Keine AV-Pflicht bei TK-Anbietern und Post, wohl aber bei TK-Cloudanbietern

1. Postdienstleistungen

 

Rechtsgrundlage der Verarbeitung bei Postdienstleistern

Die Rechtsgrundlagen für die Datenverarbeitung ergeben sich grundsätzlich aus dem Artikel 6 DGSVO, hier besonders durch a) Einwilligung der betroffenen Person sowie b) Verarbeitung in Erfüllung eines Vertrages. Diese Regelungen werden für Sendungen unter 20 kg durch das Postgesetz § 41 in Kombination mit der Postdienste-Datenschutzverordnung § 3 präzisiert. Demnach dürfen Postdienstanbieter im Zusammenhang mit der Erbringung von Postdiensten personenbezogene Daten der am Postverkehr Beteiligten erheben, verarbeiten und nutzen.

 

Sind Postdienstleistungen Auftragsverarbeitungen nach Art. 28 DSGVO?

Das Beauftragen von Postdienstleistungen sowie die Weitergabe von Daten zwischen den Kurier- und Postunternehmen wird nicht als Auftragsverarbeitung eingestuft. Das hat die Datenschutzkonferenz im Kurzpapier Nr. 13, "Auftragsverarbeitung, Art. 28 DSGVO” bekräftigt. Im Zusammenhang mit dem Versand von Hybridpost (= Postdienst führt Druck, Versand und ggfs. Zustellung der Sendungen durch) wird für den Teilprozess Druck & Kuvertierung der Sendungen eine Auftragsverarbeitung angenommen.

„Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DS-GVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines

• Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),

• Inkassobüros mit Forderungsübertragung,

• Bankinstituts für den Geldtransfer,

Postdienstes für den Brieftransport,

und vieles mehr.“[1]

 

Übermittlung von E-Mail-Adressen durch Versandhändler an Postdienstleister

Im Rahmen der Abwicklung von Online-Bestellungen werden E-Mail-Adressen zunächst für die allgemeine Kommunikation mit den Kundinnen und Kunden verwendet, beispielsweise um Bestellbestätigungen, Rechnungen und nicht zuletzt Versandbestätigungen elektronisch versenden zu können. Darüber hinaus übermitteln einige Händlerinnen und Händler die zur Verfügung gestellte E-Mail-Adresse jedoch auch an das mit dem Versand beauftragte Postdienstleistungsunternehmen. Dies erfolgt regelmäßig mit dem Ziel, Kundinnen und Kunden detailliertere Informationen über den Sendungsverlauf und das avisierte Zustelldatum zur Verfügung stellen zu können. Zu der Übermittlung der E-Mail-Adressen erreichten den Landesdatenschutzbeauftragten Brandenburgs im Berichtszeitraum wiederholt Beschwerden. Wie jede Verarbeitung personenbezogener Daten erfordert auch eine solche Übermittlung der E-Mail-Adresse eine Rechtsgrundlage, zumal dem Postdienstleistungsunternehmen in diesen Fällen nicht nur diese, sondern auch Name und Anschrift der Empfängerin oder des Empfängers vorliegen. Die Verantwortlichen argumentierten regelmäßig, dass die Information über den Sendungsstatus auch im Interesse der Empfängerinnen und Empfänger liege, etwa um den Erhalt der Sendung am Tag der Zustellung entsprechend organisieren zu können. Verkannt wird dabei jedoch, dass die Zustellinformation auch unmittelbar durch den Onlinehandel selbst weitergegeben bzw. ein Link zur Sendungsverfolgung in die Versandbestätigung eingebunden werden kann. Dies stellt eine objektiv zumutbare Alternative zur Übermittlung an das zustellende Unternehmen dar, weshalb es bereits an der Erforderlichkeit der Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen fehlt. Die Übermittlung kann insoweit nicht auf Artikel 6 Absatz 1 lit. f Datenschutz-Grundverordnung gestützt werden. Sofern die Kundin oder der Kunde eine derartige Übermittlung wünscht, kommt als Rechtsgrundlage nur eine vorherige, informierte Einwilligung in Betracht. Eine Übermittlung ohne tragfähige Rechtsgrundlage stellt dagegen einen bußgeldbewährten Verstoß dar. Über die Einleitung eines Ordnungswidrigkeitenverfahrens entscheidet die Bußgeldstelle im jeweiligen Einzelfall[2].

 

Bußgeld wegen fehlender Auftragsverarbeitungsvereinbarung

Der Hamburgische Datenschutzbeauftragte hat gegen das Unternehmen Kolibri Image ein Bußgeld i. H. v. 5.000,- EUR wegen fehlender Erstellung einer DSGVO-Auftragsverarbeitung verhängt.

Kolibri Image hatte ursprünglich beim Hessischen Datenschutzbeauftragten nachgefragt, da ein spanischer Postdienstleister trotz mehrfacher Aufforderungen keinen Vertrag über eine Auftragsverarbeitung zugesandt hatte. Die Behörde antwortete, dass die Verantwortung zur Erstellung eines solchen Kontraktes auch die Firma selbst treffe und nicht nur den Dienstleister. Das Amt verwies auf entsprechende Dokumente auf seiner Webseite.

Kolibri Image schloss letztendlich keinen solchen Vertrag ab, beendete aber die Zusammenarbeit mit dem Paketdienstleister, ohne die Behörde zu informieren. Das Verfahren wurde nach Hamburg gegeben. Dort verhängt der Hamburgische Datenschutzbeauftragte nun ein entsprechendes Bußgeld i. H. v. 5.000,- EUR wegen der fehlenden DSGVO-Vereinbarung über die Auftragsverarbeitung.

Der Bescheid wurde mittlerweile zurückgenommen, da Kolibri Image die Zusammenarbeit mit dem Paketdienstleister bereits beendet hatte.

Die materiell rechtlich bedeutsame Frage, ob hier überhaupt die Notwendigkeit zum Abschluss einer Auftragsverarbeitung bestand, ist somit jedoch nicht beantwortet worden. Kolibri Image ist der Ansicht, dass eine solche Pflicht nicht bestanden habe und die ursprüngliche Anfrage beim Hessischen Datenschutzbeauftragten nur der reinen Vorsorge gedient habe. Der Hamburgische Datenschutzbeauftragte sah diese Einlassungen hingegen als bloße Schutzbehauptungen an. Solange nicht genau bekannt ist, was der beauftragte Postdienstleister genau macht, kann nicht abschließend beurteilt werden, ob nun objektiv eine Auftragsverarbeitung vorliegt - oder eben nicht[3].

 

2. TK-Anbieter und E-Mail-Anbieter

 

„TK-Anbieter“ -  was ist das?

„Diensteanbieter“ ist gemäß § 3 Nr.6 TKG jeder, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt.

„Telekommunikationsdienste“ sind gemäß § 3 Nr.24 TKG in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzten.

Umstritten ist, ob hierunter auch E-Mail-Dienste zu subsumieren sind. Am 13.06.2019 urteilte der EuGH (C-193/18), dass ein internetbasierter E-Mail-Dienst wie Gmail grundsätzlich keinen elektronischen Kommunikationsdienst im Sinne der Bestimmung darstellt. Entscheidende Bedeutung kommt dabei dem Umstand zu, dass ein solcher Dienst keinen Internetzugang vermittelt. Der Anbieter führt somit die technische Signalübertragung nicht selbst durch. Etwas anderes kann sich jedoch ausnahmsweise dann ergeben, wenn ein Diensteanbieter die Signalübertragung aus anderen Gründen dem Kunden gegenüber zu verantworten hat. Dass der Diensteanbieter bei der Versendung und dem Empfang von Nachrichten aktiv tätig wird, indem er

  • E-Mail-Adressen den IP-Adressen der Endgeräte zuordnet oder
  • Nachrichten in Datenpakete zerlegt und sie in das offene Internet einspeist oder aus dem offenen Internet empfängt, damit sie ihren Empfängern zugeleitet werden,

reicht dafür allerdings eben nicht aus.

Anbieter von E-Mail-Diensten unterfallen somit in der Regel nicht den Vorschriften des TKG. Es dürfte sich konsequenterweise insoweit um Telemedien im Sinne des § 1 I TMG handeln, deren datenschutzrechtliche Verpflichtungen aus §§ 11 ff. TMG folgen.

