Auftragsverarbeitung bei Email

Wer als Verantwortlicher personenbezogene Daten von jemand anderem verarbeiten lässt, braucht dafür einen Auftragsverarbeitungsvertrag. Wohl auch bei Email. Das hat sich vor allem bei Kleinstunternehmen oder Freiberuflern noch nicht wirklich rumgesprochen.

Was besagt Artikel 28 DSGVO?

Artikel 28 Auftragsverarbeiter der DSGVO fordert (DSGVO):

DSGVO Artikel 28 Auftragsverarbeiter

(1)

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

(2)

...

(3)

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderenRechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter inBezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck derVerarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechtedes Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass derAuftragsverarbeiter

a): ...
b): ...
c): alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
...

...

Anderes Rechtsinstrument?

Dazu schreibt Dr. Robert Kazemi in einem Beitrag aus Haufe Deutsches Anwalt Office Premium:

§ 8 Auftragsverarbeitung / I. Begründung durch Vertrag oder anderes Rechtsinstrument, Rz. 37

Art. 28 DSGVO definiert nicht näher, was unter einem anderen Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zu verstehen ist. Eine ähnliche Regelung war bereits in Art. 17 Abs. 3 DSRL enthalten. Der deutsche Gesetzgeber hat mit dem DSAnpUG-EU keinerlei Regelungen in Bezug auf Art. 28 DSGVO getroffen, sodass derartige andere Rechtsinstrumente neben einem Vertag jedenfalls in der Bundesrepublik aktuell nicht bestehen. ...

Stimmt nicht ganz. Einige Bistümer haben eigene Kirchengesetze erlassen, so z.B. das Bistum Münster. Das dürfte aber in der Privatwirtschaft nicht in Frage kommen.

Klug schreibt in Gola Datenschutz-Grundverordnung Kommentar zu Artikel 28 Rdnr 7, dass ... die Vertragsgestaltung im öffentlichen Bereich eher die Ausnahme bildet. Leider ohne Klarstellung was denn dann die Regel ist. (03.12.2021)

Ausnahmen?

Also ist im Normalfall ein Auftragsverarbeitungsvertrag erforderlich. Diskussionen zu Ausnahmen findet man zu

Funktionsübertragungen

Leider gibt es dafür keine eindeutige Definition (s. z.B. Abgrenzung zur Funktionsübertragung. Typische Beispiele dafür sind die Steuererklärung, die nicht vom Unternehmen selbst sondern vom Steuerberater durchgeführt wird, oder auch Inkassoaufträge. Ob bei einer Funktionsübertragung der Betroffene im Unklaren gelassen werden darf, oder ob das als Weitergabe in die Datenschutzerklärung gehört ist umstritten. Die Datenschutzkonferenz Kurzpapier Nr. 13: Auftragsverarbeitung, Art. 28 DS-GVO scheint im Falle einer Funktionsübertragung regelmäßig auch eine Auftragsverarbeitung zu sehen. Habe ich einen Auftragsverarbeitungsvertrag, muss ich diese Dienstleister nicht in meiner Datenschutzerklärung erwähnen, andererseits müsste der Steuerberater auch seinen IT-Dienstleister als Subunternehmer genehmigen lassen – das wiederum stelle ich mir schwierig vor.

Telekommunikationsdienstleistungen

Darunter fällt zum Beispiel eine Telefongesellschaft. Eine Zeitlang wurden auch Emailanbieter darunter angesehen, siehe E-Mail-Anbieter sind keine Auftragsverarbeiter im Sinne der DSGVO von Bernhard Krämer, der sich auf das Bayerische Landesamt für Datenschutzaufsicht beruft. Seit dem EuGH Urteil vom 13.06.2019 – C-193/18 war das eigentlich vom Tisch, aber eine klare Kommunikation der Aufsichten hinsichtlich der Notwendigkeit von Auftragsverarbeitungsverträgen fehlt. Durch das Telekommunikationsmodernisierungsgesetz fällt Email aber seit dem 1.12.2021 als nummernunabhängiger interpersoneller Dienst (TKG §3 Nr. 40) erneut unter das TKG und damit auch unter das Fernmeldegeheimnis von TTDSG §3 (2) Nr.2, aber möglicherweise auch unter die Verpflichtung, nach TKG §170 Überwachungs-Schnittstellen vorzusehen (der Begriff öffentlich zugängliche Telekommunikationsdienste in TKG §3 Nr. 44 ist unscharf definiert – natürlich kann eine unbestimmte Personengruppe Emails an korrekte Empfängeradressen schicken – Anfrage bei der Bundesnetzagentur läuft).

