Auftragsdatenverarbeitung – Wie wird diese von der Funktionsübertragung abgegrenzt?

daten 29
Fachbeitrag

Werden Daten durch Dritte im Auftrag verarbeitet, kommt es qua Gesetz zu einer Privilegierung: Nach §3 VIII BDSG ist die Datenweitergabe nicht als Übermittlung anzusehen.

Der Auftragnehmer ist datenschutzrechtlich kein „Dritter“, sondern gilt gleichsam als verlängerter Arm des Auftraggebers. Folge ist, dass eine besondere Einwilligung der Betroffenen oder eine andere Rechtsgrundlage für die Weitergabe ihrer Daten nicht erforderlich ist.

Dies gilt aber nur dann, wenn eine Auftragsdatenverarbeitung im rechtlichen Sinne auch wirklich vorliegt. Wird jedoch neben der konkreten Verarbeitung der Daten der gesamte Aufgabenbereich übertragen, kann es sich rechtlich um eine Funktionsübertragung handeln. In diesem Fall ist der Dritte nicht mehr bloß Auftragnehmer sondern selbst “verantwortliche Stelle” und die Weitergabe der Daten bedarf einer gesonderten Erlaubnis.

Abgrenzungsprobleme

Wegen dieser vollkommen unterschiedlichen Rechtsfolge ist es wichtig zu wissen, wann es sich um eine Auftragsdatenverarbeitung handelt und wann eine  Funktionsübertragung vorliegt. Leider gehört diese Frage aber zu den schwierigsten Abgrenzungen im Datenschutzrecht. Denn dem BDSG oder der Datenschutzrichtlinie selbst sind klare Vorgaben nicht zu entnehmen, obwohl diese Frage beim Outsourcing von Unternehmensabläufen immer relevant ist und eine praktikable Lösung umso wichtiger wäre. Das bedeutet, dass eine einheitliche Aussage, wann und für welche Bereiche eine Auftragsdatenverarbeitung vorliegt, nicht getroffen werden kann und es vielmehr stets einer Entscheidung im Einzelfall bedarf.

Kriterien

Wichtigstes Kriterium, mit dem die Funktionsübertragung von der Auftragsdatenverarbeitung abgegrenzt wird, ist der Umfang der tatsächlichen Verantwortung und damit letztlich die Frage, wer die konkrete Entscheidungsbefugnis innehat.

Typischerweise hat die Auftragsdatenverarbeitung lediglich eine Hilfs- und Unterstützungsfunktion, der Auftragsnehmer hat keinen inhaltlichen Entscheidungsspielraum und ist abhängig von den Weisungen und Vorgaben des Auftraggebers.

Wird hingegen nicht nur die konkrete Datenverarbeitung sondern der gesamte Aufgaben- oder Geschäftsbereich an den Dritten zur Erledigung übertragen, handelt es sich regelmäßig um eine Funktionsübertragung. Ein Zeichen für eine Funktionsübertragung kann es sein, wenn die verarbeitende Stelle eigene Entscheidungsbefugnisse oder eigenes Ermessen hat oder im Rahmen der konkreten Datenverarbeitung selbständig nach außen kommuniziert.

Praktische Auswirkungen

Für die unternehmerische Praxis bedeutet dies, dass immer dann wenn Unternehmensbereiche komplett auf Dritte ausgelagert werden, genau untersucht werden muss, ob letztlich die Verantwortung für die konkrete Form der Datenverarbeitung noch beim abgebenden Unternehmen verbleibt.

Fraglich kann das etwa sein, wenn etwa die gesamte Personal(daten)verwaltung innerhalb einer Unternehmensgruppe oder eines Konzerns auf ein Tochterunternehmen oder gar auf die Muttergesellschaft  ausgelagert wird. Hier stellt sich letztlich die Frage, ob die jeweiligen Unternehmen der Gruppe überhaupt noch die tatsächliche Verantwortung und Weisungshoheit für die Daten haben. Denn meist handeln die ausgelagerten Gesellschaften autark und werden tatsächlich von dem Mutterkonzern gelenkt, ohne dass die einzelnen Unternehmen des Konzerns darauf Einfluss hätten.

Von einer Auftragsdatenverarbeitung wird man jedenfalls dann nicht mehr sprechen können, wenn das dritte Unternehmen konzerneinheitliche Stellenausschreibungen und Bewerbungsverfahren durchführt und Personalentscheidungen vornehmen kann, Betroffenenrechte sicherstellt und Benachrichtigungen vornimmt und Auskünfte erteilt.

Das gleiche Problem stellt sich bei der Auslagerung anderer Bereiche wie Finanzbuchhaltung, zentralem Marketing oder IT-Dienstleistungen. Hier gibt es oft einheitliche Konzernvorgaben, das verarbeitende Unternehmen übt seine Aufgaben nach Weisung der Konzernmutter aus, die einzelnen Unternehmen selbst erhalten nur noch das Ergebnis ohne konkret darauf einwirken zu können. Auch eine Dienstleisterkontrolle durch den Auftraggeber, wie beim Auftragsdatenverarbeitungsverhältnis vorgeschrieben, wird in diesen Fällen meist ausscheiden bzw. nicht ernsthaft durchzuführen sein.

Lösung in Grenzfällen

Aufgrund der geschilderten Abgrenzungsprobleme kann nicht generell gesagt werden, ob ein Outsourcing bestimmter Unternehmensbereiche Auftragsdatenverarbeitung oder Funktionsübertragung darstellt.

Umso wichtiger ist es bei möglichen Kompetenzüberschneidungen innerhalb eines Konzerns auf eine klare und konkrete Aufgabenbeschreibung zu achten und die Aufgabenverteilung schriftlich  detailliert zu definieren, etwa anhand eines Entscheidungsbaums. Dabei ist zu beachten, dass bei einer Auftragsdatenverarbeitung iSd §11 BDSG der Auftraggeber rechtlich und faktisch in der Lage sein muss, dem Auftragnehmer jeden einzelnen Arbeitsschritt der Datenverarbeitung vorzuschreiben und die Einhaltung der technisch-organisatorischen Maßnahmen zu überwachen. Ohne eine solche Regelung wird man gerade bei konzerneinheitlichem Outsourcing schwer argumentieren können, dass das abgebende Unternehmen tatsächlich noch Herrin der Daten  ist.

Merke

  • Eine Auftragsdatenverarbeitung liegt nur vor, wenn der Auftraggeber tatsächlich noch Herr des Verfahrens bleibt
  • fehlt beim Dienstleister/Auftragnehmer (Nachtrag zur Klarstellung vom 16.07.2012) die rechtliche oder faktische Entscheidungskompetenz, handelt es sich im Zweifel um eine Auftragsdatenverarbeitung
  • dies gilt auch beim Outsourcing innerhalb von Konzernen oder Unternehmensgruppen – es gibt im Datenschutzrecht kein Konzernprivileg!
  • bei Zweifeln ist es umso wichtiger, die Verantwortungsregelung vertraglich klar zu definieren

Ob also eine Auftragsdatenverarbeitung oder eine Funktionsübertragung vorliegt, ist eine Frage des Einzelfalles, die am Besten der Datenschutzbeauftragte beantworten kann.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Erstellung von Verträgen zur Auftragsdatenverarbeitung
  • Durchführung der gesetzlich vorgeschriebenen Dienstleisterkontrolle
  • Dokumentation des laufenden Prozesses, sowie regelmäßige Folgeprüfungen

Informieren Sie sich hier über unser Leistungsspektrum: Auftragsdatenverarbeitung

7 Kommentare zu diesem Beitrag

  1. In diesem Zusammenhang ist zudem die Regelung der Referenzangabe sinnvoll. Auftragnehmer haben ein starkes Interesse an der Veröffentlichung der Referenzen, gerade im Internet, um neue Kunden zu gewissen. Die Gefahr besteht, dass die Konkurrenz durch die Referenzveröffentlichung ein mögliches Zielobjekt zur Datengewinnung erhält. Referenzen werden meist ungefragt veröffentlicht. Das machen vor allem kleinere Unternehmen gerne, wenn sie für größere Konzerne tätig waren. Um als Auftraggeber eine Steuerung zu den Veröffentlichungen zu erhalten, sollten hier, falls man als Referenzkunde genannt werden soll, einige Sachverhalte vertraglich vereinbart werden. Welche Angaben dürfen gemacht werden? Wann ist die Referenz zu löschen? Wie lange darf sie veröffentlicht werden? Welche Themen sollen dabei beschrieben werden? Man sollte nicht zögern, eine solche Vereinbarung auch bei bestehenden Referenzerwähnungen einzufordern.

  2. Die bloße Angabe von Referenzen ist datenschutzrechtlich unbedenklich, da regelmäßig keine personenbezogenen Daten betroffen sind. Vergessen Sie nicht, dass das BDSG lediglich Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person behandelt. Unternehmen, gerade solche, die als Referenz taugen, sind aber meist als juristische Person aufgestellt – werden also vom BDSG nicht erfasst. Zudem werde ich mich als Auftragnehmer eines großen Unternehmens hüten, dieses ohne oder gegen den Willen auf meiner Referenzliste zu veröffentlichen.

  3. Sie schreiben im letzten Punkt “Merke”: “fehlt die rechtliche oder faktische Entscheidungskompetenz handelt es sich im Zweifel um eine Auftragsdatenverarbeitung”

    Müsste es nicht heißen: “fehlt die rechtliche oder faktische Entscheidungskompetenz handelt es sich im Zweifel um eine Funktionsübertragung”?

    Denn wenn die rechtliche oder faktische Entscheidungskompetenz fehlt, dann ist die verantwortliche Stelle doch nicht mehr “Herrin ihrer Daten”, oder?

  4. @Herrn Lange, Sie haben ganz recht: Gemeint war hier in diesem Sinne auch die fehlende Entscheidungskompetenz auf Seiten des Auftragnehmers/Dienstleisters (siehe nun auch Klarstellung oben im Text). Danke für den Hinweis.

  5. Wird eine Vereinbarung zur Auftragsdatenverarbeitung benötigt, wenn der Auftragnehmer direkt bei dem Auftraggeber zur Unterstützung eingesetzt wird. Welche Regelungen – ausser Sorgfalt, Stillschweigen – können noch getroffen werden?

    • Auch wenn der Auftragnehmer seine Dienstleistungen in den Räumlichkeiten des Auftraggebers erbringt und dabei, z.B. bei Wartungsarbeiten, zumindest die Möglichkeit der Kenntnisnahme personenbezogener Daten des Auftraggebers besteht, ist ein Vertrag zur Auftragsdatenverarbeitung abzuschließen. Zu Regeln sind mindestens die in § 11 BDSG geforderten Punkte.
      In vielen Fällen ist es außerdem sinnvoll, eine Vertraulichkeitsvereinbarung aufzunehmen, da diese sich nicht nur auf personenbezogene Daten sondern auch auf Betriebs- oder Geschäftsbereiche erstreckt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.