Kurzbeitrag : Praxisfälle zum Datenschutzrecht XXXVIII: Auftragsverarbeitung oder (gemeinsame) Verantwortlichkeit? : aus der RDV 1/2026, Seite 35 bis 39

II. Musterlösung

1. Rollen in der DS‑GVO

Bei der Verarbeitung personenbezogener Daten nach der DS‑GVO sind grundsätzlich auf der einen Seite der Verantwortliche und auf der anderen Seite die betroffene Person beteiligt. Der Verantwortliche ist nach Art. 4 Nr. 7 Hs. 1 DS‑GVO „jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Betroffene Person ist nach Art. 4 Nr. 1 DS‑GVO diejenige natürliche Person, deren personenbezogene Daten verarbeitet werden.

Der Verantwortliche kann sich bei der Verarbeitung personenbezogener Daten jedoch auch anderer Stellen bedienen und mit externen Dienstleistern oder Partnern zusammenarbeiten. In solchen Fällen stellt sich regelmäßig die Frage, in welchem Verhältnis diese anderen Stellen datenschutzrechtlich zum Verantwortlichen stehen. In Betracht kommen vor allem eine Auftragsverarbeitung nach Art.  28 DS‑GVO oder eine gemeinsame Verantwortlichkeit nach Art. 26 DS‑GVO. Auftragsverarbeiter ist nach Art.  4 Nr.  8 DS‑GVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Eine gemeinsame Verantwortlichkeit liegt nach Art. 26 Abs. 1 DS‑GVO vor, wenn „zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest[legen]“. Möglich ist aber auch eine jeweils alleinige, d.h. getrennte Verantwortlichkeit der Beteiligten. Den Begriffen der Auftragsverarbeitung bzw. der (ggf. gemeinsamen) datenschutzrechtlichen Verantwortlichkeit liegen „funktionelle Konzepte“ zugrunde, die darauf abzielen, Verantwortlichkeiten entsprechend den tatsächlichen Rollen der Parteien zuzuweisen.^[1] Folglich ist die Dispositionsfreiheit der Beteiligten bei der datenschutzrechtlichen Verantwortungszuweisung eingeschränkt. Beispielsweise folgt aus einem Auftragsverhältnis nach §  662 BGB oder einem Dienstvertrag nach § 611 BGB nicht zwingend eine Auftragsverarbeitung.^[2]

Die Bestimmung, welcher Beteiligte als datenschutzrechtlich Verantwortlicher anzusehen ist, ist vor allem deshalb wichtig, da der Verantwortliche der primäre Normadressat der DS‑GVO ist. Dieser ist nach Art.  5 Abs.  2 DS‑GVO mit Blick auf die Einhaltung der Datenschutzgrundsätze des Art. 5 Abs. 1 DS‑GVO verantwortlich und nachweispflichtig.^[3] Die Beantwortung der Frage, wer Verantwortlicher bezüglich einer personenbezogenen Datenverarbeitung ist, hat insofern weitreichende Auswirkungen. Zudem stellen insbesondere die Art. 26 und 28 DS‑GVO unterschiedliche spezifische Anforderungen an die verschiedenen Arten von Beteiligten. Schließlich ist es für die betroffene Person von zentraler Bedeutung, wer datenschutzrechtlich Verantwortlicher und damit Ansprechpartner in Bezug auf ihre Datenschutzrechte ist.

Die DS‑GVO definiert darüber hinaus auch die Begriffe „Empfänger“ und „Dritter“. Empfänger ist nach Art.  4 Nr.  9 DS‑GVO jede „Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht“. Auch der Auftragsverarbeiter ist Empfänger im Sinne dieser Definition, da ihm im Rahmen der Auftragsverarbeitung Daten offengelegt werden.^[4] Dritter ist nach Art. 4 Nr. 10 DS‑GVO jede „Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten“. Damit sind „Außenstehende“ gemeint, die nicht an der Datenverarbeitung beteiligt sind.^[5]

2. Abgrenzung zwischen Auftragsverarbeitung und (alleiniger/gemeinsamer) Verantwortlichkeit

a) Kriterien und Merkmale der Auftragsverarbeitung nach Art. 28 DS‑GVO Auftragsverarbeiter ist nach Art.  4 Nr.  8 DS‑GVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Zentrales Merkmal der Auftragsverarbeitung ist die Weisungsgebundenheit des Auftragsverarbeiters. Dieser verarbeitet personenbezogene Daten als „verlängerter Arm“ des Verantwortlichen und unterliegt dessen Vorgaben.^[6]

Der Verantwortliche entscheidet nach Art.  4 Nr.  7 Hs.  1 DS‑GVO über die Zwecke und Mittel der Datenverarbeitung. Wer über die Zwecke bzw. das „Ob“ einer personenbezogenen Datenverarbeitung entscheidet, ist in jedem Fall als datenschutzrechtlich Verantwortlicher einzuordnen. Bei der Entscheidung bezüglich der Mittel der Datenverarbeitung ist dagegen zu differenzieren: Während die Entscheidung über die „wesentlichen Mittel“ stets beim Verantwortlichen verbleiben muss, darf die Entscheidung über die „nicht wesentlichen Mittel“ auch dem Dienstleister übertragen werden.^[7] Wesentliche Mittel sind dem EDSA zufolge solche, die in engem Zusammenhang mit Zweck und Umfang der Verarbeitung stehen, wie die Art der verarbeiteten personenbezogenen Daten, die Dauer der Verarbeitung, die Kategorien von Empfängern und die Kategorien betroffener Personen. Im Gegensatz dazu geht es bei den nicht wesentlichen Mitteln um die „praktischen Aspekte“ der Datenverarbeitung, wie etwa die Wahl der Hard- bzw. Software oder der konkreten Sicherheitsmaßnahmen.^[8] In diesem Zusammenhang ist es ausreichend, dass der Verantwortliche dem Auftragsverarbeiter die wesentlichen Grundzüge der technischen und organisatorischen Maßnahmen nach Art. 32 DS‑GVO vorgibt.^[9]

Ob eine Auftragsverarbeitung vorliegt, kann im Einzelfall schwierig zu beurteilen sein. Die nachfolgenden Kriterien sprechen für das Vorliegen einer Auftragsverarbeitung nach Art. 28 DS‑GVO:

• keine Entscheidungsbefugnis über die Zwecke der Datenverarbeitung und deren wesentliche Mittel (z.B. Art der verarbeiteten Daten, Speicherdauer, Kategorien von Empfängern), sondern allenfalls bzgl. der nicht wesentlichen Mittel der Verarbeitung (z.B. Hard- und Software, Sicherheitsmaßnahmen im Detail),
• keine Verfolgung eigener Zwecke mit den verarbeiteten Daten,
• Vorliegen ausführlicher Weisungen, die wenig Spielraum geben,
• Ausübung einer Unterstützungs-/Hilfsfunktion sowie
• Wahrnehmung einer konkreten Tätigkeit in einem spezifischen Kontext.^[10]

Spiegelbildlich dazu sprechen die folgenden Kriterien für das Vorliegen einer (ggf. gemeinsamen) Verantwortlichkeit nach Art. 4 Nr. 7 DS‑GVO:

• Entscheidungshoheit hinsichtlich der Datenverarbeitung insgesamt,
• Entscheidung über Zwecke und wesentliche Mittel (z.B. Art der verarbeiteten Daten, Speicherdauer, Kategorien von Empfängern) der Datenverarbeitung,
• Entscheidung über die rechtliche Grundlage der Datenverarbeitung sowie
• Vorliegen einer direkten Beziehung zur betroffenen Person.^[11]

b) Anwendung der Kriterien auf die hier zu beurteilenden

Fälle Gemessen an diesen Grundsätzen stellt die Einschaltung des Dienstleisters für die Lohn- und Gehaltsabrechnung in der ersten Fallgestaltung eine Auftragsverarbeitung nach Art. 28 DS‑GVO dar. Mit Blick auf die Ausführung des Auftrags besteht kein nennenswerter eigener Entscheidungsspielraum des Dienstleisters, sondern es kommt im Wesentlichen darauf an, dass routinemäßig eine korrekte Berechnung auf Grundlage der gesetzlichen Abrechnungsmaßgaben erfolgt.^[12] D führt insofern für U eine klar umrissene Tätigkeit in einem spezifischen Kontext durch und hat nur Unterstützungsfunktion mit Blick auf die personenbezogene Datenverarbeitung. Auch die Entscheidung über den Einsatz einer bestimmten Software stellt keinen Hinderungsgrund dar, eine Auftragsverarbeitung anzunehmen, weil sich dieser Spielraum lediglich auf nicht wesentliche Mittel der Datenverarbeitung bezieht.^[13]

Die Einordnung der hier beschriebenen Konstellation als Auftragsverarbeitung kann im Wesentlichen als unstrittig angesehen werden.^[14]Abgrenzungsprobleme entstehen in der Praxis insbes. in Fällen, in denen die Lohn- und Gehaltsabrechnung an Steuerberater/-innen ausgelagert wird, denn §  57 Abs.  1 Steuerberatungsgesetz (StBerG) bestimmt, dass Steuerberater ihren Beruf „unabhängig“ und „eigenverantwortlich“ auszuüben haben. Jedenfalls Beratungsleistungen von Steuerberatern, die mit weitgehenden Entscheidungsspielräumen verbunden sind, werden daher weisungsfrei erbracht und der Steuerberater kann insofern nicht Auftragsverarbeiter sein.^[15] Bereits vor Geltung der DS‑GVO war umstritten, ob dagegen zumindest die bloße Lohnbuchführung durch Steuerberater/-innen noch als Auftragsverarbeitung (damals: Auftragsdatenverarbeitung) eingestuft werden kann.

Den Streit, ob Steuerberater Auftragsverarbeiter sein können, wollte der nationale Gesetzgeber durch eine Klarstellung im nationalen Recht beenden. Seit dem 18.12.2019 heißt es daher in § 11 Abs. 2 S. 2 StBerG: „Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gem. Art. 4 Nr. 7 der Datenschutz-Grundverordnung (EU) 2016/679^[16].“ Da allerdings die Europarechtskonformität der Regelung in § 11 Abs. 2 S. 2 StBerG angezweifelt wird, besteht insofern im Ergebnis nach wie vor Rechtsunsicherheit.^[17]

Im zweiten Fall liegt hingegen keine Auftragsverarbeitung vor, da das Verhältnis zwischen U und R insoweit durch eine gemeinsame Festlegung der Zwecke und wesentlichen Mittel der Datenverarbeitung geprägt ist und sich keine der Parteien den Weisungen der jeweils anderen mit Blick auf die Datenverarbeitung unterwirft.

Auch in der letzten Fallgestaltung, der Beauftragung der Anwaltskanzlei, ist eine Auftragsverarbeitung abzulehnen. Zwar liegt mit der Vertretung in Rechtsstreitigkeiten durch die Anwaltskanzlei ein „auftragsähnliches“ Verhältnis vor, nämlich ein Dienstvertrag mit Geschäftsbesorgungscharakter nach § 611 BGB i.V.m. § 675 Abs. 1 BGB.^[18] Die Beauftragung der Rechtsanwaltskanzlei zielt jedoch nicht auf die Verarbeitung personenbezogener Daten ab, sondern auf die außergerichtliche Vertretung, die Vertretung vor Gericht sowie die Beratung des Mandanten.^[19] Eine Auftragsverarbeitung scheidet auch aufgrund der standesrechtlichen Stellung des Rechtsanwalts regelmäßig aus, denn als Organ der Rechtspflege handelt dieser weitgehend unabhängig bei der Erledigung seiner Aufgaben und entscheidet selbstständig, welche personenbezogenen Informationen er in diesem Zusammenhang verarbeitet.^[20]

3. Abgrenzung zwischen alleiniger und gemeinsamer Verantwortlichkeit

a) Kriterien und Merkmale der gemeinsamen Verantwortlichkeit nach Art. 26 DS‑GVO

Nach ErwG 79 DS‑GVO bedarf es zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung der Verantwortlichen und der Auftragsverarbeiter einer klaren Zuteilung der Verantwortlichkeiten durch die DS‑GVO. Liegt keine Auftragsverarbeitung vor, ist insofern zu prüfen, ob die Akteure alleinige, also getrennte oder aber gemeinsame Verantwortliche im Sinne des Art. 26 DS‑GVO sind.

Wesentlicher Anknüpfungspunkt ist auch hier die Begriffsbestimmung in Art. 4 Nr. 7 Hs. 1 DS‑GVO sowie Art. 26 Abs. 1 DS‑GVO, wonach eine gemeinsame Verantwortlichkeit vorliegt, wenn zwei oder mehrere Verantwortliche gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Der EuGH hat die gemeinsame Verantwortlichkeit in mehreren Entscheidungen weit ausgelegt.^[21] Nach seiner Rechtsprechung genügt für die Annahme einer gemeinsamen Verantwortlichkeit bereits die rein faktische Zusammenarbeit für gleiche oder ähnliche Zwecke im Eigeninteresse.^[22]

Nicht erforderlich für das Vorliegen einer gemeinsamen Verantwortlichkeit ist nach dem EuGH, dass eine gleichwertige Verantwortlichkeit der verschiedenen Akteure gegeben ist. So müssen nicht alle Akteure hinsichtlich der Verarbeitung identische Handlungsoptionen haben oder gegenüber der betroffenen Person in Erscheinung treten.^[23] Auch muss nicht jeder Akteur Zugang zu den verarbeiteten Daten haben.^[24] Vielmehr können die Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, sodass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.^[25]

Zusammengefasst sprechen u.a. folgende Kriterien für eine gemeinsame Verantwortlichkeit nach Art. 26 DS‑GVO:

• Verfolgung gemeinsamer oder eng miteinander verknüpfter bzw. sich ergänzender Zwecke mit Blick auf die Datenverarbeitung,
• gemeinsame Entscheidung über die „wesentlichen Elemente“ der Mittel der Datenverarbeitung (z.B. „Welche Daten werden verarbeitet?“, „Wie lange werden die Daten verarbeitet?“, „Wer hat Zugang zu den Daten?“),
• Verarbeitung auf Grundlage einer einheitlichen Datenbasis (z.B. durch eine gemeinsame Datenbank) und/oder
• Entwicklung eines gemeinsamen Konzepts für die Datenverarbeitung.^[26]

b) Anwendung der Kriterien auf die hier zu beurteilende

n Fälle Unter Berücksichtigung der genannten Kriterien liegt im zweiten Fall eine gemeinsame Verantwortlichkeit nach Art. 26 DS‑GVO mit Blick auf die personenbezogene Datenverarbeitung im Zusammenhang mit der Versendung der Einladungen zur Gewinnspielteilnahme vor. Die Unternehmen U und R haben gemeinsam Zweck und wesentliche Mittel der Datenverarbeitung bestimmt, indem sie sich mit Blick auf die Konzeption, den Ablauf und die Datenbasis für die Aussendung verständigt haben. Die von U bzw. R mit der Datenverarbeitung jeweils verfolgten werblichen Zwecke sind zumindest eng miteinander verknüpft. Dem Vorliegen einer gemeinsamen Verantwortlichkeit steht nach der Rechtsprechung des EuGH, wie bereits angesprochen, auch nicht entgegen, dass U und R keinen Zugriff auf die Datenbestände haben, welche die jeweils andere Partei für die Aktion einsetzt.^[27] Ob auch die Datenverarbeitung mit Bezug auf die Durchführung des Gewinnspiels in gemeinsamer Verantwortung erfolgt, hängt davon ab, inwieweit die gemeinsame Konzeption sich auch hierauf bezieht.

Im dritten Fall handelt die Anwaltskanzlei, wie bereits erörtert, grundsätzlich weisungsfrei mit Blick auf die im Zusammenhang mit der Mandatierung stattfindenden personenbezogenen Datenverarbeitungen. Der Auftraggeber ist an der Entscheidung mit Blick auf diese Verarbeitungen nicht beteiligt. Es handelt sich insofern um eine getrennte datenschutzrechtliche Verantwortlichkeit. Die Verantwortlichkeit von U beschränkt sich auf die Datenweitergabe an die Kanzlei.

4. Ergebnis

Im ersten Fall ist der spezialisierte Dienstleister, der die Abwicklung der Lohn- und Gehaltsabrechnung übernimmt, als Auftragsverarbeiter nach Art. 28 DS‑GVO einzuordnen.

Im zweiten Fall ist eine gemeinsame Verantwortlichkeit nach Art. 26 DS‑GVO von U und R anzunehmen mit Blick auf die Datenverarbeitung zum Zweck der Einladung zum Gewinnspiel.

Im dritten Fall sind U und die Anwaltskanzlei jeweils eigenständig datenschutzrechtlich verantwortlich.

III. Ergänzende Hinweise

1. Pflichten im Fall der Auftragsverarbeitung, Art. 28 DS‑GVO

Eine Auftragsverarbeitung darf nach Art.  28 Abs.  3 S.  1 DS‑GVO nur auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erfolgen. Für Unternehmen ist vor allem der Abschluss von Auftragsverarbeitungsverträgen relevant.^[28]Dem Vertrag kommt jedoch keine konstitutive Wirkung zu.^[29] Das bedeutet: Eine Auftragsverarbeitung kann auch in Fällen anzunehmen sein, in denen keine diesbezügliche Vereinbarung getroffen wurde.

Der Vertrag muss insbesondere Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen regeln. Ziel ist es, die konkreten Verarbeitungstätigkeiten und -umstände für die Beteiligten verbindlich festzuhalten.^[30]

Weitere Mindestinhalte sind in Art. 28 Abs. 3 S. 2 DS‑GVO geregelt und umfassen die Bindung an Weisungen (lit. a)), Verschwiegenheitsverpflichtungen der beim Auftragsverarbeiter tätigen Personen (lit. b)), technische und organisatorische Maßnahmen nach Art. 32 DS‑GVO (lit. c)), die Beauftragung weiterer Auftragsverarbeiter (lit. d)), die Wahrung der Betroffenenrechte (lit. e)), Unterstützungspflichten (lit. f)), die Rückgabe und Löschung nach Beendigung der Auftragsverarbeitung (lit. g)) und Überprüfungen (lit. h)). Diese Inhalte sind jedoch nicht abschließend, sodass auch weitere Aspekte geregelt werden können.

Der Auftragnehmer ist sorgfältig auszuwählen und entsprechend zu überwachen.

2. Pflichten bei gemeinsamer Verantwortlichkeit, Art. 26 DS‑GVO

Art. 26 Abs. 1 S. 2 DS‑GVO bestimmt, dass die Verantwortlichen im Fall einer gemeinsamen Verantwortlichkeit in einer transparenten Vereinbarung festlegen, wer von ihnen welche Pflichten gemäß der DS‑GVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gem. den Art. 13 und 14 DS‑GVO nachkommt. Die Vereinbarung muss nach Art. 26 Abs.  2 S.  1 DS‑GVO die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln.

Ziel der Vereinbarung ist nach ErwG 79 DS‑GVO die klare Zuteilung der Verantwortlichkeiten. Der Abschluss einer entsprechenden Vereinbarung ist jedoch keine konstitutive Voraussetzung der gemeinsamen Verantwortlichkeit,^[31] vielmehr ist sie Rechtsfolge derselben.

Nach Art.  26 Abs.  2 S.  2 DS‑GVO ist das „Wesentliche“ der Vereinbarung der betroffenen Person zur Verfügung zu stellen. Angesichts der komplexen und von außen oftmals nicht überschaubaren Verarbeitungssituation in Fällen der gemeinsamen datenschutzrechtlichen Verantwortlichkeit soll diese insbes. nachvollziehen können, wie sie ihre Rechte wirksam ausüben kann.^[32] „Wesentlich“ sind mindestens eine nachvollziehbare Beschreibung des Kreises der beteiligten Verantwortlichen, ihres Zusammenwirkens und ihrer Rollen, ihrer jeweiligen Beziehung zur betroffenen Person sowie eine Erläuterung, wie die Betroffenenrechte ausgeübt werden können.^[33]

Für die Geltendmachung von Betroffenenrechten kann von den Verantwortlichen eine gemeinsame Anlaufstelle eingerichtet werden gem. Art. 26 Abs. 1 S. 3 DS‑GVO. In diesem Fall bleibt die betroffene Person allerdings weiterhin berechtigt, ihre Rechte gegenüber jedem einzelnen Verantwortlichen geltend zu machen. Sie ist also nicht verpflichtet, sich an die gemeinsame Anlaufstelle zu wenden.

*RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. (2016).

RA Dr. Johannes Zhou ist bei der Kanzlei FPS in Frankfurt a.M. im IT- und Datenschutzrecht tätig.

_{[1] EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS‑GVO, Vers. 2.0 (7.7.2021), S. 3}

_{[2] Schwartmann/Benedikt/Reif/Reif/Brink, Datenschutz im Internet, 1. Aufl. (2025), Kap. 8 Rn. 3.}

_{[3] Schwartmann/Benedikt/Reif/Reif/Brink, Datenschutz im Internet, Kap. 8 Rn. 4.}

_{[4] Taeger/Gabel/Arning/Rothkegel, DS‑GVO Art. 4 Rn. 271.}

_{[5] Taeger/Gabel/Arning/Rothkegel, DS‑GVO Art. 4 Rn. 279.}

_{[6] Schwartmann/Benedikt/Reif/Reif/Brink, Datenschutz im Internet, Kap. 8 Rn. 20 f.}

_{[7] EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS‑GVO, Vers. 2.0 (7.7.2021), Rn. 40.}

_{[8] EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS‑GVO, Vers. 2.0 (7.7.2021), Rn. 40}

_{[9] Kühling/Buchner/Hartung, DS‑GVO Art. 28 Rn. 43}

_{[10] S. hierzu bereits Schwartmann/Benedikt/Reif/Reif/Brink, Datenschutz im Internet, Kap. 8 Rn. 29 mit weiteren Kriterien}

_{[11] S. hierzu bereits Schwartmann/Benedikt/Reif/Reif/Brink, Datenschutz im Internet, Kap. 8 Rn. 30 mit weiteren Kriterien.}

_{[12] Taeger/Pohle/Polenz, Computerrechts-Handbuch, 40. EL März 2025, Teil 3. 36.3}

_{[13] Vgl. auch EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS‑GVO, Vers. 2.0 (7.7.2021), Rn. 40.}

_{[14] Vgl. auch DSK, Kurzpapier Nr. 13: Auftragsverarbeitung, Art. 28 DS‑GVO (Stand: 17.12.2018), Anlage A: „DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung“.}

_{[15] Lauck, ZD-Aktuell 2020, 06965.}

_{[16] Ausführlich dazu Kramer/Schmidt, ZD 2020, 194.}

_{[17] Lauck, ZD-Aktuell 2020, 06965}

_{[18] Vollkommer/Greger/Heinemann/Heinemann, Anwaltshaftungsrecht, 5. Aufl. 2021, § 1 Rn. 4.}

_{[19] EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS‑GVO, Vers. 2.0 (7.7.2021), Rn. 27.}

_{[20] Taeger/Pohle/Polenz, Computerrechts-Handbuch, 40. EL März 2025, Teil 3. 36.3 Rn. 21.}

_{[21] EuGH, Urt. v. 29.7.2019 – C-40/17; Urt. v. 10.7.2018 – C-25/17; Urt. v. 5.6.2018 – C-210/16.}

_{[22] EuGH, Urt. v. 10.7.2018 – C-25/17, Rn. 68.}

_{[23] S. hierzu ausführlich Schwartmann/Benedikt/Reif/Reif/Brink, Datenschutz im Internet, Kap. 8 Rn. 69.}

_{[24] EuGH, Urt. v. 5.6.2018 – C-210/16, Rn. 38.}

_{[25] EuGH, Urt. v. 5.6.2018 – C-210/16, Rn. 43}

_{[26] S. hierzu bereits Schwartmann/Benedikt/Reif/Reif/Brink, Datenschutz im Internet, Kap. 8 Rn. 70 mit weiteren Kriterien.}

_{[27] EuGH, Urt. v. 5.6.2018 – C-210/16, Rn. 38.}

_{[28] Kühling/Buchner/Hartung, DS‑GVO Art. 28 Rn. 62.}

_{[29] Taeger/Gabel/Gabel/Lutz, DS‑GVO Art. 28 Rn. 36.}

_{[30] Taeger/Gabel/Gabel/Lutz, DS‑GVO Art. 28 Rn. 37.}

_{[31] EuGH 5.12.2023 – C-683/21; EuGH 5.12.2023 – C-807/21; Taeger/Gabel/Lang, DS‑GVO Art. 26 Rn. 93.}

_{[32] Schwartmann/Benedikt/Reif/Reif/Brink, Datenschutz im Internet, Kap. 8 Rn. 87.}

_{[33] Schwartmann/Benedikt/Reif/Reif/Brink, Datenschutz im Internet, Kap. 8 Rn. 88.}