Jusletter IT

Die Inanspruchnahme des Auftragsverarbeiters durch die Aufsichtsbehörde – Der datenschutzrechtliche Satz des Pythagoras

  • Authors: Stefan Hessel / Lena Leffer / Karin Potel
  • Category of articles: Data Protection
  • Category: Articles
  • Region: Germany
  • Field of law: Data Protection
  • Collection: Conference proceedings IRIS 2020
  • DOI: 10.38023/07eae39f-46ae-42ae-a79e-36dddd3e0c77
  • Citation: Stefan Hessel / Lena Leffer / Karin Potel, Die Inanspruchnahme des Auftragsverarbeiters durch die Aufsichtsbehörde – Der datenschutzrechtliche Satz des Pythagoras, in: Jusletter IT 28. Februar 2020
Der Beitrag untersucht das Verhältnis zwischen den Verfahrensbeteiligten der DSGVO bei der Inanspruchnahme durch die Aufsichtsbehörde. Dabei kommt er durch Auslegung der einschlägigen unionsrechtlichen Vorschriften sowie des deutschen Verfahrensrechts zu dem Ergebnis, dass der Aufsichtsbehörde kein Wahlrecht hinsichtlich der Inanspruchnahme von Verantwortlichem und Auftragsverarbeiter zukommt. Vielmehr ergibt sich aus dem Verhältnis zwischen Aufsichtsbehörde und Verantwortlichem einerseits und dem Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter andererseits, dass eine Inanspruchnahme des Auftragsverarbeiters an besondere Voraussetzungen geknüpft ist.

Inhaltsverzeichnis

  • 1. Problemstellung
  • 2. Die Verfahrensbeteiligten der DSGVO
  • 2.1. Aufsichtsbehörde
  • 2.2. (Gemeinsamer) Verantwortlicher
  • 2.3. Auftragsverarbeiter
  • 3. Verhältnisse zwischen den Beteiligten
  • 3.1. Aufsichtsbehörde – (Gemeinsamer) Verantwortlicher
  • 3.2. (Gemeinsamer) Verantwortlicher – Auftragsverarbeiter
  • 3.3. Streitfrage: Aufsichtsbehörde – Auftragsverarbeiter
  • 3.3.1. Wortlaut
  • 3.3.2. Historie
  • 3.3.3. Systematik
  • 3.3.4. Sinn und Zweck
  • 3.3.5. Nationales Recht
  • 3.3.5.1. Anhörungsrecht des Verantwortlichen bei Maßnahmen gegen den Auftragsverarbeiter
  • 3.3.5.2. Adressatenauswahl
  • 4. Ergebnis: Der datenschutzrechtliche Satz des Pythagoras
  • 5. Danksagung

1.

Problemstellung ^

[1]

Den Aufsichtsbehörden kommt nach dem Willen des Gesetzgebers eine zentrale Rolle innerhalb der Datenschutzgrundverordnung (DSGVO) zu.1 Er hat ihnen in Art. 57 und Art. 58 DSGVO zahlreiche Aufgaben und Befugnisse übertragen, mit denen die Umsetzung und Einhaltung der DSGVO gewährleistet werden soll. Den Aufsichtsbehörden stehen dazu unter anderem die in Art. 58 DSGVO aufgeführten Maßnahmen zur Verfügung, die sich überwiegend sowohl gegen den Verantwortlichen als auch gegen den Auftragsverarbeiter richten können. Der Wortlaut des Gesetzes lässt dabei zunächst offen, gegen wen die Aufsichtsbehörde primär ihre Maßnahmen zu richten hat. Es ist daher fraglich, ob der Aufsichtsbehörde bei der Auswahl des Adressaten ihrer Maßnahme ein Wahlrecht zukommt. Problematisch bei der Auswahl ist, ob beide Verfahrensbeteiligten gleichermaßen in Anspruch genommen werden können oder ob eine Inanspruchnahme des Auftragsverarbeiters zunächst eine erfolglose Inanspruchnahme des Verantwortlichen voraussetzt. Der vorliegende Beitrag erläutert zunächst die Grundkonzeption der oben genannten Beteiligten der DSGVO. Im Anschluss daran werden die Verhältnisse der Verfahrensbeteiligten zueinander dargestellt. Schwerpunkt bildet hier die Betrachtung des unklaren Verhältnisses zwischen Aufsichtsbehörde und Auftragsverarbeiter.

2.

Die Verfahrensbeteiligten der DSGVO ^

[2]

In der DSGVO sind für die Verarbeitung personenbezogener Daten verschiedene Verfahrensbeteiligte angelegt. Diesen kommen unterschiedliche Rechte und Pflichten zu. Um das Verhältnis dieser differenziert darstellen zu können, werden im Folgenden zunächst deren Zuständigkeit, Aufgaben und Befugnisse erläutert.

2.1.

Aufsichtsbehörde ^

[3]

Die Aufsichtsbehörden werden nach Art. 54 Abs. 1 lit. a DSGVO durch die Mitgliedstaaten errichtet. Es handelt sich nach Art. 51 Abs. 1 DSGVO um eine oder mehrere unabhängige Behörden, die für die Überwachung der Anwendung der DSGVO zuständig sind. Ihr Ziel ist der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung von personenbezogenen Daten sowie der freie Verkehr dieser Daten in der Europäischen Union.2 Ihre Befugnisse gegenüber dem Verantwortlichen und dem Auftragsverarbeiter ergeben sich aus Art. 58 DSGVO. Dabei wird zwischen Untersuchungs- und Abhilfebefugnissen unterschieden, die in Art. 58 Abs. 1 beziehungsweise Abs. 2 DSGVO geregelt sind.3 Im Rahmen ihrer Untersuchungsbefugnis wird der Aufsichtsbehörde beispielsweise nach Art. 58 Abs. 1 lit. d DSGVO die Aufgabe zuteil, den Verantwortlichen oder den Auftragsverarbeiter auf einen Verstoß gegen die DSGVO hinzuweisen. Weiterhin kann sie nach Art. 58 Abs. 2 lit. e DSGVO Zugang zu allen Daten und Informationen fordern, die sie zur Erfüllung ihrer Aufgaben benötigt. Ein Beispiel für eine Abhilfebefugnis findet sich in Art. 58 Abs. 2 lit. c DSGVO. Danach kann die Aufsichtsbehörde den Verantwortlichen und den Auftragsverarbeiter anweisen, Anträgen von Betroffenen zu entsprechen.

2.2.

(Gemeinsamer) Verantwortlicher ^

[4]

Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Liegt ein Fall der gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 1 Satz 1 DSGVO vor, wird das Verhältnis der Verantwortlichen untereinander durch Vereinbarung geregelt. Betroffene können jedoch gemäß Art. 26 Abs. 3 DSGVO ihre Rechte weiterhin gegenüber jedem Verantwortlichen geltend machen. Die im Innenverhältnis getroffenen Regelungen sind folglich für das Außenverhältnis unbeachtlich.4 Gleiches gilt gemäß Art. 82 Abs. 4 DSGVO auch in Bezug auf die Haftung.

2.3.

Auftragsverarbeiter ^

[5]

Auftragsverarbeiter ist gemäß Art. 4 Nr. 8 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Im Einzelfall ist es jedoch möglich, dass ein Auftragsverarbeiter selbst zum Verantwortlichen wird. Unbeschadet der Art. 82, Art. 83 und Art. 84 DSGVO gilt ein Auftragsverarbeiter, der unter Verstoß gegen die DSGVO die Zwecke und Mittel der Verarbeitung bestimmt, gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher. In diesen Fällen des eigenmächtigen Handelns spricht man von einem sogenannten Aufgabenexzess.5 Ebenso gilt der Auftragsverarbeiter im Falle der Unterauftragsverarbeitung nach Art. 28 Abs. 4 DSGVO als Verantwortlicher gegenüber dem Unterauftragsverarbeiter.6

3.

Verhältnisse zwischen den Beteiligten ^

[6]

Fraglich bleibt jedoch, in welchem Verhältnis die Verfahrensbeteiligten zueinanderstehen.

3.1.

Aufsichtsbehörde – (Gemeinsamer) Verantwortlicher ^

[7]

Das Verhältnis zwischen Aufsichtsbehörde und Verantwortlichen ergibt sich gleichermaßen aus Art. 58 und Art. 24 DSGVO. Nach Art. 24 Abs. 1 Satz 1 DSGVO hat der Verantwortliche sicherzustellen und gegebenenfalls nachzuweisen, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Daraus ergibt sich eine klare datenschutzrechtliche Verpflichtung des Verantwortlichen gegenüber der Aufsichtsbehörde.7 Folglich kann die Aufsichtsbehörde die aus Art. 58 DSGVO resultierenden Maßnahmen stets gegen den Verantwortlichen richten. Fraglich ist jedoch, ob dies gleichermaßen für gemeinsame Verantwortliche gilt. Für die Aufsichtsbehörde besteht insoweit – im Gegensatz zur Rechtewahrnehmung durch den Betroffenen nach Art. 26 Abs. 3 DSGVO – keine Regelung für die Inanspruchnahme jedes einzelnen Verantwortlichen. Bei der Regelung des Art. 26 Abs. 3 DSGVO handelt es sich jedoch um eine Schutzvorschrift zugunsten des Betroffenen.8 Diese soll verhindern, dass die Rechtewahrnehmung durch den Betroffenen mit der Angabe einer einzelnen Anlaufstelle nach Art. 26 Abs. 1 Satz 3 DSGVO behindert wird. Art. 26 Abs. 1 DSGVO sieht hinsichtlich der Verantwortlichkeit gegenüber der Aufsichtsbehörde jedoch gerade keine abweichende Vereinbarung vor. Daher bleibt jeder der gemeinsamen Verantwortlichen gegenüber der Aufsichtsbehörde datenschutzrechtlich verpflichtet und kann grundsätzlich Adressat der Maßnahme sein. Insgesamt ergeben sich für die Inanspruchnahme durch die Aufsichtsbehörde im Vergleich zum Einzelverantwortlichen keine Abweichungen.

Abbildung 1: Das Verhältnis zwischen Aufsichtsbehörde und gemeinsamen Verantwortlichen lässt sich in einem Dreiecksverhältnis visualisieren.

3.2.

(Gemeinsamer) Verantwortlicher – Auftragsverarbeiter ^

[8]

Das Verhältnis von Verantwortlichem und Auftragsverarbeiter wird maßgeblich durch Art. 28 und Art. 29 DSGVO bestimmt. Nach Art. 28 Abs. 3 Satz 1 DSGVO erfolgt die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrages mit dem Verantwortlichen. Neben der Vielzahl an Regelungen in Art. 28 Abs. 3 Satz 2 DSGVO ist das zentrale Element die sich aus Art. 28 Abs. 3 Satz 2 lit. a DSGVO in Verbindung mit Art. 29 DSGVO ergebende Weisungsbefugnis des Verantwortlichen gegenüber dem Auftragsverarbeiter. Aus dieser Weisungsbefugnis und der insoweit eingeschränkten Verantwortung für die Verarbeitung folgt ein datenschutzrechtliches Unterordnungsverhältnis des Auftragsverarbeiters gegenüber dem Verantwortlichen.9 Unterbrochen wird dieses Unterordnungsverhältnis lediglich im Falle des Aufgabenexzesses.10

3.3.

Streitfrage: Aufsichtsbehörde – Auftragsverarbeiter ^

[9]

Während die oben erläuterten Beziehungen der Verfahrensbeteiligten wenigstens im hier dargestellten Umfang geklärt sind, bedarf das Verhältnis von Aufsichtsbehörde und Auftragsverarbeiter einer genaueren Betrachtung. Insoweit legt Art. 31 DSGVO zunächst fest, dass der Verantwortliche und der Auftragsverarbeiter sowie etwaige Vertreter zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet sind. Daraus lässt sich jedoch nicht schlussfolgern, wer vorrangig durch die Aufsichtsbehörde in Anspruch zu nehmen ist oder ob der Aufsichtsbehörde diesbezüglich ein Wahlrecht zukommt. Auch in Art. 58 DSGVO findet sich auf diese Frage keine Antwort, was eine Auslegung des Gesetzes erforderlich macht. Dabei ist sowohl das nationale als auch das Unionsrecht heranzuziehen.11 Das nationale Verfahrensrecht wird regelmäßig durch Unionsrecht determiniert.12 Grund hierfür ist die Verpflichtung der Mitgliedstaaten der Europäischen Union zur effektiven Umsetzung des Unionsrechts, die sich aus Art. 4 Abs. 3 des Vertrages über die Europäische Union (EUV) sowie aus Art. 58 Abs. 4 DSGVO ergibt. Insofern erscheint es zunächst sinnvoll, den durch das Europäische Recht gesetzten Handlungsspielraum der Aufsichtsbehörde nach Art. 58 DSGVO einer Auslegung zu unterziehen.

3.3.1.

Wortlaut ^

[10]

Eine Auslegung nach dem Wortlaut von Art. 58 DSGVO ist zunächst wenig aufschlussreich. So spricht der Gesetzestext zwar mehrfach davon, dass die Aufsichtsbehörde den Verantwortlichen oder den Auftragsverarbeiter anweisen kann. Daraus lässt sich jedoch nicht schlussfolgern, dass die Norm der Behörde ein Wahlrecht einräumt. Es ist nämlich ebenso denkbar, dass die Vorschrift zwei gesonderte Alternativen beinhaltet und die Aufsichtsbehörde bei Verstößen lediglich denjenigen auswählen kann, der den Verstoß begangen hat. Dies lässt sich auch nicht unter Heranziehung der Einleitung von Art. 58 Abs. 1 und Abs. 2 DSGVO entkräften. Denn aus der Formulierung, dass jede Aufsichtsbehörde «über sämtliche folgenden [...]befugnisse» verfügt, lässt sich sprachlich nicht zweifelsfrei ableiten, dass die Aufsichtsbehörde in jedem Fall sämtliche Mittel ausschöpfen darf. Im Ergebnis lässt der Wortlaut des Art. 58 DSGVO daher beide Auslegungsalternativen zu.

3.3.2.

Historie ^

[11]

Der Verordnungsgeber hat sich in EG 129 DSGVO zu den Befugnissen der Aufsichtsbehörden geäußert. Er trägt ihnen darin auf, ihre Befugnisse unparteiisch, gerecht und innerhalb einer angemessenen Frist auszuüben. Dies beinhaltet nach EG 129 DSGVO ein Anhörungsrecht für Personen, die von einer individuellen, nachteiligen Maßnahme der Aufsichtsbehörde berührt sind. Ein solches Anhörungsrecht kann dem Verantwortlichen auch bei unmittelbaren Maßnahmen der Aufsichtsbehörde gegen den Auftragsverarbeiter zustehen. Dies ist insbesondere der Fall, wenn der Verantwortliche bei Maßnahmen der Aufsichtsbehörde gegen den Auftragsverarbeiter einen Nachteil dergestalt erleidet, dass er die Datenverarbeitung nicht mehr im bisherigen Umfang durchführen kann. Darüber hinaus hat der Verordnungsgeber in EG 129 DSGVO ein Verhältnismäßigkeitsprinzip festgehalten, wonach Maßnahmen der Aufsichtsbehörden zur Einhaltung der DSGVO geeignet, erforderlich und verhältnismäßig sein sollen. Dies entspricht dem gemeineuropäischen Verständnis des Verhältnismäßigkeitsgrundsatzes, der auch von EuGH und EGMR geteilt wird.13 Vor diesem Hintergrund ist fraglich, was das Verhältnismäßigkeitsprinzip für die Beziehung zwischen Aufsichtsbehörde und Auftragsverarbeiter bedeutet. Bei Maßnahmen der Aufsichtsbehörde gegen den Auftragsverarbeiter stellt sich insoweit zunächst die Frage der Geeignetheit der behördlichen Maßnahme. Geeignet ist eine Maßnahme, wenn das von der Aufsichtsbehörde verfolgte Ziel mit der Maßnahme erreicht werden kann.14 Entscheidend dafür ist, ob die Beseitigung des datenschutzrechtlichen Missstandes in der Sphäre des Auftragsverarbeiters liegt. Ein Beispiel dafür ist die Vernachlässigung von Informationspflichten gegenüber dem Betroffenen, wenn der Auftragsverarbeiter nicht über alle notwendigen Informationen zur Pflichterfüllung verfügt. In diesem Fall ist nur eine Maßnahme gegen den Verantwortlichen Erfolg versprechend und damit geeignet. Eine weitere Hürde bei der Inanspruchnahme des Auftragsverarbeiters ergibt sich aus der Erforderlichkeit der Maßnahme. Die Erforderlichkeit der Maßnahme steht dabei der Verpflichtung des Verantwortlichen aus Art. 24 DSGVO spiegelbildlich gegenüber. Daraus ergibt sich, dass jede Maßnahme erforderlich ist, die dazu führt, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt und in einem angemessenen Verhältnis zu dem durch sie verursachten Aufwand steht.15 Aus der grundsätzlichen datenschutzrechtlichen Verpflichtung des Verantwortlichen nach Art. 24 DSGVO sowie der untergeordneten Rolle des Auftragsverarbeiters ergibt sich, dass die Inanspruchnahme des Letzteren jedenfalls einen Ausnahmefall darstellen muss. Dies folgt auch aus dem Umstand, dass sich nur auf diese Weise sicherstellen lässt, dass sich der Verantwortliche nicht eines neuen Auftragsverarbeiters zu seiner rechtswidrigen Datenverarbeitung bedient. Eine Inanspruchnahme des Auftragsverarbeiters kommt daher nur aus Gründen der Effektivität in Betracht.16 Ein solcher liegt beispielsweise vor, wenn der datenschutzrechtliche Missstand klar in der Sphäre des Auftragsverarbeiters liegt oder eine Inanspruchnahme des Verantwortlichen aus anderen Gründen nicht Erfolg versprechend ist. Ein Beispiel für Ersteres ist die Vernachlässigung von technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter. In diesem Fall ist eine Maßnahme gegen den Verantwortlichen zwar geeignet, da dieser auf den Auftragsverarbeiter einwirken oder die Verarbeitung einstellen kann. Eine Maßnahme gegen den Auftragsverarbeiter ist jedoch grundsätzlich eher zu einer direkten Behebung des Missstandes geeignet. Dies gilt insbesondere in Fällen, in denen der Auftragsverarbeiter Daten für eine Vielzahl von Verantwortlichen verarbeitet, etwa ein Rechenzentrumsbetreiber. Darüber hinaus kann eine Inanspruchnahme des Auftragsverarbeiters geboten sein, wenn der Verantwortliche unbekannt oder nicht auffindbar ist, sowie wenn er den Maßnahmen der Behörde nicht oder nicht rechtzeitig nachkommt. Ein denkbares Szenario dafür ist ein im EU-Ausland ansässiger Verantwortlicher, der eine rechtswidrige Datenverarbeitung bei einem Auftragsverarbeiter innerhalb der EU durchführen lässt und der juristische Zugriff auf den Verantwortlichen einen unverhältnismäßigen Aufwand bedeuten würde. Aus EG 129 DSGVO lässt sich folglich zusammenfassend ableiten, dass eine Inanspruchnahme des Auftragsverarbeiters nur in Ausnahmefällen in Betracht kommt.

3.3.3.

Systematik ^

[12]

Auch systematische Gesichtspunkte legen nahe, dass sich die Aufsichtsbehörde zunächst an den Verantwortlichen wenden muss. Dafür lässt sich zunächst die Regelung des Art. 33 Abs. 2 DSGVO anführen. Diese folgt dem Stufenverhältnis zwischen Auftragsverarbeiter und Verantwortlichem und sieht eine Meldung von Datenschutzverstößen nicht unmittelbar an die Aufsichtsbehörde, sondern an den Verantwortlichen vor. Im Umkehrschluss muss die Aufsichtsbehörde ihre Maßnahmen bei Verstößen gegen die Meldepflicht vorrangig an den Verantwortlichen richten. Ein weiteres Argument für die genannte These kann aus dem Recht auf Löschung nach Art. 17 DSGVO in Verbindung mit dem Weisungsrecht der Aufsichtsbehörde nach Art. 58 Abs. 2 lit. c DSGVO hergeleitet werden. Das Recht auf Löschung steht dem Betroffenen gemäß Art. 17 Abs. 1 DSGVO nur gegen den Verantwortlichen beziehungsweise gegen gemeinsame Verantwortliche (Art. 26 Abs. 3 DSGVO) zu. Ohne Involvierung der Aufsichtsbehörde hat der Verantwortliche bei berechtigtem Löschungsanspruch in Ausübung seines Weisungsrechts die Löschung bei seinem Auftragsverarbeiter zu veranlassen.17 Wird das Recht auf Löschung des Betroffenen nun Gegenstand eines Verfahrens bei der Aufsichtsbehörde ist es naheliegend davon auszugehen, dass diese – zumindest in einem ersten Schritt – eine Durchsetzung beim Verantwortlichen verfolgen muss. Die Betrachtung der Gesetzessystematik stützt insoweit ebenfalls die oben zur historischen Auslegung dargestellte Auffassung.

3.3.4.

Sinn und Zweck ^

[13]

Ziel von Art. 58 DSGVO als zentrale Befugnisnorm der Aufsichtsbehörde ist es, Datenschutzverstöße wirksam abzustellen. Davon ausgehend erscheint es zunächst sinnvoll, dass der Aufsichtsbehörde ein Wahlrecht zwischen der Inanspruchnahme des Verantwortlichen und des Auftragsverarbeiters zukommt. Allerdings besteht bei einer Inanspruchnahme des Auftragsverarbeiters – wie bereits oben zur Historie dargelegt – die Gefahr, dass der datenschutzrechtliche Missstand nicht dauerhaft beseitigt wird. Gerade in diesem Fall wäre die angestrebte effektive Durchsetzung des Datenschutzrechts jedoch gefährdet oder gar vereitelt. Der Sinn und Zweck des Art. 58 DSGVO spricht insofern ebenfalls für ein abgestuftes Vorgehen bei der Inanspruchnahme von Verantwortlichem und Auftragsverarbeiter.

3.3.5.

Nationales Recht ^

[14]

Fraglich ist, ob sich aus diesem europarechtlichen Erfordernis eines abgestuften Vorgehens ein Widerspruch zum nationalen Recht ergibt. Dies wird im Folgenden anhand des nach § 1 Abs. 3 BDSG einschlägigen deutschen Verwaltungsverfahrensrechts untersucht. Nach diesem stellt eine aufsichtsbehördliche Maßnahme einen Verwaltungsakt im Sinne von § 35 Satz 1 Verwaltungsverfahrensgesetz des Bundes (VwVfG) dar.18

3.3.5.1.
Anhörungsrecht des Verantwortlichen bei Maßnahmen gegen den Auftragsverarbeiter ^
[15]

Insoweit könnte dem Verantwortlichen auch bei unmittelbarer Inanspruchnahme des Auftragsverarbeiters gemäß § 28 Abs. 1 VwVfG ein Recht auf Anhörung zukommen. Allerdings sieht das deutsche Recht eine Anhörung nur zu Gunsten der Verfahrensbeteiligten nach § 13 Abs. 1 und Abs. 2 VwVfG vor. Eine Beteiligung des Verantwortlichen könnte sich zunächst aus § 13 Abs. 1 Nr. 2 VwVfG ergeben, sofern man davon ausgeht, dass der Verantwortliche auch in diesem Fall als Adressat im Sinne des VwVfG anzusehen ist. Adressat ist jedoch nur derjenige, gegen den sich der geplante oder erlassene Verwaltungsakt richtet.19 Wer, wie im vorliegenden Fall, lediglich im Wege der Drittwirkung in seinen Rechten betroffen ist, ist nicht Beteiligter im Sinne von § 13 Abs. 1 Nr. 2 VwVfG. Sodann könnte sich die Beteiligteneigenschaft des Verantwortlichen aus § 13 Abs. 2 VwVfG ergeben. Insoweit ist zwischen der einfachen Hinzuziehung nach § 13 Abs. 2 Satz 1 VwVfG und der notwendigen Hinzuziehung nach § 13 Abs. 2 Satz 2 VwVfG zu unterscheiden. Im Fall der notwendigen Hinzuziehung kommt der handelnden Behörde kein Ermessen zu.20 Eine solche liegt jedoch nur vor, wenn die behördliche Maßnahme gegenüber dem Dritten (hier des Verantwortlichen) eine rechtsgestaltende Wirkung entfaltet.21 Rechtsgestaltend ist die Maßnahme, wenn durch sie unmittelbar Rechte des Dritten begründet, aufgehoben oder geändert werden.22 Dies deckt sich bei europarechtskonformer Auslegung mit dem Anhörungsrecht aus EG 129 DSGVO.

3.3.5.2.
Adressatenauswahl ^
[16]

Fraglich ist, ob die oben herausgearbeitete Adressatenauswahl nach europäischem Recht im Widerspruch zum deutschen Recht steht. Nach deutschem Recht richtet sich die Adressatenauswahl nach § 40 VwVfG. Dieser räumt der handelnden Behörde grundsätzlich ein Ermessen ein, das auch die Auswahl des Adressaten umfasst.23 Dieses Ermessen kann in Ausnahmefällen unter anderem durch die Anwendung des Grundsatzes der Verhältnismäßigkeit auf Null reduziert sein.24 Der Grundsatz der Verhältnismäßigkeit im deutschen Recht sieht vor, dass eine behördliche Maßnahme geeignet, erforderlich und angemessen sein muss.25 Insoweit ergibt sich nicht nur eine nahezu wörtliche Übereinstimmung mit den Grundsätzen des EG 129 DSGVO, sondern insbesondere bei der gebotenen europarechtsfreundlichen Auslegung auch eine inhaltliche.

[17]

Im Ergebnis lässt sich daher festhalten, dass das deutsche Recht über ausreichende Instrumente verfügt, um die von der DSGVO geforderte abgestufte Inanspruchnahme von Verantwortlichem und Auftragsverarbeiter umzusetzen.

4.

Ergebnis: Der datenschutzrechtliche Satz des Pythagoras ^

[18]

Aus der hier vorgenommen Auslegung der DSGVO ergibt sich, dass eine unmittelbare Inanspruchnahme des Auftragsverarbeiters ohne vorherige Anhörung des Verantwortlichen unzulässig ist. Unabhängig von der Notwendigkeit einer Anhörung wird die Aufsichtsbehörde jedoch regelmäßig zunächst den Verantwortlichen in Anspruch nehmen müssen. Dies entspricht nicht nur der Systematik der DSGVO, die dem Auftragsverarbeiter eine nachrangige Rolle zuweist, sondern auch dem Sinn und Zweck der Regelung. Auf diese Weise werden Datenschutzverstöße wirksam an ihrer Quelle bekämpft. Für eine vorrangige Inanspruchnahme des Verantwortlichen spricht ferner, dass dieser – im Gegensatz zum Auftragsverarbeiter – eine umfassende Kenntnis über die Datenverarbeitung und ihre Rechtsgrundlage hat. Er ist dadurch in der Lage, die Rechtmäßigkeit der Datenverarbeitung umfassend gegenüber der Aufsichtsbehörde nachzuweisen. Insoweit bleibt die Inanspruchnahme des Auftragsverarbeiters ein Ausnahmefall. In theoretischer Hinsicht kann daraus abgeleitet werden, dass aus den bekannten Verhältnissen zwischen Aufsichtsbehörde und Verantwortlichem sowie zwischen Verantwortlichem und Auftragsverarbeiter auf das unbekannte Verhältnis zwischen Aufsichtsbehörde und Auftragsverarbeiter geschlossen werden kann. Dieser Gedankengang – von zwei Bekannten auf eine Unbekannte zu schließen – ist der Wissenschaft nicht fremd. Er findet sich beispielsweise in der Mathematik beim Satz des Pythagoras, dessen Grundessenz insoweit auf das Datenschutzrecht übertragen werden kann. Doch die Beziehung zwischen Aufsichtsbehörde und Auftragsverarbeiter ist längst nicht die letzte noch nicht abschließend geklärte Frage rund um die Handlungsbefugnisse der Aufsichtsbehörden. In diesem Zusammenhang stellt sich beispielsweise die Frage, inwieweit der Aufsichtsbehörde ein Wahlrecht hinsichtlich des Tätigwerdens bei mehreren Verstößen unterschiedlicher Verantwortlicher zukommt oder woran dieses geknüpft ist.

Abbildung 2: Aus dem Verhältnis zwischen Aufsichtsbehörde und Verantwortlichem einerseits sowie dem Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter andererseits lässt sich das Verhältnis zwischen Aufsichtsbehörde und Auftragsverarbeiter ableiten.

5.

Danksagung ^

[19]

Dieser Beitrag wurde durch das Projekt «EVAREST» im Rahmen einer strategischen Einzelförderung des Bundeswirtschaftsministeriums finanziert. Weitere Informationen zum Forschungsvorhaben finden Sie unter www.evarest.de.

  1. 1 Vgl. Erwägungsgrund (EG) 117 DSGVO.
  2. 2 Vgl. EG 123 DSGVO in Verbindung mit Art. 51 Abs. 1 DSGVO.
  3. 3 Auf die in Art. 58 Abs. 3 DSGVO genannten Genehmigungs- und Beratungsbefugnisse sei hier ergänzend hingewiesen.
  4. 4 Schreiber, Gemeinsame Verantwortlichkeit gegenüber Betroffenen und Aufsichtsbehörden, ZD 2019, S. 55 (S. 58).
  5. 5 Martini, in: Paal/Pauly (Hrsg.), Kommentar DSGVO /BDSG, 2. Auflage, C.H.BECK, München 2018, Art. 28 DSGVO, Rn. 76 f.
  6. 6 Hartung, in: Kühling/Buchner (Hrsg.), Kommentar Datenschutz-Grundverordnung/BDSG, 2. Auflage, C.H.BECK, München 2018, Art. 28 DSGVO, Rn. 39.
  7. 7 Vgl. EG 79 DSGVO.
  8. 8 Bertermann, in: Ehmann/Selmayr (Hrsg.), Beck’sche Kurz-Kommentare DS-GVO, 2. Auflage, C.H.Beck, München 2018, Art. 26 DSGVO, Rn. 1.
  9. 9 Martini, in: Paal/Pauly (Fn. 5), Art. 29 DSGVO, Rn. 13.
  10. 10 Vergleiche Gliederungspunkt 2.3.
  11. 11 Schreiber, Gemeinsame Verantwortlichkeit gegenüber Betroffenen und Aufsichtsbehörden, ZD 2019, S. 55 (S. 59).
  12. 12 Selmayr, in: Ehmann/Selmayr (Fn. 8), Art. 58 DSGVO, Rn. 33.
  13. 13 Peuker, in: Sydow (Hrsg.), Handkommentar Europäische Datenschutzgrundverordnung, 2. Auflage, Nomos, Baden-Baden 2018, Art. 23 DSGVO, Rn. 42.
  14. 14 Brink, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 29. Edition, Stand 01.08.2019, C.H.BECK, München 2019, DSGVO Syst. C., Verfassungsrechtliche Grundlagen, Rn. 110.
  15. 15 Raschauer, in: Sydow (Fn. 13), Art. 24 DSGVO, Rn. 31 f.
  16. 16 Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Kommentar Datenschutzrecht, Nomos, Baden-Baden 2019, Art. 58 DSGVO, Rn. 6.
  17. 17 Peuker, in: Sydow (Fn. 13), Art. 17 DSGVO, Rn. 11.
  18. 18 Polenz, in: Simitis/Hornung/Spiecker gen. Döhmann (Fn. 16), Art. 58 DSGVO, Rn. 7.
  19. 19 Gerstner-Heck, in: Bader/Ronellenfitsch, BeckOK VwVfG, 44. Edition, Stand 01.07.2019, C.H.Beck, München 2019, § 13 VwVfG, Rn. 10.
  20. 20 Ebenda, Rn. 19 ff.
  21. 21 Ebenda.
  22. 22 Ebenda.
  23. 23 Aschke, in: Bader/Ronellenfitsch (Fn. 19), § 40 VwVfG, Rn. 6 ff.
  24. 24 Ebenda, Rn. 74.
  25. 25 Ebenda, Rn. 55.