Beweissicherungsinteresse des Auftragnehmers – Auftragsverarbeitung oder eigene Verantwortlichkeit?

Beweissicherungsinteresse des Auftragnehmers

Mit der Datenschutz-Grundverordnung (DS-GVO) kam nicht nur eine Regelung, die direkt in allen europäischen Mitgliedstaaten einen einheitlichen datenschutzrechtlichen Standard setzt, sondern auch eine Regelung, die in einigen Bereichen Unsicherheiten schürt. So bleibt mitunter im Bereich der Auftragsverarbeitung unklar, ob es sich bei dem Beweissicherungsinteresse des Auftragsnehmers, um eine Verarbeitung handelt, die im Verantwortlichkeitsbereich des Auftragnehmers liegt oder in den Aufgabenbereich des Auftraggebers fällt. Insoweit wäre hierbei ebenso die Rechtmäßigkeit einer solchen Verarbeitung zu prüfen.

Wie eine Konfliktsituation bei einer Verarbeitung zu Beweissicherungszwecken entstehen kann und was beachtet werden sollte, damit diese vermieden wird, erklärt Ihnen Ihr externer Datenschutzbeauftragter.

Beweissicherungsinteresse – Gesetzliche Ausgangssituation

Die Datenschutz-Grundverordnung (DS-GVO) ist ein unionsrechtlicher Rechtsakt und bedarf daher keiner Umsetzung durch die Mitgliedsstaaten. Dies bedeutet, dass die DS-GVO in allen EU-Mitgliedstaaten direkt anwendbar ist. Hierbei kommt es mitunter zu Konfliktsituationen mit nationalen Regelungen, wie dem Prozessrecht. Das Ziel des Datenschutzes ist den Betroffenen dabei zu helfen, ihre Grundrechte und Grundfreiheiten durchzusetzen und zu schützen, indem eine Verarbeitung ihrer personenbezogenen Daten durch eine verarbeitende Stelle (z.B. beauftragtes Unternehmen) nur erfolgen darf, wenn der Betroffene dieser zustimmt oder eine gesetzliche Regelung besteht, die dies zulässt. So ist beispielsweise nach Art. 5 Abs. 1 lit. a DS-GVO eine Datenverarbeitung von personenbezogenen Daten nur dann rechtmäßig, wenn diese nach dem Grundsatz von Treu und Glauben für die betroffene Person auf nachvollziehbare Weise verarbeitet wird.

Diese Muster werden auch innerhalb von Art. 26 und 28 DS-GVO verfolgt, welche die gemeinsame Verantwortlichkeit und Auftragsverarbeitung regeln. Innerhalb dieser benannten Konstellationen wird der Betroffene mit mehreren Stellen konfrontiert, die eine Datenverarbeitung vornehmen. Tritt eine Verletzung der datenschutzrechtlichen Grundsätze auf, so kann der Betroffene nach Art. 82 Abs. 1 und 2 DS-GVO seine Schadensersatzansprüche gegen den Verantwortlichen oder Auftragnehmer geltend machen. Diese Gegebenheit kann bei dem Auftragnehmer zu Unsicherheiten führen, wenn dieser seine vertraglichen Verpflichtungen gegenüber dem Verantwortlichen dokumentieren möchte (Beweissicherungsinteresse). Nicht selten würde es sich bei einer solchen Dokumentation um eine außervertragliche Verarbeitung handeln, die als datenschutzrechtlich problematisch zu bewerten wäre. Folgende Fallkonstellation zur Verdeutlichung:

Ein Auftragnehmer wird von der Personalabteilung des Auftragsgebers (Verantwortlicher) beauftragt die gesammelten Kontaktdaten in eine Datenstruktur zu konvertieren und von Duplikaten zu bereinigen. Nach Abschluss der Arbeit sollen die konvertierten Daten der Personalabteilung zugeleitet werden und die übersandten Dateien gelöscht werden. Verweigert die Personalabteilung die Annahme der Daten – da diese beispielsweise die Arbeit nicht für vertragsmäßig hält – stellt sich für den Auftragnehmer ein Problem. Will der Auftragnehmer seine Vergütungsansprüche geltend machen, so müsste dieser die Daten aufbewahren, da er die Auftragserfüllung beweisen müsste. Gleichzeitig wäre eine Aufbewahrung der Daten eine Verarbeitung, die außerhalb des Vertragszwecks liegt und folglich unrechtmäßig, da die Arbeit beendet wurde und die Daten zu löschen wären.

