Bedeutung der Unterscheidung für den Datenschutzbeauftragten
Nicht nur für die Verantwortlichkeit und die Haftung – siehe Teil 3 dieser Reihe – ist die Unterscheidung zwischen einer Auftragsdatenverarbeitung und einer Funktionsübertragung immens wichtig, auch wenn die Unterscheidung zwischen einer Auftragsdatenverarbeitung und einer Funktionsübertragung in der Praxis manchmal schwierig sein kann (siehe Teil 1 und Teil 2 der Reihe). Auch für den Datenschutzbeauftragten der beteiligten Unternehmen ist es extrem wichtig zu wissen, von welchem Fall auszugehen ist.
Funktionsübertragung
Bei der Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG gibt es für den Datenschutzbeauftragten des übermittelnden und des empfangenden Unternehmens keine Besonderheiten: Er nimmt diese Verfahren jeweils in das Verfahrensverzeichnis des jeweiligen Unternehmens auf und prüft beim übermittelten Unternehmen die Befugnisse zur Datenübermittlung (etwa im Rahmen des § 28 Abs. 1 BDSG) bzw. beim empfangenden Unternehmen der Verarbeitung der personenbezogenen Daten.
Auftragsdatenverarbeitung
Bei einer Auftragsdatenverarbeitung sieht die Situation vollkommen anders aus: Da bei der Auftragsdatenverarbeitung der Auftraggeber für den Datenschutz insgesamt voll verantwortlich bleibt, muss auch der Datenschutzbeauftragte des Auftraggebers die Datenverarbeitung beim Auftragnehmer voll überwachen. Zu diesem Zweck hat er das gesamte Verfahren – auch die Verarbeitung beim Auftragnehmer – in seinem internen Verfahrensverzeichnis zu führen. Hierzu ist er zum einen auf die Informationen vom Auftragnehmer angewiesen. Zum anderen hat er sich die erforderlichen Erkenntnisse und Einsichten in die Datenverarbeitungen durch den Auftragnehmer durch die von § 11 Abs. 2 Satz 4 BDSG geforderten Kontrollmaßnahmen einzuholen. Gemäß dieser Vorschrift ist der Datenschutzbeauftragte oder eine andere verantwortliche Person auf Seiten des Auftraggebers verpflichtet, sich regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen (nach § 9 BDSG und der Anlage zu § 9 BDSG) zu überzeugen. Gemäß § 11 Abs. 2 Satz 5 BDSG hat der Prüfer das Ergebnis dieser Kontrollen zu dokumentieren.
Der Datenschutzbeauftragte des Auftragnehmers sollte bei Anfragen durch die verantwortliche Person oder den Datenschutzbeauftragten des Auftraggebers Auskunft zu Details des durchgeführten Prozesses erteilen können. Hierfür kann es sinnvoll sein, diesen Prozess oder dieses Verfahren (zumindest abstrakt) in einem Verfahrensverzeichnis aufzunehmen. Insbesondere sollte der Datenschutzbeauftragte des Auftragnehmers die technischen und organisatorischen Maßnahmen gemäß § 9 BDSG und Anlage dokumentieren, um bei der Erfassung eines Vertrags zur Datenverarbeitung gemäß § 11 Abs. 2 BDSG diese Informationen gemäß § 11 Abs. 2 Nr. 3 BDSG beschreiben und aufführen zu können.
Freilich ist es nicht so, dass der Datenschutzbeauftragte des Auftragnehmers dann nichts mehr zu tun hätte, weil die Verantwortung für den von der Datenverarbeitung betroffenen Prozess beim Auftraggeber liegt. § 11 Abs. 4 BDSG weist explizit darauf hin, dass den Auftragnehmer unter anderem die Pflichten aus § 5 BDSG (Datengeheimnis), § 9 BDSG (technische und organisatorische Maßnahmen), § 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1-3 und Abs. 3 BDSG sowie § 44 BDSG als auch die §§ 4f, 4g BDSG (Datenschutzbeauftragter) und § 38 BDSG (Aufsichtsbehörde) treffen.
(RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe)