Auftragsdatenverarbeitung im Rahmen des Datenschutzes

/von

§ 11 BDSG regelt die Auftragsdatenverarbeitung. Eines der Hauptkriterien von Auftragsdatenverarbeitung ist, dass der Auftragnehmer die Daten ausschließlich im Rahmen der Weisungen des Auftraggebers verarbeiten darf. Der Auftraggeber hat also genau vorzugeben, was der Auftragnehmer mit den Daten zu machen hat und wie die Durchführung aussieht. Klassische Auftragsdatenverarbeitungen sind z. B. die Erstellung von Gehaltsabrechnungen, der Betrieb eines Lettershops oder die Erbringung von Callcenter-Dienstleistungen.

Keine Auftragsdatenverarbeitung

Nicht zu den Tätigkeiten, die im Rahmen einer Auftragsdatenverarbeitung erbracht werden können, zählen alle die, bei denen der Auftragnehmer eigenständig Entscheidungen treffen darf. Hierzu gehören klassischer Weise auch die typischen beratenden Tätigkeiten, wie z. B. ein externer betrieblicher Datenschutzbeauftragter oder der Steuerberater. Diese Art der Unterstützungsleistungen wird gewöhnlich als Funktionsübertragung bezeichnet, wobei dieser Begriff im BDSG nicht auftaucht.

„Ich will nicht“ reicht nicht

Bei einer Funktionsübertragung handelt es sich letztlich um die „Weitergabe“ von Aufgaben an Dritte. Hierbei ist gewöhnlich auch eine Datenübermittlung an diesen Dritten notwendig. Genau da liegt der Knackpunkt: Für die Datenübermittlung an Dritte benötigt man eine Rechtsgrundlage. Und diese ist nicht immer so einfach gefunden, wie beim Steuerberater. „Ich will eine Leistung nicht selber erbringen“ oder „es ist für mich billiger, wenn andere das machen“ sind nämlich keine Rechtsgrundlagen, die einer Abwägung gegen das schutzwürdige Interesse des Betroffenen standhalten. Deshalb wird in der Praxis immer wieder versucht, Funktionsübertragungen in Auftragsdatenverarbeitungen „zu verstecken“. Es werden also massenhaft Auftragsdatenverarbeitungs-Verträge geschlossen, die eigentlich keine sind. Das dürfte nur solange gut gehen, wie es zu keiner Prüfung durch die Aufsichtsbehörden kommt.

Gestaltungsmöglichkeiten

Bei einigen besonderen Konstellationen kann aber eine Tätigkeit, die auf den ersten Blick als Funktionsübertragung gewertet werden muss, durchaus im Rahmen einer Auftragsdatenverarbeitung abgewickelt werden. Entscheidend ist hierbei, dass jeglicher Entscheidungsspielraum, der die Klassifizierung als Funktionsübertragung bedeuten würde, durch klare Anweisungen, Regeln und Einscheidungsabläufe, die vom Auftraggeber vorgegeben werden müssen, eingeschränkt wird.

Beispiel: bAV-Beratung als Auftragsdatenverarbeitung

Ein Beispiel hierfür ist das für viele Unternehmen wichtige und doch irgendwie ungeliebte Thema der betrieblichen Altersvorsorge (bAV): Ein Dienstleister wird im Rahmen einer Auftragsdatenverarbeitung beauftragt, die Personalabteilung zu unterstützen. Zu den Aufgaben gehören die Information der Belegschaft (nach Vorgaben des Auftraggebers) und die Verwaltung der Versicherungsverträge, bei denen der Arbeitgeber Versicherungsnehmer ist. Bei bAV kann der Arbeitgeber (also der Auftraggeber) die Anbieter der Versicherungen und auch die angebotenen Versicherungsprodukte festlegen. Damit ist es möglich, dem Auftragnehmer vorzugeben, welche Beratungsergebnisse es überhaupt geben kann. Im Rahmen der Auftragsdatenverarbeitung wird nun der Auftragnehmer mit der Nutzung der Daten für die Durchführung der Beratung gemäß Anweisung beauftragt.

Bei dieser Form der Auslagerung als Auftragsdatenverarbeitung profitieren auch die Arbeitnehmer, denn der Dienstleister dürfte eine deutlich höhere Beratungsqualität liefern. Die Personalabteilung, deren Aufgabe die Beratung eigentlich wäre, kann dieser Aufgabe nur in den seltensten Fällen in einer solchen Qualität nachkommen, wie ein Unternehmen, welches sich auf die Beratung in Sachen bAV spezialisiert hat. Hier wird also auch im Sinne des Betroffenen gehandelt.

Sicher werden sich neben diesem Beispiel noch weitere finden lassen, bei denen eine Beratungsleistung im Rahmen einer Auftragsdatenverarbeitung durchgeführt wird. Seien Sie aber vorsichtig, die Aufsichtsbehörden sehen bei derart „kreativen“ Lösungen sehr genau hin. Nur exakt formulierte Verträge und die genaue Einhaltung der dort festgelegten Pflichten und Regelungen werden einer Prüfung standhalten.

Und denken Sie daran, bei jeder Art von externer Vergabe von Aufträgen, die die Verarbeitung personenbezogener Daten zum Inhalt haben, Ihren Datenschutzbeauftragten zu konsultieren.

Das könnte Sie auch interessieren
Datenübertragbarkeit 20 dsgvoSerie Betroffenenrechte: Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
rechtsgrundlage lebenswichtige interessen übermittlung an anwalt rechtsverteidigung rechtsdurchsetzung bem einwilligung eugh bußgeld löschung von daten auftragsverarbeitungSerie Rechtsgrundlagen: Die lebenswichtigen Interessen nach Art. 6 Abs. 1 lit. d DSGVO
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenErste Datenschutz-Prüfungen nach DSGVO durch die Aufsichtsbehörden
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoSerie Betroffenenrechte: Das Recht auf Auskunft nach Art. 15 DSGVO
ds-gvo one stop shop oss bdsg-neu datenschutzbeauftragter benennung bestellpflicht werbung drittstaaten transfer google analytics verbotenOne Stop Shop (OSS) – nur noch eine Behörde zuständig für die Unternehmen?
externe mitarbeiter arbeitnehmerüberlassung aü leiharbeitnehmer auftragsdatenverarbeitung funktionsübertragung schulung sensibilsierungEinordnung externer Mitarbeiter
Videoüberwachung im Unternehmen und Datenschutzvorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotPrivacy Shield – aktueller Sachstand (19.02.2016)