Ähnliche Konfliktsituationen ergeben sich, wenn ein Auftragnehmer zur Führung eines Rechtsstreites Daten von einem Unterauftragnehmer benötigen würde.

Um diesen datenschutzrechtlichen Konflikt zu lösen, wäre zu klären, ob eine vorsorgliche Aufbewahrung zu Beweissicherungszwecken durch den Auftragnehmer berechtigt sein kann, wobei ermittelt werden sollte, wer gemäß Art. 24 i. V. m. 4 Nr. 7 DS-GVO für eine solche Datenverarbeitung verantwortlich ist.

Problem bei der Zuweisung der Verantwortlichkeit bei einer Verarbeitung von Daten zur Beweissicherung

Die Frage der Verantwortlichkeit hängt stark damit zusammen, ob die Beweissicherung als Teil der Auftragsverarbeitung angesehen werden kann. Hierbei müsste eine Verpflichtung der Verarbeitung nach Art. 6 Abs. 1 lit. c DS-GVO erwachsen, die eine Verarbeitung rechtfertigt. In einigen Fällen kann es durchaus möglich sein, dass eine Verarbeitung außerhalb der Weisungsgebundenheit des Auftraggebers erfolgen kann, ohne dass datenschutzrechtliche Verpflichtungen unterwandert würden. So sieht der Art. 28 Abs. 3 S. 2 lit. a sowie der Art. 29 DS-GVO eine Ausnahme von der Weisungsgebundenheit vor, wenn der Auftragnehmer zu der abweichenden Verarbeitung durch Unionsrecht oder des Rechts der Mitgliedsstaaten verpflichtet ist. Folglich müsste sich nach dem §§ 282 Abs. 1, §§ 286 Abs. 1 ZPO i. V. m. der jeweiligen materiellen Norm eine zwingende Erforderlichkeit für eine Beweissicherung ergeben. Der Zweck der §§ 282 Abs. 1, §§ 286 Abs. 1 ZPO i. V. m. der jeweiligen materiellen Norm regelt jedoch nur die Ermittlung der Verteilung der Darlegungs- und Beweislast, woraus sich keine konkrete Erforderlichkeit einer Datenverarbeitung ableiten ließe. Dies schließt jedoch eine rechtliche Verpflichtung nicht komplett aus. Andere Normen der ZPO können eine rechtliche Verpflichtung darstellen. Hierunter fällt beispielsweise der § 253 Abs. 2 Nr. 1 ZPO, welcher die Angabe zur Bezeichnung der Parteien in der Klageschrift verlangt und somit eine konkrete Verarbeitung vorsieht. Hieraus lässt sich eine rechtliche Verpflichtung aus der ZPO ableiten, wenn eine erhöhte Wahrscheinlichkeit zu einem Rechtsstreit ermittelt werden kann. Die Verarbeitung von Daten zur Beweissicherung für die Vorbereitung eines ungewissen Rechtsstreites, reicht indes nicht aus, um eine „Verpflichtung“ nach Art. 6 Abs. 1 lit. c DS-GVO zu begründen, da es bei einer unbestimmten möglichen Anbahnung eines Rechtsstreits, aufgrund der bloßen Möglichkeit an einer konkreten Zweckgebundenheit fehlen dürfte.

Beweissicherungsinteresse – Eigene Verantwortlichkeit des Auftragnehmers?

Ein weiter Ansatzpunkt, um eine Verarbeitung zum Zweck der Beweissicherung zu begründen wäre dann gegeben, wenn es sich bei der Beweissicherung, um eine rechtmäßige Verarbeitung durch den Auftragnehmer zum eigenen Zweck handeln würde. Hierbei müsste losgelöst von der Auftragsverarbeitung, eine Verarbeitung zum eigenen Zwecken vorliegen die eine eigene Verantwortlichkeit nach Art. 4 Nr. 7 DS-GVO begründet. Der Auftragnehmer wäre somit eigener Verantwortlicher und müsste auch die rechtlichen Pflichten eines Verantwortlichen, wie unter anderem die Information der Betroffenen über deren Rechte, erfüllen.