 

Telekommunikations-Dienstleistungen

Die Erbringung von Telekommunikationsdienstleistungen unterfällt nicht den Bestimmungen der DS-GVO. Reine TK-Dienstleistungen stellen keine Auftragsverarbeitung dar, sondern eine Inanspruchnahme einer fremden Fachleistung (LDA-Bayern, FAQ-Liste vom 20.07.2018). Zusatzdienste zu Telekommunikations-Dienstleistungen können Auftragsverarbeitungen sein. Die Auslagerung einer betrieblichen Telefonanlage oder die zusätzliche Erbringung von Cloudspeicherlösungen stellt beispielsweise eine Auftragsverarbeitung dar (WP 169; OH Abgrenzung AV, LDA Bayern vom 15.05.2019).

Bei dem Hosten einer statischen Webseite, also von Internetseiten auf denen keine Interaktionen mit den Besuchern stattfindet, also reine Infoseiten darstellen, und auch abgesehen von der IP-Adresse keine weiteren personenbezogenen Daten erfasst und zum Abruf bereit gestellt werden, soll keine Auftragsverarbeitung vorliegen, denn der Webhoster erbringt in diesem Fall reine Telekommunikationsdienstleistungen. Die Tatsache, dass auch beim Hosting von statischen Webseiten zwangsläufig IP-Adressen, d.h. personenbezogene Daten, verarbeitet werden müssen, führt nicht zur Annahme einer Auftragsverarbeitung. Die (kurzfristige) IP-Adressenspeicherung ist vielmehr noch der TK-Zugangsvermittlung des Website-Hosters nach dem TKG zuzurechnen und dient in erster Linie Sicherheitszwecken des Hosters[4]:

Die reine Miete von Räumen mit Infrastruktur (Strom, Kühlung/Heizung, TK-Anbindungsmöglichkeit etc.) als Standort von gemieteten Rechnern („Housing“, d. h. „Zurverfügungstellung der Hülle“) ohne konkrete Verarbeitungsvorgänge bezüglich der Daten (keine Netz-, Support-, Wartungs- und Datensicherungsleistungen bezüglich der Datenverarbeitung durch den Vermieter) ist nach unserer Auffassung keine nach § 11 BDSG zu regelnde Auftragsdatenverarbeitung; es fehlt dabei an einem Vorgang der Verarbeitung personenbezogener Daten im Sinne des BDSG durch den Vermieter[5].

 

Einordnung von TK-Anbietern und Cloud-Computing - Auftragsverarbeitung?

Grundsätzlich handelt es sich bei TK-Unternehmen nicht um Auftragsverarbeiter. Soweit lediglich Nachrichten übermittelt werden, geht das Unternehmen nicht im Auftrag des Kunden mit Daten um. Es besteht kein Weisungsverhältnis in dem Sinne wie es für die Auftragsverarbeitung erforderlich wäre. Die technischen und organisatorischen Maßnahmen zum Datenschutz werden einseitig vom Anbieter vorgegeben und in dessen Sicherheitskonzept gemäß § 109 TKG dargestellt. Für ein gemeinsames „treffen“ von Maßnahmen wie es Art.32 DS-GVO im Rahmen der Auftragsdatenverarbeitung vorsieht, besteht somit kein Raum[6].

Anderes kann jedoch bei Leistungen, die über das Übermitteln von Nachrichten hinausgehen – wie etwa dem sogenannten „Cloud-Computing“ -, gelten. Damit wird die Bereitstellung von IT-Infrastruktur und IT-Leistungen wie beispielsweise Speicherplatz, Rechenleistung oder Anwendungssoftware bezeichnet.

Längere Zeit warnten Datenschützer, dass die Voraussetzungen von § 11 BDSG aF – vor allem in IT-sicherheitsrechtlicher Hinsicht – nur schwer bis gar nicht erfüllbar sein dürften, soweit ein Cloud-Angebot auf einem Pool von Anbietern und einer Ressourcen-Aufteilung/-Auslastung nach dem „follow-the-sun“-Prinzip basiert. Inzwischen wird Cloud Computing von der herrschenden Meinung überwiegend als Auftragsverarbeitung im Sinne von § 11 Abs. 2 BDSG aF bzw. nun Art. 4 Nr. 8, Art. 28 DS-GVO eingestuft.

