Die französische Datenschutzbehörde (CNIL) publizierte am 12. Januar 2022 auf ihrer Webseite eine Guideline, ob und unter welchen Voraussetzungen ein Auftragsverarbeiter die Daten, die er von einem für die Verarbeitung Verantwortlichen erhält, für eigene Zwecke wiederverwenden kann. Nach den Ausführungen der CNIL ist eine solche Weiterverarbeitung nur unter bestimmten Voraussetzungen möglich: Ausgangslage für die rechtliche Beurteilung ist die Definition des Auftragsverarbeiters in Art. 4(8) DSGVO als «eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet». Der Auftragsverarbeiter darf Daten also nur im Auftrag des Verantwortlichen bearbeiten. Art. 28 DSGVO konkretisiert diesen Grundsatz und verpflichtet den Verantwortlichen mit dem Auftragsverarbeiter in einem Vertrag festzulegen, unter welchen Bedingungen der Auftragsverarbeiter die Daten verarbeiten darf.

In der Praxis ist es häufig, dass Auftragsverarbeiter die Daten, die sie von den Verantwortlichen erhalten, für eigene Zwecke nutzen wollen. Dies etwa zur Verbesserung der eigenen Produkte und Dienstleistungen. Solche Daten werden genutzt, um die Nutzung der Produkte und Dienstleistungen durch Verantwortliche und deren Kundinnen und Kunden besser zu verstehen. Datenanalysen helfen Auftragsverarbeitern, ihre Produkte und Dienstleistungen zu verbessern. Eine solche Verwendung von Kundendaten ist in der Regel aber nicht Gegenstand der Verarbeitungstätigkeit, die ein Auftragsverarbeiter im Auftrag des Verantwortlichen ausführen muss. Eine solche Wiederverwendung von Daten für eigene Zwecke liegt im Interesse des Auftragsverarbeiters. Die CNIL weist darauf hin, dass der Auftragsverarbeiter, der die Daten für eigene Zwecke wieder- bzw. weiterverwendet, d.h. über die Anweisungen des Verantwortlichen verarbeitet, als separater Verantwortlicher zu...