*

Sep
24

Externer Datenschutzbeauftagter - ...Auftragsdatenverarbeitung und Funktionsübertragung

Externer Datenschutzbeauftragter Berlin Brandenburg - Auftagsdatenverarbeitung und FunktionsuebertragungAutor: Felix Ginthum, Rechtsanwalt u. externer Datenschutzbeauftragter Berlin (TÜV Nord)

§ 11 des Bundesdatenschutzgesetzes (BDSG) lässt ausdrücklich die sogenannte Auftragsdatenverarbeitung zu. In der Praxis ist jedoch häufig unklar, was damit genau gemeint ist. Denn es kommt in der Regel häufig vor, dass Unternehmen Externe beauftragen personenbezogene Daten zu verarbeiten. An eine Auftragsdatenverarbeitung unter dem Aspekt des Datenschutzes wird häufig nicht gedacht.

Im Folgenden soll kurz erläutert werden, wann an eine sog. Auftragsdatenverarbeitung  vorliegt und was dabei zu beachten ist.

  

Auftragsdatenverarbeitung: Was ist das?

Eine Datenverarbeitung nach dem BDSG im Auftrage liegt vor, wenn ein Unternehmen personenbezogene Daten im Auftrag durch eine andere Stelle (Externe, Dienstleister, Drittanbieter) erheben, verarbeiten oder nutzen lässt und das Unternehmen die volle datenschutzrechtliche Verantwortung für die ordnungsgemäße Datenverarbeitung weiterhin als Auftraggeber inne hat. Das Serviceunternehmen (Externe, Dienstleister) fungiert hierbei als ausgelagerte Abteilung des weiterhin datenschutzrechtlich verantwortlichen Auftraggebers, welcher als „Herr der Daten“ die volle Verfügungsgewalt über diese hat und entsprechend alleine über deren Erhebung, Verarbeitung oder Nutzung bestimmt. Dabei ist der Auftragnehmer wie ein eigener Mitarbeiter des Unternehmens bei der Datenverarbeitung zu beaufsichtigen.

Einige Beispiele von Auftragsdatenverarbeitung:

  • Outsourcing der Lohn- und Gehaltsabrechnung
  • Outsourcing des Rechenzentrums, der Rechnungslegung
  • Externes Callcenter für Support und Kundengewinnung
  • Aktenvernichtung durch Dienstleister
  • Marketingaktionen, Versand von Werbebriefe durch Marketing Agentur
  • Fernwartung mit Zugriff auf personenbezogene Daten

Überlässt ein Auftraggeber einem Auftragnehmer personenbezogene Daten, handelt es sich nicht um eine Datenübermittlung an eine andere datenverarbeitende Stelle, sondern um eine Form der Datennutzung durch den Auftraggeber. Der Auftragnehmer darf die Daten nur in dem Maße verarbeiten, wie dies auch sein Auftraggeber darf (Zweckbindung). Von der Auftragsdatenverarbeitung sind jedoch noch die Bereiche abzugrenzen, welche als Funktionsübertragung angesehen werden.

  

Funktionsübertragung: keine Auftragsdatenverarbeitung

Zur Abgrenzung zur Auftragsdatenverarbeitung wird durch die sog. Funktionsübertragungstheorie vorgenommen. Eine Funktionsübertragung liegt dabei vor, wenn neben der spezifischen Verarbeitung von  personenbezogenen Daten ein gesamter Aufgabenbereich übertragen wird. Für diesen Fall ist der Dritte (Externe, Dienstleister) nicht mehr reiner Auftragnehmer, sondern wird selbst als verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG angesehen.

Keine Auftragsdaten-Verarbeiter sind daher solche Personen, Unternehmen oder Stellen, welche ihre Dienstleistung gegenüber dem Auftraggeber weisungsfrei erbringen. Hierzu zählen insbesondere:

  • Steuerberater
  • Rechtsanwälte
  • Wirtschaftsprüfer
  • externe betriebliche Datenschutzbeauftragte

Das entscheidende Kriterium, mit dem die Funktionsübertragung von der Auftragsdatenverarbeitung abgegrenzt werden kann, ist der Umfang der tatsächlichen Verantwortung und damit die Frage, wer die Entscheidungsbefugnis hinsichtlich des Umgangs mit den personenbezogenen Daten innehat. 

Steht fest, dass eine Auftragsdatenverarbeitung vorliegt und ist schließlich geprüft worden, dass keine Funktionsübertragung stattgefunden hat, ist einiges zu beachten. Da es bei der Prüfung, ob eine Auftragsdatenverarbeitung vorliegt oder nicht zu Unklarheiten läuft der Auftraggeber Gefahr, gemäß § 43 BDSG mit Geldbußen durch die Datenschutzbehörden sanktioniert zu werden.

  

Was ist zu tun? Pflichten des Auftraggebers.

Generell hat der Auftraggeber bei der Auftragsdatenverarbeitung folgendes zu beachten:

  • Die Auftragsdatenverarbeitung  muss schriftlich geregelt werden.
  • Der Auftraggeber muss Maßnahmen zum Datenschutz und zur Datensicherheit beim Auftragnehmer sicherstellen und diese in geeigneter Form kontrollieren (ggf. vor Ort beim Auftragnehmer).
  • Der Auftraggeber ist für die Einhaltung der gesetzlichen Datenschutzvorschriften weiter verantwortlich und nicht der Auftragnehmer.
  • Die einfache Erklärung des Auftragnehmers über die Einhaltung des Datenschutzgesetzes ist nicht ausreichend!

Auch die Auftragnehmer unterliegen den Regelungen des BDSG und sollten bemüht sein, dem Auftraggeber bei der Umsetzung des Datenschutzes zu helfen. Jeder Auftraggeber trägt insoweit zunächst als verantwortliche Stelle die alleinige Verantwortung und sollte die bestehenden Verträge sorgfältig fachkundig prüfen lassen oder, sofern es angezeigt ist, einen internen oder externen Datenschutzbeauftragten einsetzen, der hilft die Risiken zu minimieren und die erforderlichen Regelungen umzusetzen.

  

  

Externer-Datenschutzbeauftragter24.de - ...Ihre Experten für betrieblichen Datenschutz in Berlin und Brandenburg

Benutzername:
User-Login
Ihr E-Mail