Donnerstag, 7. April 2016

Auftragsdatenverarbeitung vs. Funktionsübertragung - Diese Punkte sollten Sie beachten

Häufig kommt es vor, dass Unternehmen sich nicht sicher sind, ob es sich bei einer Outsourcing-Dienstleistung datenschutzrechtlich um eine Auftragsdatenverarbeitung oder eine Funktionsübertragung handelt. Dies ist insofern wichtig, da im Falle einer Auftragsdatenverarbeitung natürlich ein ADV-Vertrag nach § 11 BDSG zwischen Auftraggeber und Auftragnehmer geschlossen werden muss.


Auftragsdatenverarbeitung


Eine Auftragsdatenverarbeitung zeichnet sich regelmäßig durch folgende Eigenschaften aus:

  • Der Outsourcing-Dienstleister/Auftragnehmer hat selber keinen Vertrag mit dem Betroffenen.
  • Er tritt gegenüber dem Betroffenen nicht mit eigenem Namen auf.
  • In der Regel hat er nur Umgang mit den Daten, die ihm der Auftraggeber zur Verfügung stellt.
  • Er hat keinerlei Befugnis, über die Daten zu entscheiden.
  • Er ist weisungsgebunden bezüglich der Daten.
  • Fiktiv tritt er als Teil des Auftraggeber-Unternehmens auf.
  • Die Nutzung der Daten zu eigenen Zwecken ist ausgeschlossen!


Datenschutz: Auftragsdatenverarbeitung vs. Funktionsübertragung - die ADV nach § 11 BDSG

Beispiele für Auftragsdatenverarbeiter


Auftragsdatenverarbeitung findet man nahezu immer im Bereich Outsourcing. Rechenzentren, Callcenter, Entsorgungsunternehmen oder Druckereien sind typische Auftragsdatenverarbeiter. Aber auch Systemhäuser sowie Hard- und Softwareunternehmen, die bei der (Fern-)Wartung beiläufig auf personenbezogene Daten treffen könnten, fallen hierunter.

Funktionsübertragung


Die Funktionsübertragung unterscheidet sich von der Auftragsdatenverarbeitung insbesondere dadurch, dass der Outsourcing-Dienstleister:
  • die Verantwortung was die Zulässigkeit der Datenverarbeitung betrifft, übernimmt. Er wird zur verantwortlichen Stelle.
  • gegenüber dem Auftraggeber weisungsfrei ist, was die Datenerhebung, -verarbeitung und -nutzung anbelangt. Der Auftraggeber hat keinen Einfluss.
  • eigenverantwortlich die Rechte der Betroffenen sicherstellen muss.
  • gegenüber dem Betroffenen unter eigenem Namen auftritt.
  • in der Regel über ein bestimmtes Fachwissen oder über Erfahrungen und Möglichkeiten verfügt, die der Auftraggeber nicht besitzt.
  • Nutzungsrechte an den Daten hat.
  • die Daten zu eigenen Zwecken verwenden kann, falls dies nicht anders geregelt ist!


Datenschutz: Auftragsdatenverarbeitung vs. Funktionsübertragung - die Funktionsübertragung

Beispiele für Funktionsübertragung


Beispiele für Funktionsübertragung finden sich insbesondere im Falle von Ärzten, Rechtsanwälten, Steuerkanzleien, Inkassounternehmen oder Privatdetektiven. Es ist ganz klar zu erkennen, dass der Auftraggeber hier ja gar nicht in der Lage wäre, dem Dienstleister Anweisungen oder Vorgaben für die Durchführung des Auftrags zu geben. Somit fallen auch viele Datenweitergaben innerhalb eines Konzerns unter die Funktionsübertragung, z.B. die Bildung einer zentralen Konzern-Personalverwaltung.

Tipp: Auch Funktionsübertragung vertraglich regeln!


Auch wenn bei der Funktionsübertragung keine gesetzliche Pflicht zum Abschluss eines Vertrages besteht, ist es insofern aufgrund haftungsrechtlicher Überlegungen und zum Schutz von Betroffenen im Einzelfall sinnvoll, die in § 11 BDSG aufgeführten Kriterien auch bei der Funktionsübertragung als Maßstab für die Auswahl des Outsourcingnehmers und die Vertragsgestaltung anzuwenden. Hier kann der Auftraggeber für ihn wichtige Dinge konkret ausformulieren, z.B.

  • Verantwortlichkeiten
  • Zweckbindung
  • Hinweispflichten
  • Geheimhaltungspflichten
  • Pflicht zur Bestellung eines Datenschutzbeauftragten
  • Festlegung der technischen und organisatorischen Maßnahmen
  • Prüfungs- und Kontrollrechte
  • Unterauftragsverhältnisse
Ich empfehle in der Regel, speziell auch das Thema Haftungsübernahme durch den Outsourcingnehmer explizit schriftlich zu regeln. Nicht dass hier Missverständnisse bleiben.

BEST OF CONSULTING 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2016 ausgezeichnet.


Gerne unterstützen wir auch Ihr Unternehmen. Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele