Zum Inhalt springen Zur Navigation springen
Auftragsdatenverarbeitung – Wie wird diese von der Funktionsübertragung abgegrenzt?

Auftragsdatenverarbeitung – Wie wird diese von der Funktionsübertragung abgegrenzt?

Werden Daten durch Dritte im Auftrag verarbeitet, kommt es qua Gesetz zu einer Privilegierung: Nach §3 VIII BDSG ist die Datenweitergabe nicht als Übermittlung anzusehen. Der Auftragnehmer ist datenschutzrechtlich kein „Dritter“, sondern gilt gleichsam als verlängerter Arm des Auftraggebers. Folge ist, dass eine besondere Einwilligung der Betroffenen oder eine andere Rechtsgrundlage für die Weitergabe ihrer Daten nicht erforderlich ist. Dies gilt aber nur dann, wenn eine Auftragsdatenverarbeitung im rechtlichen Sinne auch wirklich vorliegt. Wird jedoch neben der konkreten Verarbeitung der Daten der gesamte Aufgabenbereich übertragen, kann es sich rechtlich um eine Funktionsübertragung handeln. In diesem Fall ist der Dritte nicht mehr bloß Auftragnehmer sondern selbst „verantwortliche Stelle“ und die Weitergabe der Daten bedarf einer gesonderten Erlaubnis.

Abgrenzungsprobleme

Wegen dieser vollkommen unterschiedlichen Rechtsfolge ist es wichtig zu wissen, wann es sich um eine Auftragsdatenverarbeitung handelt und wann eine  Funktionsübertragung vorliegt. Leider gehört diese Frage aber zu den schwierigsten Abgrenzungen im Datenschutzrecht. Denn dem BDSG oder der Datenschutzrichtlinie selbst sind klare Vorgaben nicht zu entnehmen, obwohl diese Frage beim Outsourcing von Unternehmensabläufen immer relevant ist und eine praktikable Lösung umso wichtiger wäre. Das bedeutet, dass eine einheitliche Aussage, wann und für welche Bereiche eine Auftragsdatenverarbeitung vorliegt, nicht getroffen werden kann und es vielmehr stets einer Entscheidung im Einzelfall bedarf.

Kriterien

Wichtigstes Kriterium, mit dem die Funktionsübertragung von der Auftragsdatenverarbeitung abgegrenzt wird, ist der Umfang der tatsächlichen Verantwortung und damit letztlich die Frage, wer die konkrete Entscheidungsbefugnis innehat.

Typischerweise hat die Auftragsdatenverarbeitung lediglich eine Hilfs- und Unterstützungsfunktion, der Auftragsnehmer hat keinen inhaltlichen Entscheidungsspielraum und ist abhängig von den Weisungen und Vorgaben des Auftraggebers.

Wird hingegen nicht nur die konkrete Datenverarbeitung sondern der gesamte Aufgaben- oder Geschäftsbereich an den Dritten zur Erledigung übertragen, handelt es sich regelmäßig um eine Funktionsübertragung. Ein Zeichen für eine Funktionsübertragung kann es sein, wenn die verarbeitende Stelle eigene Entscheidungsbefugnisse oder eigenes Ermessen hat oder im Rahmen der konkreten Datenverarbeitung selbständig nach außen kommuniziert.

Praktische Auswirkungen

Für die unternehmerische Praxis bedeutet dies, dass immer dann wenn Unternehmensbereiche komplett auf Dritte ausgelagert werden, genau untersucht werden muss, ob letztlich die Verantwortung für die konkrete Form der Datenverarbeitung noch beim abgebenden Unternehmen verbleibt.

Fraglich kann das etwa sein, wenn etwa die gesamte Personal(daten)verwaltung innerhalb einer Unternehmensgruppe oder eines Konzerns auf ein Tochterunternehmen oder gar auf die Muttergesellschaft  ausgelagert wird. Hier stellt sich letztlich die Frage, ob die jeweiligen Unternehmen der Gruppe überhaupt noch die tatsächliche Verantwortung und Weisungshoheit für die Daten haben. Denn meist handeln die ausgelagerten Gesellschaften autark und werden tatsächlich von dem Mutterkonzern gelenkt, ohne dass die einzelnen Unternehmen des Konzerns darauf Einfluss hätten.

Von einer Auftragsdatenverarbeitung wird man jedenfalls dann nicht mehr sprechen können, wenn das dritte Unternehmen konzerneinheitliche Stellenausschreibungen und Bewerbungsverfahren durchführt und Personalentscheidungen vornehmen kann, Betroffenenrechte sicherstellt und Benachrichtigungen vornimmt und Auskünfte erteilt.

Das gleiche Problem stellt sich bei der Auslagerung anderer Bereiche wie Finanzbuchhaltung, zentralem Marketing oder IT-Dienstleistungen. Hier gibt es oft einheitliche Konzernvorgaben, das verarbeitende Unternehmen übt seine Aufgaben nach Weisung der Konzernmutter aus, die einzelnen Unternehmen selbst erhalten nur noch das Ergebnis ohne konkret darauf einwirken zu können. Auch eine Dienstleisterkontrolle durch den Auftraggeber, wie beim Auftragsdatenverarbeitungsverhältnis vorgeschrieben, wird in diesen Fällen meist ausscheiden bzw. nicht ernsthaft durchzuführen sein.

Lösung in Grenzfällen

Aufgrund der geschilderten Abgrenzungsprobleme kann nicht generell gesagt werden, ob ein Outsourcing bestimmter Unternehmensbereiche Auftragsdatenverarbeitung oder Funktionsübertragung darstellt.

Umso wichtiger ist es bei möglichen Kompetenzüberschneidungen innerhalb eines Konzerns auf eine klare und konkrete Aufgabenbeschreibung zu achten und die Aufgabenverteilung schriftlich  detailliert zu definieren, etwa anhand eines Entscheidungsbaums. Dabei ist zu beachten, dass bei einer Auftragsdatenverarbeitung iSd §11 BDSG der Auftraggeber rechtlich und faktisch in der Lage sein muss, dem Auftragnehmer jeden einzelnen Arbeitsschritt der Datenverarbeitung vorzuschreiben und die Einhaltung der technisch-organisatorischen Maßnahmen zu überwachen. Ohne eine solche Regelung wird man gerade bei konzerneinheitlichem Outsourcing schwer argumentieren können, dass das abgebende Unternehmen tatsächlich noch Herrin der Daten  ist.

Merke

  • Eine Auftragsdatenverarbeitung liegt nur vor, wenn der Auftraggeber tatsächlich noch Herr des Verfahrens bleibt
  • fehlt beim Dienstleister/Auftragnehmer (Nachtrag zur Klarstellung vom 16.07.2012) die rechtliche oder faktische Entscheidungskompetenz, handelt es sich im Zweifel um eine Auftragsdatenverarbeitung
  • dies gilt auch beim Outsourcing innerhalb von Konzernen oder Unternehmensgruppen – es gibt im Datenschutzrecht kein Konzernprivileg!
  • bei Zweifeln ist es umso wichtiger, die Verantwortungsregelung vertraglich klar zu definieren

Ob also eine Auftragsdatenverarbeitung oder eine Funktionsübertragung vorliegt, ist eine Frage des Einzelfalles, die am Besten der Datenschutzbeauftragte beantworten kann.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • In diesem Zusammenhang ist zudem die Regelung der Referenzangabe sinnvoll. Auftragnehmer haben ein starkes Interesse an der Veröffentlichung der Referenzen, gerade im Internet, um neue Kunden zu gewissen. Die Gefahr besteht, dass die Konkurrenz durch die Referenzveröffentlichung ein mögliches Zielobjekt zur Datengewinnung erhält. Referenzen werden meist ungefragt veröffentlicht. Das machen vor allem kleinere Unternehmen gerne, wenn sie für größere Konzerne tätig waren. Um als Auftraggeber eine Steuerung zu den Veröffentlichungen zu erhalten, sollten hier, falls man als Referenzkunde genannt werden soll, einige Sachverhalte vertraglich vereinbart werden. Welche Angaben dürfen gemacht werden? Wann ist die Referenz zu löschen? Wie lange darf sie veröffentlicht werden? Welche Themen sollen dabei beschrieben werden? Man sollte nicht zögern, eine solche Vereinbarung auch bei bestehenden Referenzerwähnungen einzufordern.

  • Die bloße Angabe von Referenzen ist datenschutzrechtlich unbedenklich, da regelmäßig keine personenbezogenen Daten betroffen sind. Vergessen Sie nicht, dass das BDSG lediglich Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person behandelt. Unternehmen, gerade solche, die als Referenz taugen, sind aber meist als juristische Person aufgestellt – werden also vom BDSG nicht erfasst. Zudem werde ich mich als Auftragnehmer eines großen Unternehmens hüten, dieses ohne oder gegen den Willen auf meiner Referenzliste zu veröffentlichen.

  • Tja, dann…
    Zudem werde ich mich als Auftragnehmer eines großen Unternehmens hüten, dieses ohne oder gegen den Willen auf meiner Referenzliste zu veröffentlichen.

    Aus welchem Grunde?

  • Sie schreiben im letzten Punkt „Merke“: „fehlt die rechtliche oder faktische Entscheidungskompetenz handelt es sich im Zweifel um eine Auftragsdatenverarbeitung“

    Müsste es nicht heißen: „fehlt die rechtliche oder faktische Entscheidungskompetenz handelt es sich im Zweifel um eine Funktionsübertragung“?

    Denn wenn die rechtliche oder faktische Entscheidungskompetenz fehlt, dann ist die verantwortliche Stelle doch nicht mehr „Herrin ihrer Daten“, oder?

  • @Herrn Lange, Sie haben ganz recht: Gemeint war hier in diesem Sinne auch die fehlende Entscheidungskompetenz auf Seiten des Auftragnehmers/Dienstleisters (siehe nun auch Klarstellung oben im Text). Danke für den Hinweis.

  • Wird eine Vereinbarung zur Auftragsdatenverarbeitung benötigt, wenn der Auftragnehmer direkt bei dem Auftraggeber zur Unterstützung eingesetzt wird. Welche Regelungen – ausser Sorgfalt, Stillschweigen – können noch getroffen werden?

    • Auch wenn der Auftragnehmer seine Dienstleistungen in den Räumlichkeiten des Auftraggebers erbringt und dabei, z.B. bei Wartungsarbeiten, zumindest die Möglichkeit der Kenntnisnahme personenbezogener Daten des Auftraggebers besteht, ist ein Vertrag zur Auftragsdatenverarbeitung abzuschließen. Zu Regeln sind mindestens die in § 11 BDSG geforderten Punkte.
      In vielen Fällen ist es außerdem sinnvoll, eine Vertraulichkeitsvereinbarung aufzunehmen, da diese sich nicht nur auf personenbezogene Daten sondern auch auf Betriebs- oder Geschäftsbereiche erstreckt.

  • Hallo, wir haben mehrere Standorte mit zuständigen bei uns angestellten Koordinatoren. Diese möchten wir eine Vollmacht für die Führerscheinkontrolle geben. Ist dies dann eine Funktionsübertragung oder eine Auftragsdatenverarbeitung? Was ist rechtlich zu beachten?

    Vielen Dank im Voraus!

    • Die Beantwortung der Frage, ob eine Auftragsdatenverarbeitung oder eine Funktionsübertragung vorliegt, hängt maßgeblich vom jeweiligen Einzelfall ab. Eine ausführliche Begutachtung von Einzelfällen ist im Rahmen dieses Forums leider nicht möglich. Nachfolgend finden Sie dennoch ein paar kurze Anmerkungen zu Ihrer Frage. Soweit es sich um Standorte (ein Unternehmen) und nicht um rechtlich selbstständige Gesellschaften (Tochtergesellschaften) handelt, liegen weder eine Auftragsdatenverarbeitung noch eine Funktionsübertragung vor. Handelt es sich um rechtlich selbstständige Tochtergesellschaften, hängt die Beurteilung maßgeblich von der Ausgestaltung der Führerscheinkontrolle ab (verfügen die Verantwortlichen über einen inhaltlichen Entscheidungsspielraum oder nehmen sie lediglich eine Hilfs- und Unterstützungsfunktion wahr?).

  • Frage: ADV oder Funktionsübertragung?
    Situation: Ein IT-Dienstleister (A) setzt einen weiteren IT-Dienstleister (B) mangels eigener Ressourcen zur Durchführung eines Migrationsprojektes bei einem Kunden (C) ein. C kommuniziert sowohl mit A als auch mit B. A wiederum stellt B Listen und E-Mails mit Ansprechpartnern und Informationen zu C zur Verfügung, damit B die Arbeiten bei C unter der Flagge/auf Weisung von A ausführen kann. B unterliegt jedoch auch der Weisung von C. B greift auf Systeme von C im Rahmen des Projektes zu, jedoch nicht auf Systeme von A.

    • Wenn A auf Weisung des Kunden aufgrund der Leistungsbeschreibung aus dem Vertragsverhältnis personenbezogene Daten des Kunden verarbeitet, so kann von einem Auftragsdatenverarbeitungsverhältnis ausgegangen werden. Ist A jedoch weisungsfrei und handelt nicht nur als „verlängerter Arm“ des Kunden, so wird in der Regel eine Funktionsübertragung anzunehmen sein. Ob sich A dabei zur Durchführung der vertraglich vereinbarten Leistung eines Dienstleisters bedient, ist für die Beurteilung des Verhältnisses zwischen A und C zunächst nicht relevant.

  • Hallo, handelt es sich bei folgender Situation um ADV oder Funktionsübertragung?
    Eine Bank kauft die Software eines Unternehmens, um den Beratern die Möglichkeit zu bieten Versicherungen eines bestimmten Anbieters abschließen zu können.
    Muss das Softwareunternehmen eine ADV mit dem Versicherer schließen, in der das Softwareunternehmen Auftraggeber ist? Schließlich werden die Kundendaten ja in die Software eingestellt und an die Rechenkerne des Versicherers weitergeleitet, um Angebote bzw. Anträge zu erstellen.
    Oder handelt es sich um eine Funktionsübertragung, da der Versicherer ja die letzte Entscheidungskompetenz besitzt (kommt der Vertrag zustande oder nicht) und das Softwareunternehmen im Endeffekt nur das Bindeglied zwischen Bank und Versicherer ist?

    • Zunächst müssen die Rollen klar gekennzeichnet sein: Nach Ihrer Schilderung scheint die Bank Auftraggeber und die Softwarefirma Auftragnehmer zu sein. Einen ADV benötigt man in diesem Verhältnis aber nur, soweit die Softwarefirma auch tatsächlich Daten verarbeitet. Die Rolle der Versicherung hängt von der vertraglichen Beziehung Bank-Versicherung ab. Hier dürfte die Softwarefirma Auftragnehmer sein, da sie nur weisungsgebunden handeln darf und die Daten nur so verarbeiten darf, wie die Bank dies vorgibt. Um dies genau analysieren zu können, bedarf es jedoch genauerer Angaben.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.