Weisungsgebundenheit
Weisungsgebundenheit bezeichnet die rechtliche Pflicht eines Auftragsverarbeiters, personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. Sie ist zentrales Merkmal der Auftragsverarbeitung nach Art. 28 und 29 DSGVO.
Ausführliche Erklärung
Die Weisungsgebundenheit ist das zentrale Abgrenzungskriterium zwischen Auftragsverarbeitung und anderen datenschutzrechtlichen Konstellationen. Ein Auftragsverarbeiter darf personenbezogene Daten nur gemäß den dokumentierten Weisungen des Verantwortlichen verarbeiten. Handelt ein Dienstleister weisungsgebunden, agiert er als verlängerter Arm des Verantwortlichen, ohne eigene Entscheidungsbefugnisse über Zwecke und wesentliche Mittel der Verarbeitung zu besitzen.
Für KMU ist die korrekte Einordnung der Weisungsgebundenheit von hoher praktischer Relevanz. Liegt tatsächlich eine weisungsgebundene Verarbeitung vor, muss zwingend ein Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO geschlossen werden, der die Weisungsbefugnisse explizit regelt. Der Verantwortliche bleibt dabei in vollem Umfang für die Datenverarbeitung verantwortlich, auch wenn diese faktisch beim Auftragsverarbeiter stattfindet. Verstößt ein Auftragsverarbeiter gegen die Weisungsgebundenheit, indem er Daten zu eigenen Zwecken oder für Dritte verarbeitet, gilt er gemäß Art. 28 Abs. 10 DSGVO selbst als Verantwortlicher mit allen rechtlichen Konsequenzen.
Die Weisungsgebundenheit umfasst nicht nur die Art und Weise der technischen Verarbeitung, sondern auch Fragen wie Speicherorte, Löschfristen oder die Einbindung von Unterauftragnehmern. Weisungen müssen dokumentiert werden, wobei die konkrete Form nicht vorgeschrieben ist. Eine Ausnahme von der Weisungsgebundenheit besteht nur dann, wenn der Auftragsverarbeiter durch Unions- oder Mitgliedstaatenrecht zur Verarbeitung verpflichtet ist. In diesem Fall muss er den Verantwortlichen vor der Verarbeitung über die rechtlichen Anforderungen informieren, sofern nicht ein gesetzliches Verbot besteht.
Nicht alle Dienstleister sind Auftragsverarbeiter. Berufsgeheimnisträger wie Steuerberater, Rechtsanwälte oder Ärzte agieren kraft Berufsrecht weisungsfrei und eigenverantwortlich. Sie sind daher keine Auftragsverarbeiter, sondern eigenständig Verantwortliche. Auch bei gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO, bei der mehrere Stellen gemeinsam über Zwecke und Mittel entscheiden, fehlt es an der einseitigen Weisungsgebundenheit.
Praxisbeispiel
Ein Grazer Handelsunternehmen mit 35 Mitarbeitern lagert seine Lohn- und Gehaltsabrechnung an einen externen IT-Dienstleister aus. Das Unternehmen gibt dabei exakte Vorgaben zu Berechnungsregeln, Auszahlungsterminen und Speicherdauer. Der Dienstleister verarbeitet die Mitarbeiterdaten ausschließlich gemäß diesen dokumentierten Weisungen, ohne eigene Entscheidungsspielräume über Zweck oder wesentliche Mittel. Hier liegt klassische Weisungsgebundenheit vor, weshalb ein Auftragsverarbeitungsvertrag zwingend erforderlich ist.
Quellen
- Kurzpapier Nr. 13: Auftragsverarbeitung, Art. 28 DS-GVO - Datenschutzkonferenz
- FAQ Auftragsverarbeitung nach Artikel 28 DSGVO - Der Landesbeauftragte für den Datenschutz Niedersachsen
- Auftragsverarbeitung Orientierungshilfe - Der Bayerische Landesbeauftragte für den Datenschutz
- Wie weit geht die Weisungsgebundenheit von Auftragsverarbeitern?