Dieser pauschalen Einordnung wird entgegengehalten, dass eine differenzierte Betrachtung dahingehend zu erfolgen habe, ob der Cloud-Dienst lediglich die Infrastruktur IaaS („infrastructure as a Service“) bereitstelle (dann keine Auftragsverarbeitung, zumindest wenn keine Zugriffsmöglichkeit des IaaS-Anbieters auf personenbezogene Daten des Kunden besteht) oder ob darüberhinausgehende Dienste erbracht werden. Bei der reinen Zurverfügungstellung einer Infrastruktur würden keine Daten vom Cloud-Anbieter verarbeitet. Würden jedoch daneben Dienste wie bspw. Backups erbracht oder Daten gelesen, um Werbung zu ermöglichen, läge ein Verarbeiten i. S. v. § 3 Abs. 4 BDSG vor, da zumindest eine Berührung mit den Daten nicht ausgeschlossen werden könne. Es käme daher entscheidend auf die Leistungen der Cloud-Anbieter an, um eine Auftragsverarbeitung bejahen zu können. Bei reiner Infrastructure as a Service oder Plattform as a Service könne es sich mithin nicht um Auftragsverarbeitung handeln, da keine Daten berührt würden. Anders sei dies unter Umständen bei Software as a Service (SaaS), da ein Zugriff des Diensteanbieters kaum verhindert werden könne.

Nach Ansicht des BayLDA ist beim Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist“ regelmäßig eine Auftragsverarbeitung anzunehmen. Die Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie die Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises in ihrer „Orientierungshilfe – Cloud Computing“ gehen – jedenfalls in Bezug auf § 11 BDSG aF – davon aus, dass bei einem rein nationalen Sachverhalt in jedem Fall eine Auftragsverarbeitung vorliegt, unabhängig davon in welcher Form der Diensteanbieter tätig wird, und bieten Anhaltspunkte für die Voraussetzungen einer zulässigen Vereinbarung einer Auftragsverarbeitung. Die Art der Dienstleistung sei erst für die Frage entscheidend, welche technischen und organisatorischen Maßnahmen im Rahmen von § 11 Abs. 2 BDSG aF, jetzt Art. 28 Abs. 3 S. 2 lit. c), Art. 32 DS-GVO Voraussetzung seien.

Liegt keine Auftragsverarbeitung vor, muss die Nutzung eines Cloud-Dienstes als Datenübermittlung oder Fall einer gemeinsamen Verantwortlichkeit gem. Art. 26 DS-GVO aufgrund wirksamer Einwilligung oder gesetzlicher Erlaubnis zulässig sein. In Betracht kommt dabei Art. 6 Abs. 1 lit. f) DS-GVO, der allerdings nicht für besondere Kategorien personenbezogener Daten (wie Gesundheitsdaten) gilt. Die Interessenabwägung des Art. 6 Abs. 1 S. 1 lit. f) DS-GVO kann zu Gunsten des Auftraggebers ausfallen, wenn sich der Cloud-Anbieter ähnlich vertraglich verpflichtet wie bei der Auftragsverarbeitung und zumindest vergleichbare Sicherheitsmaßnahmen getroffen sind. Das bloße Interesse an einer Kosteneinsparung des Cloud-Anwenders genügt für die Bejahung überwiegender Interessen des Cloud-Anwenders noch nicht. Eine Rechtfertigung anhand von zusätzlichen Kriterien – wie der Nutzung der Cloud als einem die Wettbewerbsfähigkeit steigernden Dienst – wird allerdings für möglich gehalten. Im Rahmen der Abwägung ist auch der Umstand eine Übermittlung in ein Drittland zu berücksichtigen. Daneben verlangt Art. 6 Abs. 1 S. 1 lit. f) DS-GVO die „Erforderlichkeit“ der Datenübermittlung, was Frage des Einzelfalls ist[7].

TK-Cloudanbieter und somit mögliche Auftragsverarbeiter sind unter anderem[8]

  • Sipgate (sipgate team 3)
  • NFON (nfon Telefonanlage)
  • Placetel (PROFI Telefonanlage)
  • SWYX (DeutschlandLAN Swyx); [Telekom]
  • QSC (tengo centraflex)
  • Teamfon (TeamSip Centrex)
  • Vio:Networks (vio:pbx)
  • OfficeNet [Vodafone]

 

Sind E-Mail-Anbieter Auftragsverarbeiter?

Die deutschen Datenschutz-Aufsichtsbehörden sehen die Speicherung von E-Mails (zum Abruf per IMAP) als Teil der Nachrichtenübermittlung und damit E-Mail-Anbieter als TK-Dienstleister. Ein AV-Vertrag mit reinen E-Mail-Anbietern ist daher nicht notwendig. Man muss jedoch berücksichtigen, dass bereits bei der Nutzung weiterer Dienstleistungen (wie z. B. bei Gmail das Angebot Google Drive) eine Auftragsverarbeitung vorliegen kann. Dabei verweist das BayLDA auf Beispiel 1 im Arbeitspapier 169 (WP 169) aus der Working Party der Artikel 29-Gruppe. Darin heißt es:

[ErwG 47:] „Wird eine Nachricht, die personenbezogene Daten enthält, über Telekommunikationsdienste oder durch elektronische Post übermittelt, deren einziger Zweck darin besteht, Nachrichten dieser Art zu übermitteln, so gilt in der Regel die Person, von der die Nachricht stammt, und nicht die Person, die den Übermittlungsdienst anbietet, als Verantwortlicher für die Verarbeitung der in der Nachricht enthaltenen personenbezogenen Daten.“

„Der Anbieter von Telekommunikationsdienstleistungen ist daher grundsätzlich nur in Bezug auf Verkehrs- und Rechnungsdaten und nicht in Bezug auf die übermittelten Daten als für die Verarbeitung Verantwortlicher anzusehen.“

 

Dies bedeutet, dass reine E-Mail-Anbieter wie web.de, gmx, Gmail, usw. grundsätzlich keine AV-Verträge benötigen und damit weiterhin unproblematisch genutzt werden können. Zu beachten ist jedoch, dass dennoch eine Auftragsverarbeitung gegeben sein kann, sobald weitere Dienstleistungen genutzt werden wie etwa die Auslagerung einer betrieblichen Telefonanlage, Cloudspeicherlösungen (insb. Dropbox) oder im Falle von Gmail das Angebot Google Drive.

Äußerst fraglich erscheint zwar, inwieweit sich die Annahme, E-Mail-Anbieter seien TK-Dienstleister, im Angesicht der „Gmail“-Entscheidung des EuGH (s.o.) aufrecht erhalten lässt. An der rechtlichen Beurteilung der Frage, ob es sich bei E-Mail-Anbietern um Auftragsverarbeiter im Sinne der DS-GVO handelt, dürfte dies indes nichts ändern. Die Validität der gegen das Vorliegen einer Auftragsverarbeitung vorgebrachten Argumente wird von der national-gesetzlichen Einordnung als TK-Dienstleister oder Telemedium nicht berührt.

Weitere für Sie wahrscheinlich interessante Artikel
Beseitigung einer abgegebenen Unterlassungserklärung möglich?

Juristische Laien achten oft nur auf die in der Abmahnung geforderte Geldsumme.... Weiterlesen

Wie weit reicht der Anspruch auf zukünftiges Unterlassen nach einer Urheberrechtsverletzung?

Wenn jemand Urheberrechte verletzt hat, geht es nicht nur um Schadensersatz.... Weiterlesen

Unterlassungserklärung in einigen Fällen als Schuldanerkenntnis gewertet?

Das Landgericht Wiesbaden urteilte jüngst im Mai 2013, dass in einer Unterlassungserklärung  ein Schuldanerkenntnis liege, unabhängig davon, ob diese... Weiterlesen

Bewertungen auf google.com
RA Scholze

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kostenloser Rückruf erwünscht?
Upload der Abmahnung oder weiterer Unterlagen

Wir empfehlen Ihnen Ihre Dateien ausreichend zu verschlüsseln und uns separat zum von Ihnen genutzten Schlüssel zu informieren.

Die Dateien müssen kleiner als 8 MB sein.
Zulässige Dateierweiterungen: jpg jpeg pdf doc docx.

* Diese Angaben werden benötigt.

Kanzleibriefe
Gegenstandswert bei Urheberrechtsverletzung von Produktfotos auf eBay

Ermittlung des Gegenstandswertes bei Urheberrechtsverletzung auf ebay... Weiterlesen

Schadenersatz KSP: Forderung der KSP Kanzlei für DPA wegen unerlaubter Bildnutzung

Schadensersatzforderung KSP Kanzlei für DPA Picture Alliance wegen unerlaubter Nutzung urheberrechtlich geschützter Bilder Details der Schadensersatzforderung ... Weiterlesen

AV-Verträge generieren, statt Muster oder Vorlagen fehlerhaft umzuschreiben

Erstellen Sie AV-Verträge, anstatt Vorlagen oder diese möglicherweise falsche um zu schreiben Auftragsverarbeitungsverträge, eine Anleitung zum AV-Vertrag-Generator... Weiterlesen