung. Über ein Jahr nach Inkrafttreten des neuen TTDSG und TKG ist immer noch nicht klar, wer wieviel Sicherheit gewährleisten soll.

Veröffentlicht am 01.12.2021, zuletzt geändert am 20.12.2021.

© 2021 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.