Um dem gesteigerten Interesse des Auftragsverarbeiters an einer eigenen Verarbeitung personenbezogener Daten – wie zur Produktverbesserungen oder Entwicklung neuer Dienstleistungen – zu begegnen, hat die französische Datenschutzbehörde CNIL im Januar Richtlinien veröffentlicht, nach denen eine solche Weiterverarbeitung rechtmäßig erfolgen kann.
Nach Ansicht der CNIL kann der Verantwortliche dem Auftragsverarbeiter unter bestimmten Voraussetzungen die Weiterverarbeitung für eigene Zwecke erlauben. Dafür muss der Verantwortliche im Rahmen eines „Kompatibilitätstests“ für jede konkrete Datenweiterverarbeitung überprüfen, ob die Weiterverarbeitung mit dem Zweck vereinbar ist, für den die Daten ursprünglich erhoben wurden. Die Erlaubnis muss analog zur Auftragsverarbeitungsvereinbarung schriftlich erfolgen. Die Informationspflicht hinsichtlich der geplanten Weiterverarbeitung trifft den ursprünglichen Verantwortlichen, der diese aber auch an den Auftragsverarbeiter (und nunmehr „Verantwortlicher für die Weiterverarbeitung“) delegieren kann. Letztlich wird dieser für die Weiterverarbeitung der Daten selbst zum Verantwortlichen und hat die Einhaltung der DSGVO für diese Verarbeitung sicherzustellen.
Die CNIL stützt die Erlaubnis der Weiterverarbeitung hauptsächlich auf die selten zitierte Regelung zur so genannten Zweckänderung in Art. 6 Abs. 4 DSGVO. Als Begründung knüpft die CNIL hier lediglich an den Wortlaut der Norm an, der eine Weiterverarbeitung von Daten grundsätzlich nach einem „Kompatibilitätstest“ gestattet. Im Übrigen verlangt sie die Einhaltung der weiteren Normen zur Auftragsdatenverarbeitung wie Textform der Vereinbarung nach Art. 28 Abs. 9 DSGVO, aber auch die Einhaltung der Informationspflicht gegenüber den Betroffenen nach den Artt. 13 f. DSGVO.
Offen bleibt, wie die CNIL den hier entstehenden Konflikt mit der Systematik der DSGVO löst, die eine Anwendung des Art. 6 Abs. 4 DSGVO auf Auftragsverarbeiter eigentlich nicht vorsieht. Folgt man den Richtlinien, so ist das Endergebnis ein ehemaliger Auftragsverarbeiter, der zwar mit Erlaubnis, aber dennoch weisungsfrei als neuer Verantwortlicher gegenüber den Betroffenen auftritt.
Das verstößt einerseits gegen den Grundsatz des Art. 28 Abs. 3 S. 2 DSGVO, nachdem Auftragsverarbeiter nur unter Aufsicht und auf Weisung tätig werden dürfen und verwundert andererseits und insbesondere im Hinblick auf Art. 28 Abs. 10 DSGVO. Hiernach gilt es wörtlich als „Verstoß gegen die Verordnung“, wenn ein Auftragsverarbeiter die Zwecke und Mittel der Verarbeitung selbst bestimmt.
Dem kann eigentlich auch kaum entgegengehalten werden, dass der ursprüngliche Verantwortliche hierfür seine Erlaubnis erteilt hat und der neue Verantwortliche (Ex-Auftragsverarbeiter) im Rahmen einer Weisung handelt. Hierbei handelt es sich um eine Vertragsgestaltung, die dem Auftragsverarbeiter Rechte einräumt, die in der DSGVO so nicht vorgesehen wurden. Die eigentliche Folge wäre demnach ein Verstoß gegen die DSGVO.
Es bleibt abzuwarten, wie weitere europäische Aufsichtsbehörden auf diesen Lösungsvorschlag der CNIL reagieren. Jedenfalls besteht ein großes und wohl auch berechtigtes Interesse der Auftragsverarbeiter an einer Verarbeitung personenbezogener Daten zum eigenen Zweck – im Hinblick auf die eher schwache dogmatische Begründung sind die Richtlinien der CNIL wohl zunächst mit etwas Vorsicht zu genießen.