Unklar bleibt dabei – wie in der Vergangenheit auch – ob sich

das Fernmeldegeheimnis nur für den eigentlichen Übermittlungsvorgang (vereinfacht sozusagen das SMTP-Protokoll) oder auch auf das Vorhalten für zukünftige Abrufe (vereinfacht POP oder IMAP-Zugriff) gilt. Wegen 2 BvR 902/06 vom 16. Juni 2009 vermute ich beides.
ob man zusätzlich zum TKG/TTDSG einen Auftragsverarbeitungsvertrag braucht. Meine Meinung: klares Ja, denn weder TKG noch TTDSG (und auch nicht DE-Mail-G) regeln abschließend alle denkbaren Sicherheitsmaßnahmen die im Auftragsverarbeitungsvertrag zu definieren sind. Abweichende Meinung zumindest bei der Telekom, die bei DE-Mail einen Auftragsverarbeitungsvertrag für unnötig hält (s.a. Email-Verschlüsselung). Und auch die United Internet Marken Gmx.net oder Web.de bieten keinen Auftragsverarbeitungsvertrag oder verstecken ihn gut. Meine Anfrage bei der für mich zuständigen Aufsicht LfDI BW ist noch unbeantwortet.

Berufsgeheimnisträger?

Dass Email unter das Fernmeldegeheimnis fällt ist jedenfalls gut, denn telefonieren dürfen die Berufsgeheimnisträger auch. Unklarer ist, welche Ansprüche an einen Auftragsverarbeitungsvertrag man stellen muss und was dann wer darf. Da gibt es anscheinend unterschiedliche Auffassungen:

Die Haufe Online Redaktion scheint in IT-Sicherheitspflichten für Freiberufler seit Geltung der DSGVO Auftragsverarbeitung in Ordnung zu finden, wenn geeignete Sicherheitsmaßnahmen, insbesondere Verschlüsselung, vereinbart sind.
Die Datenschutzkonferenz schreibt im bereits angeführten Kurzpapier Nr. 13: Auftragsverarbeitung, Art. 28 DS-GVO Zu beachten ist, dass die Datenverarbeitung im Auftrag auch künftig keine Erlaubnis darstellt, Datendem Auftragsverarbeiter zu offenbaren, die aufgrund gesetzlicher Geheimhaltungspflichten odervon Berufs- oder besonderen Amtsgeheimnissen,die nicht auf gesetzlichen Vorschriften beruhen,vertraulich zu behandeln sind (vgl. § 1 Abs. 2 S. 3 BDSG-neu)., verweist aber auch auf das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen und STGB § 203 (3) und (4).

Zumindest sollte man im Auftragsverarbeitungsvertrag – und StPO §53a deutet an, dass ein Vertrag erforderlich ist – klarstellen, welches Mitwirken konkret gemeint ist und dass man sich der Geheimhaltungspflicht bzw. der Strafbarkeit bewusst ist.

Fazit

Unterstellt man wie ich, dass für Email ein Auftragsverarbeitungsvertrags erforderlich ist, dann muss man annehmen, dass ganz viele Kleinunternehmen und Freiberufler gegen Artikel 28 verstoßen, darunter auch Rechtsanwälte, Ärzte, Psychologen und andere Berufsgeheimnisträger. Ganz viele ohne das zu wissen, einige aber auch weil die großen Anbieter nicht verpflichtet sind, geeignete Verträge anzubieten. Statt einer Strafandrohung hilft vermutlich eher Aufklärung und eine Verpflichtung an Anbieter, geeignete Verträge anzubieten. Und dann gibt es auch viele, die US-Anbieter verwenden. Die haben dann oft sogar Auftragsverarbeitungsverträge, aber ob die nach Schrems II noch in Ordnung sind?

Anfragen

Ich habe das in Anfragen an die Datenschutzkonferenz / das BfDI und aufgrund der ersten Antwort an die Bundesnetzagentur gepackt. So viele Unklarheiten hätte ich nicht erwartet...

Themen