Weisungsgebundenheit
Auch: Weisungsrecht des Verantwortlichen · Weisungsbindung
Weisungsgebundenheit bedeutet, dass ein Auftragsverarbeiter personenbezogene Daten ausschließlich auf dokumentierte Anweisung des Verantwortlichen verarbeiten darf und keine eigenen Zwecke damit verfolgen darf. Sie ist eines der Kernprinzipien, das die Auftragsverarbeitung von einer eigenverantwortlichen Datenverarbeitung abgrenzt.
Ausführliche Erklärung
Für Makler ist die Weisungsgebundenheit vor allem relevant, wenn sie Dienstleister mit Zugriff auf Kunden- und Interessentendaten beauftragen (CRM-Anbieter, IT-Dienstleister, externe Buchhaltung).
Wichtige Aspekte:
- Kernpflicht des Auftragsverarbeiters: Nach Art. 28 Abs. 3 lit. a DSGVO darf der Auftragsverarbeiter personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten – einschließlich Übermittlungen in Drittländer, es sei denn, dies ist durch EU-Recht vorgeschrieben.
- Was gilt als Weisung: Weisungen können im Auftragsverarbeitungsvertrag selbst niedergelegt sein (generelle Weisung, z. B. "Datenverarbeitung ausschließlich zum Zweck der CRM-Bereitstellung") oder als Einzelweisung im laufenden Betrieb erteilt werden (z. B. "bitte diesen Datensatz löschen"). Beide Formen müssen dokumentiert werden.
- Grenzüberschreitung = eigene Verantwortlichkeit: Verarbeitet ein Auftragsverarbeiter Daten eigenmächtig zu eigenen Zwecken (z. B. nutzt ein CRM-Anbieter Kundendaten des Maklers zu eigenen Marketinganalysen ohne Weisung), wird er dadurch selbst zum Verantwortlichen für diese Verarbeitung und haftet eigenständig – dies ist ein häufiger Streitpunkt bei der Vertragsgestaltung mit Softwareanbietern.
- Widerspruchspflicht: Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, muss er den Verantwortlichen unverzüglich informieren (Art. 28 Abs. 3 Satz 3 DSGVO) statt sie einfach auszuführen.
- Praxisrelevanz für Makler: Beim Abschluss eines Auftragsverarbeitungsvertrags sollte der Makler prüfen, ob die Weisungsbindung klar geregelt ist und der Anbieter nicht in den AGB versteckte Klauseln zur eigenen Datennutzung (z. B. für "Produktverbesserung" oder Statistiken) vorsieht, die über eine reine Auftragsverarbeitung hinausgehen.
- Kontrolle: Der Verantwortliche hat das Recht, die Einhaltung der Weisungsgebundenheit zu überprüfen, etwa durch Auditrechte im AVV.
Beispiel aus der Praxis
Ein Makler beauftragt einen IT-Dienstleister mit der Wartung seines CRM-Systems. Der Dienstleister darf dabei nur auf die im Auftragsverarbeitungsvertrag festgelegten oder gesondert erteilten Weisungen hin auf die gespeicherten Interessentendaten zugreifen – etwa zur Fehlerbehebung. Nutzt er die Daten eigenmächtig, um eigene Analysen für andere Kunden zu erstellen, verstößt er gegen die Weisungsgebundenheit und wird insoweit selbst zum datenschutzrechtlich Verantwortlichen.
Rechtsgrundlage
- Art. 28 Abs. 3 lit. a DSGVO – Pflicht des Auftragsverarbeiters, nur auf dokumentierte Weisung des Verantwortlichen zu handeln.
- Art. 29 DSGVO – Verarbeitung nur auf Anweisung des Verantwortlichen, auch für Personen unter der Aufsicht des Auftragsverarbeiters.
- Art. 28 Abs. 10 DSGVO – Rechtsfolge bei eigenmächtiger Zweckbestimmung durch den Auftragsverarbeiter.