Um dem gesteigerten Interesse des Auftragsverarbeiters an einer eigenen Verarbeitung personenbezogener Daten \u2013 wie zur Produktverbesserungen oder Entwicklung neuer Dienstleistungen \u2013 zu begegnen, hat die franz\u00f6sische Datenschutzbeh\u00f6rde CNIL im Januar Richtlinien ver\u00f6ffentlicht, nach denen eine solche Weiterverarbeitung rechtm\u00e4\u00dfig erfolgen kann.
Nach Ansicht der CNIL kann der Verantwortliche dem Auftragsverarbeiter unter bestimmten Voraussetzungen die Weiterverarbeitung f\u00fcr eigene Zwecke erlauben. Daf\u00fcr muss der Verantwortliche im Rahmen eines \u201eKompatibilit\u00e4tstests\u201c f\u00fcr jede konkrete Datenweiterverarbeitung \u00fcberpr\u00fcfen, ob die Weiterverarbeitung mit dem Zweck vereinbar ist, f\u00fcr den die Daten urspr\u00fcnglich erhoben wurden. Die Erlaubnis muss analog zur Auftragsverarbeitungsvereinbarung schriftlich erfolgen. Die Informationspflicht hinsichtlich der geplanten Weiterverarbeitung trifft den urspr\u00fcnglichen Verantwortlichen, der diese aber auch an den Auftragsverarbeiter (und nunmehr \u201eVerantwortlicher f\u00fcr die Weiterverarbeitung\u201c) delegieren kann. Letztlich wird dieser f\u00fcr die Weiterverarbeitung der Daten selbst zum Verantwortlichen und hat die Einhaltung der DSGVO f\u00fcr diese Verarbeitung sicherzustellen.
Die CNIL st\u00fctzt die Erlaubnis der Weiterverarbeitung haupts\u00e4chlich auf die selten zitierte Regelung zur so genannten Zweck\u00e4nderung in Art. 6 Abs. 4 DSGVO. Als Begr\u00fcndung kn\u00fcpft die CNIL hier lediglich an den Wortlaut der Norm an, der eine Weiterverarbeitung von Daten grunds\u00e4tzlich nach einem \u201eKompatibilit\u00e4tstest\u201c gestattet. Im \u00dcbrigen verlangt sie die Einhaltung der weiteren Normen zur Auftragsdatenverarbeitung wie Textform der Vereinbarung nach Art. 28 Abs. 9 DSGVO, aber auch die Einhaltung der Informationspflicht gegen\u00fcber den Betroffenen nach den Artt. 13 f. DSGVO.
Offen bleibt, wie die CNIL den hier entstehenden Konflikt mit der Systematik der DSGVO l\u00f6st, die eine Anwendung des Art. 6 Abs. 4 DSGVO auf Auftragsverarbeiter eigentlich nicht vorsieht. Folgt man den Richtlinien, so ist das Endergebnis ein ehemaliger Auftragsverarbeiter, der zwar mit Erlaubnis, aber dennoch weisungsfrei als neuer Verantwortlicher gegen\u00fcber den Betroffenen auftritt.
Das verst\u00f6\u00dft einerseits gegen den Grundsatz des Art. 28 Abs. 3 S. 2 DSGVO, nachdem Auftragsverarbeiter nur unter Aufsicht und auf Weisung t\u00e4tig werden d\u00fcrfen und verwundert andererseits und insbesondere im Hinblick auf Art. 28 Abs. 10 DSGVO. Hiernach gilt es w\u00f6rtlich als \u201eVersto\u00df gegen die Verordnung\u201c, wenn ein Auftragsverarbeiter die Zwecke und Mittel der Verarbeitung selbst bestimmt.
Dem kann eigentlich auch kaum entgegengehalten werden, dass der urspr\u00fcngliche Verantwortliche hierf\u00fcr seine Erlaubnis erteilt hat und der neue Verantwortliche (Ex-Auftragsverarbeiter) im Rahmen einer Weisung handelt. Hierbei handelt es sich um eine Vertragsgestaltung, die dem Auftragsverarbeiter Rechte einr\u00e4umt, die in der DSGVO so nicht vorgesehen wurden. Die eigentliche Folge w\u00e4re demnach ein Versto\u00df gegen die DSGVO.
Es bleibt abzuwarten, wie weitere europ\u00e4ische Aufsichtsbeh\u00f6rden auf diesen L\u00f6sungsvorschlag der CNIL reagieren. Jedenfalls besteht ein gro\u00dfes und wohl auch berechtigtes Interesse der Auftragsverarbeiter an einer Verarbeitung personenbezogener Daten zum eigenen Zweck \u2013 im Hinblick auf die eher schwache dogmatische Begr\u00fcndung sind die Richtlinien der CNIL wohl zun\u00e4chst mit etwas Vorsicht zu genie\u00dfen.
Dr. Lukas Mezger, UNVERZAGT Rechtsanw\u00e4lte<\/p>\n","protected":false},"excerpt":{"rendered":"
Um dem gesteigerten Interesse des Auftragsverarbeiters an einer eigenen Verarbeitung personenbezogener Daten \u2013 wie zur Produktverbesserungen oder Entwicklung neuer Dienstleistungen \u2013 zu<\/p>\n