In zahlreichen Foren und Gremien gibt es Diskussionen, ob E-Mail-Anbieter wie web.de, gmx, Gmail, usw. Auftragsverarbeiter im Sinne der DSGVO sind, oder ob es sich um Telekommunikationsdienstleister handelt, mit denen kein Auftragsverarbeitungsvertrag (AV-Vertrag) notwendig ist. Bisher war ich der Meinung, dass es sich um Auftragsverarbeiter handelt, Freemail-Anbieter jedoch keine AV-Verträge zur Verfügung stellen, da sie sich vorwiegend an Privatpersonen richten. Ich konnte jedoch auch einige Argumente verstehen, die das Gegenteil belegten.

Da ich mir Aufgrund sehr guter Argumente in der letzten Woche zunehmend unsicher war, was diese Frage betrifft, habe ich Ende letzter Woche folgende Anfrage an das Bayerische Landesamt für Datenschutzaufsicht („BayLDA“) gestellt:

Sind E-Mail-Provider Auftragsverarbeiter im Sinne von DSGVO und BDSG-neu oder handelt es sich um Telekommunikationsdienstleister, mit denen kein Auftragsverarbeitungsvertrag zu schließen ist?

Bereits heute habe ich die Antwort vom zuständigen Referatsleiter erhalten. Neben einem internen Dokument, habe ich freundlicherweise die Erlaubnis erhalten daraus zu zitieren. Das BayLDA wird zu diesem Thema in den nächsten Tagen auch FAQ auf seiner Website zur Verfügung stellen.

Zunächst findet sich in dem mir übersandten Dokument, welches sich mit der Abgrenzung von Auftragsverarbeitung, eigener Verantwortlichkeit und gemeinsamer Verantwortlichkeit auseinandersetzt, eine Begriffsdefinition aufgeführt:

Verantwortlicher ist nach der Definition in Art. 4 Nr. 7 DS-GVO, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von pb. Daten entscheidet.

Auftragsverarbeiter ist nach der Definition in Art. 4 Nr. 8 DS-GVO, wer pb. Daten im Auftrag des Verantwortlichen verarbeitet.

Gemeinsam verantwortlich sind nach Art. 26 Abs. 1 Satz 1 DS-GVO Stellen, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.

Als Auftragsverarbeitung im Sinne der Definition von Art. 4 Nr. 8 DSGVO seien gemäß des Kurzpapiers Nr. 13 des DSK in Anhang A u. a. zu sehen:

Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen),

Anbieter von CRM-Systemen, Ticket-Systemen etc. welche über Webanwendungen E-Mails verarbeiten sind somit Auftragsverarbeiter. Das scheint aber wenig überraschend, da hier oftmals mehr als nur E-Mails verarbeitet werden.

Aus Sicht des BayLDA jedoch u. a. keine Auftragsverarbeiter („da dort eigenverantwortliche oder im Kern keine beauftragte Verarbeitung pb. Daten“):

TKG-Dienstleistungen, es sei denn, darüber hinausgehende Zusatzdienste wie Auslagerung einer betrieblichen Telefonanlage oder Cloudspeicherlösungen usw.

Dabei verweist das BayLDA auf Beispiel 1 im Arbeitspapier 169 (WP 169) aus der Working Party der Artikel 29-Gruppe. Darin heißt es:

[ErwG 47:] „Wird eine Nachricht, die personenbezogene Daten enthält, über Telekommunikationsdienste oder durch elektronische Post übermittelt, deren einziger Zweck darin besteht, Nachrichten dieser Art zu übermitteln, so gilt in der Regel die Person, von der die Nachricht stammt, und nicht die Person, die den Übermittlungsdienst anbietet, als Verantwortlicher für die Verarbeitung der in der Nachricht enthaltenen personenbezogenen Daten.“
„Der Anbieter von Telekommunikationsdienstleistungen ist daher grundsätzlich nur in Bezug auf Verkehrs- und Rechnungsdaten und nicht in Bezug auf die übermittelten Daten als für die Verarbeitung Verantwortlicher anzusehen.“

Fazit

Die deutschen Datenschutz-Aufsichtsbehörden sehen die Speicherung von E-Mails (zum Abruf per IMAP) als Teil der Nachrichtenübermittlung und damit E-Mail-Anbieter als TK-Dienstleister. Ein AV-Vertrag mit reinen E-Mail-Anbietern ist daher nicht notwendig!

Man muss jedoch berücksichtigen, dass bereits bei der Nutzung weiterer Dienstleistungen (wie z. B. bei Gmail das Angebot Google Drive) eine Auftragsverarbeitung vorliegen kann.

In der Praxis bedeutet dies, dass reine E-Mail-Anbieter wie web.de, gmx, Gmail, usw. keine AV-Verträge benötigen und damit weiterhin unproblematisch genutzt werden können. Vorsicht ist geboten, wenn weitere Angebote genutzt werden.

 

Haftungsausschluss: Ich bin kein Rechtsanwalt. Dies ist keine Rechtsberatung. Ich stelle lediglich meine Meinung auf Basis der mir zur Verfügung stehenden Informationen bereit. Im Zweifel sollten Sie einen Fachanwalt kontaktieren.

The following two tabs change content below.
Bernhard Krämer
entwickelt Webseiten und Webanwendungen vorwiegend auf Basis von PHP/MySQL und führt für Unternehmen Security-Awareness-Kampagnen durch. In diesem Blog schreibt er über diverse Themen rund um Webentwicklung, das Internet und dessen sichere Anwendung.