Auftragsdatenverarbeitung vs. Funktionsübertragung – Teil 2: Unterscheidungskriterien

Datenschutz IT-Konzept

Wann liegt eine Funktionsübertragung bzw. eine Auftragsdatenverarbeitung vor?

Wie ich bereits berichtet habe, ist die Entscheidung, ob in einem konkreten Fall nun eine Auftragsdatenverarbeitung gem. § 11 BDSG vorliegt oder Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG als sog. Funktionsübertragung vorliegt, manchmal gar nicht so einfach.
Ich kann mich daran erinnern, dass ich bereits in mehreren Fällen (mehr oder weniger leidenschaftlich) mit einem Vertragspartner eines Mandanten über diese Frage gestritten habe, manchmal für und manchmal gegen eine Auftragsdatenverarbeitung, da wie noch dargestellt wird, die Unterscheidung ungemeine datenschutzrechtliche Auswirkungen hat.

Ein recht offenes Geheimnis ist auch, dass man bei Kenntnis der Unterscheidungskriterien durch eine einigermaßen geschickte juristische Ausgestaltung durchaus eine Auftragsdatenverarbeitung oder eine Funktionsübertragung „formen“ kann.

Indizien für Vorliegen einer Auftragsdatenverarbeitung

Ausschlaggebend bei einer Auftragsdatenverarbeitung im Sinne des § 11 BDSG ist, dass der Auftragnehmer eine Datenverarbeitung ganz streng nach Weisung des Auftraggebers durchführt. Dem Auftragnehmer verbleibt also kein Entscheidungsspielraum oder eine gewisse Eigenständigkeit bei der Frage, wie oder welche Daten verarbeitet werden. Keinesfalls erbringt der Auftragnehmer über die technische Datenverarbeitung hinaus materielle vertragliche Leistungen. Es wird folglich nicht die Aufgabe selbst vom Auftraggeber ausgelagert (dann Funktionsübertragung), sondern nur der zur Erfüllung der Aufgabe des Auftraggebers erforderliche Umgang mit den personenbezogenen Daten.

Die Datenschutzaufsichtsbehörden – namentlich das Ministerium des Innern des Landes Sachsen-Anhalt und der Landesbeauftragte für den Datenschutz Sachsen-Anhalt haben vor einigen Jahren folgende „Erkennungsmerkmale“ für eine Auftragsdatenverarbeitung benannt:

  • dem Auftragnehmer fehle jegliche Entscheidungsbefugnis
  • der Auftragnehmer sei strikt an Weisungen des Auftraggebers dahingehend gebunden, was mit den Daten zu geschehen habe
  • grundsätzlich habe der Auftragnehmer nur mit Daten umzugehen, welche der Auftraggeber zur Verfügung stelle, außer die Beauftragung des Auftragnehmers sei auch auf die Erhebung personenbezogener Daten gerichtet
  • eine Verarbeitung oder Nutzung der Daten zu eigenen Zwecken des Auftragnehmers sei ausgeschlossen
  • es bestehe keine (vertragliche) Beziehung des Auftragnehmers zu derjenigen Person, deren personenbezogene Daten verarbeitet werden
  • der Auftragnehmer trete (gegenüber dem Betroffenen) nicht in eigenem Namen auf

Indizien für Vorliegen einer Funktionsübertragung

Eine Funktionsübertragung, also eine Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG liegt immer dann vor, wenn der Auftragnehmer „eigenverantwortlich“ personenbezogene Daten verarbeitet, also ohne klare und unmissverständliche Weisungen von Seiten des Auftraggebers agiert, indem dem Auftragnehmer ein eigener Ermessenspielraum verbleibt, wie er mit den Daten umgeht, z.B. weil ihm die inhaltliche Organisation des Geschäftsablaufs überlassen wird oder der Auftraggeber keine Möglichkeit hat, den Auftragnehmer im Umgang mit personenbezogenen Daten zu beeinflussen. Oftmals erkennt man eine Funktionsübertragung auch daran, dass die Datenüberlassung sozusagen nur ein Nebenzweck der Beauftragung zu einer anderen eigenständigen Leistung ist, sozusagen ein „notwendiges Übel“. Beispielsweise, wenn ein Rechtsanwalt eine Klage zu führen hat oder ein Steuerberater eine Steuererklärung für seinen Mandanten erstellt.

Die oben genannten Aufsichtsbehörden haben zur Funktionsübertragung folgende „Erkennungsmerkmale“ definiert:

  • der Auftragnehmer sei frei von Weisungen dahingehend, was mit den Daten geschieht
  • dem Auftragnehmer werden eigene Nutzungsrechte an den Daten eingeräumt
  • der Auftragnehmer ist selbst für die Sicherstellung der Zulässigkeit und Richtigkeit der Daten verantwortlich und sichert auch eigenverantwortlich die Betroffenenrechte
  • der Auftragnehmer tritt gegenüber dem Betroffenen – also dessen Daten verarbeitet werden, im eigenen Namen auf
  • dem Auftragnehmer verbleibt eine Entscheidungsbefugnis in der Sache selbst

Ich denke, man merkt, wie vage manche dieser „Erkennungsmerkmale“ sind bzw. wie schwierig dies in der Praxis oftmals zu beurteilen ist.

(RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe)