In der datenschutzrechtlichen Beratung erhält man häufig auf die Frage nach beauftragten Dienstleistern, die personenbezogene Daten verarbeiten und mit denen bei Vorliegen der entsprechenden Voraussetzungen ein Auftragsdatenverarbeitungsvertrag zu schließen ist, die Antwort: „Haben wir nicht.“ Auf weitere, konkretere Nachfrage, wie es denn mit freien Mitarbeitern oder Zeitarbeitern aussehe, heißt es dann aber: „Ach ja, haben wir!“. Dieser Beitrag fasst daher noch einmal kurz zusammen, in welchen Fällen unter anderem an eine Auftragsdatenverarbeitung zu denken ist.
Der Inhalt im Überblick
Was ist Datenverarbeitung im Auftrag?
Datenverarbeitung im Auftrag liegt dann vor, wenn Daten im Auftrag durch eine andere Stelle erhoben, verarbeitet oder genutzt werden und die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. Eine Weitergabe von personenbezogenen Daten im Rahmen einer Auftragsdatenverarbeitung stellt keine Übermittlung von Daten und somit keine Verarbeitung im Sinne des § 3 Abs. 4 Nr. 3 BDSG dar, welche einer Legitimation durch eine Rechtsvorschrift oder Einwilligung der Betroffenen (§ 4 Abs. 1 BDSG) bedarf.
Wie erfolgt die Abgrenzung von der Datenübermittlung?
Abzugrenzen von der Auftragsdatenverarbeitung ist die Datenübermittlung, wobei unterschiedliche Auffassungen dahingehend existieren, anhand welcher Kriterien diese Abgrenzung vorzunehmen ist. Gemeinsam haben jedoch beide Auffassungen, dass bei Nichtvorliegen einer Auftragsdatenverarbeitung eine Rechtsgrundlage für die Weitergabe erforderlich ist, da es sich dann um eine Übermittlung handelt, welche einen Unterfall der Datenverarbeitung darstellt:
Funktionsübertragungstheorie
Überwiegend wird die Abgrenzung anhand der sog. Funktionsübertragungstheorie vorgenommen. Eine Funktionsübertragung liegt hiernach in der Regel dann vor, wenn neben der konkreten Verarbeitung der peronenbezogenen Daten ein gesamter Aufgabenbereich übertragen wird. In diesem Fall ist der Dritte nicht mehr bloß Auftragnehmer, sondern selbst verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG.
Wichtigstes Kriterium, mit dem die Funktionsübertragung von der Auftragsdatenverarbeitung abgegrenzt wird, ist der Umfang der tatsächlichen Verantwortung und damit letztlich die Frage, wer die konkrete Entscheidungsbefugnis hinsichtlich des Umgangs mit den personenbezogenen Daten inne hat. Diese Auffassung lässt eine Auftragsdatenverarbeitung daher lediglich dann zu, wenn eine Hilfsfunktion übertragen wird.
Vertragliche Abgrenzung
Nach anderer Ansicht sei im Gegensatz zur Funktionsübertragungstheorie nicht entscheidend, welche Aufgabe in welchem Umfang delegiert wird, sondern wie dies konkret geschieht.
Voraussetzung für eine Auftragsdatenverarbeitung sei hiernach, dass sich der Auftragnehmer den Weisungen des Auftraggebers unterwirft und die Voraussetzungen des § 11 BDSG eingehalten werden, d.h. ein Vertrag mit den im Gesetz konkret genannten Inhalten zwischen den Parteien abgeschlossen wird.
Vertreter dieser Auffassung argumentieren damit, dass eine einschränkende Anwendung der Auftragsdatenverarbeitung auf Hilfsfunktionen keine Stütze im Datenschutzgesetz oder in der europäischen Datenschutzrichtlinie finde und § 11 Abs. 2 S. 2 Nr. 2 BDSG es explizit den Vertragsparteien überlasse, Umfang, Art und Zwecke der Datenverarbeitung näher zu bestimmen.
Wer kann Auftragsdatenverarbeiter sein?
An eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG nach Abgrenzung entsprechend den o.g. Kriterien ist zum Beispiel bei der Beauftragung folgender Externer zu denken:
- Zeitarbeitsfirmen, von denen die verantwortliche Stelle Arbeitnehmer entleiht
- Freie Mitarbeiter mit z.B. (Remote)Zugriff auf Server und Anwendungen, mit denen personenbezogene Daten verarbeitet werden
- Unternehmen, die sog. Shared Services für andere Unternehmen im Unternehmensverbund erbringen
- Sicherheitsdienste wie Werkschutz
Wer ist nicht Auftragdatenverarbeiter?
Keine Auftragsdatenverarbeiter sind in der Regel solche Personen oder Stellen, die ihre Dienstleistung gegebnüber dem Auftraggeber weisungsfrei erbringen. Hierzu zählen beispielsweise:
- Steuerberater,
- Rechtsanwälte
- und der externe betriebliche Datenschutzbeauftragte.