Der Auftragnehmer könnte sich jedoch nach dieser Fallkonstellation auf den Art. 6 Abs. 1 lit. c DS-GVO berufen, wenn ein konkrete Rechtsstreitanbahnung droht. Liegt eine konkrete Rechtsanbahnung nicht vor, wäre es möglich die Beweissicherung auf ein „berechtigtes Interesse“ rechtlicher, wirtschaftlicher, tatsächlicher oder ideeller Natur gemäß Art. 6 Abs. 1 lit. f DS-GVO zu stützen.

Abwägung der Interessenslagen nach Art. 6 Abs. 1 lit. f DS-GVO

Damit ein „berechtigtes Interesse“ nach Art. 6 Abs. 1 lit. f DS-GVO festgestellt werden kann, wäre eine sog. Interessensabwägung erforderlich. Hierbei wird abgewogen, ob die Interessen der Betroffenen mehr wiegen, als die Interessen des Datenverarbeiters.

Dies würde auf den Sachverhalt der Beweissicherung angewendet bedeuten, wenn eine Verarbeitung von Daten zur Beweissicherung für einen möglichen Prozess notwendig ist, so ist deren Aufbewahrung auch „erforderlich“, da die Daten im Falle eines Rechtsstreits nicht mehr vorhanden wären. Dabei müsste stets darauf geachtet werden, ob dem Betroffenen durch die Verarbeitung Nachteile entstehen würden. Je nach Höhe der Wahrscheinlichkeit einer Rechtstreitanbahnung und der möglichen Nachteile die dem Betroffenen durch eine Beweissicherung entstehen, fällt die Bewertung zu Gunsten oder Ungunsten des Auftragnehmers aus.

Lösungsansätze und Restrisiko

Besonders bei einer Verarbeitung von besonderen sensiblen personenbezogenen Daten nach Art. 9 DS-GVO, wie beispielsweise Krankheitsdaten, oder einer geringen Wahrscheinlichkeit eines Rechtsstreites, wird mit hoher Wahrscheinlichkeit ein „berechtigtes Interesse“ unbegründet bleiben. Der Auftragnehmer sollte daher bereits vor der Beauftragung zu einer Verarbeitung zur Beweissicherung, Sicherheitsmaßnahmen treffen, um einer möglichen Beweisnot entgegenzuwirken.

Diese könnte durch eine Regelung zu Beweislastumkehr, welche auch als AGB-Regelung ausgeformt werden kann, erreicht werden. Denkbar wäre auch eine anderweitige Regelung, die an die Löschanweisung oder einen Widerspruch der betroffenen Person anknüpft.

Fazit zum Beweissicherungsinteresse des Auftragnehmers

Bezüglich der Verantwortlichkeitsabgrenzung bei der Verarbeitung aufgrund von Beweissicherungsinteresse gibt es Abgrenzungsschwierigkeiten. So kann der Auftragnehmer bei einer Verarbeitung zu Beweissicherung selbst als Verantwortlicher auftreten. Für die Rechtfertigung einer solche Verarbeitung dürfte höchstwahrscheinlich regelmäßig eine Interessensabwägung erforderlich sein.  Um Konfliktsituationen entgegenzuwirken wäre es daher ratsam, vorab Regelungen zu treffen.

Haben Sie weitere Fragen zum Beweissicherungsinteresse bei der Auftragsverarbeitung oder wollen Sie sich im Datenschutz dauerhaft besser positionieren?

Brands Consulting steht Ihnen gerne als kompetenter und fachkundiger Ansprechpartner in Sachen Datenschutz zu Seite. Kontaktieren Sie uns und/oder holen Sie sich ein unverbindliches und kostenloses sowie auf Ihre Bedürfnisse abgestimmtes Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. das Gesetz über den Kirchlichen Datenschutz (KDG)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen