Auftragsdatenverarbeitung im Rahmen des Datenschutzes

/von

§ 11 BDSG regelt die Auftragsdatenverarbeitung. Eines der Hauptkriterien von Auftragsdatenverarbeitung ist, dass der Auftragnehmer die Daten ausschließlich im Rahmen der Weisungen des Auftraggebers verarbeiten darf. Der Auftraggeber hat also genau vorzugeben, was der Auftragnehmer mit den Daten zu machen hat und wie die Durchführung aussieht. Klassische Auftragsdatenverarbeitungen sind z. B. die Erstellung von Gehaltsabrechnungen, der Betrieb eines Lettershops oder die Erbringung von Callcenter-Dienstleistungen.

Keine Auftragsdatenverarbeitung

Nicht zu den Tätigkeiten, die im Rahmen einer Auftragsdatenverarbeitung erbracht werden können, zählen alle die, bei denen der Auftragnehmer eigenständig Entscheidungen treffen darf. Hierzu gehören klassischer Weise auch die typischen beratenden Tätigkeiten, wie z. B. ein externer betrieblicher Datenschutzbeauftragter oder der Steuerberater. Diese Art der Unterstützungsleistungen wird gewöhnlich als Funktionsübertragung bezeichnet, wobei dieser Begriff im BDSG nicht auftaucht.

“Ich will nicht” reicht nicht

Bei einer Funktionsübertragung handelt es sich letztlich um die “Weitergabe” von Aufgaben an Dritte. Hierbei ist gewöhnlich auch eine Datenübermittlung an diesen Dritten notwendig. Genau da liegt der Knackpunkt: Für die Datenübermittlung an Dritte benötigt man eine Rechtsgrundlage. Und diese ist nicht immer so einfach gefunden, wie beim Steuerberater. “Ich will eine Leistung nicht selber erbringen” oder “es ist für mich billiger, wenn andere das machen” sind nämlich keine Rechtsgrundlagen, die einer Abwägung gegen das schutzwürdige Interesse des Betroffenen standhalten. Deshalb wird in der Praxis immer wieder versucht, Funktionsübertragungen in Auftragsdatenverarbeitungen “zu verstecken”. Es werden also massenhaft Auftragsdatenverarbeitungs-Verträge geschlossen, die eigentlich keine sind. Das dürfte nur solange gut gehen, wie es zu keiner Prüfung durch die Aufsichtsbehörden kommt.

Gestaltungsmöglichkeiten

Bei einigen besonderen Konstellationen kann aber eine Tätigkeit, die auf den ersten Blick als Funktionsübertragung gewertet werden muss, durchaus im Rahmen einer Auftragsdatenverarbeitung abgewickelt werden. Entscheidend ist hierbei, dass jeglicher Entscheidungsspielraum, der die Klassifizierung als Funktionsübertragung bedeuten würde, durch klare Anweisungen, Regeln und Einscheidungsabläufe, die vom Auftraggeber vorgegeben werden müssen, eingeschränkt wird.

Beispiel: bAV-Beratung als Auftragsdatenverarbeitung

Ein Beispiel hierfür ist das für viele Unternehmen wichtige und doch irgendwie ungeliebte Thema der betrieblichen Altersvorsorge (bAV): Ein Dienstleister wird im Rahmen einer Auftragsdatenverarbeitung beauftragt, die Personalabteilung zu unterstützen. Zu den Aufgaben gehören die Information der Belegschaft (nach Vorgaben des Auftraggebers) und die Verwaltung der Versicherungsverträge, bei denen der Arbeitgeber Versicherungsnehmer ist. Bei bAV kann der Arbeitgeber (also der Auftraggeber) die Anbieter der Versicherungen und auch die angebotenen Versicherungsprodukte festlegen. Damit ist es möglich, dem Auftragnehmer vorzugeben, welche Beratungsergebnisse es überhaupt geben kann. Im Rahmen der Auftragsdatenverarbeitung wird nun der Auftragnehmer mit der Nutzung der Daten für die Durchführung der Beratung gemäß Anweisung beauftragt.

Bei dieser Form der Auslagerung als Auftragsdatenverarbeitung profitieren auch die Arbeitnehmer, denn der Dienstleister dürfte eine deutlich höhere Beratungsqualität liefern. Die Personalabteilung, deren Aufgabe die Beratung eigentlich wäre, kann dieser Aufgabe nur in den seltensten Fällen in einer solchen Qualität nachkommen, wie ein Unternehmen, welches sich auf die Beratung in Sachen bAV spezialisiert hat. Hier wird also auch im Sinne des Betroffenen gehandelt.

Sicher werden sich neben diesem Beispiel noch weitere finden lassen, bei denen eine Beratungsleistung im Rahmen einer Auftragsdatenverarbeitung durchgeführt wird. Seien Sie aber vorsichtig, die Aufsichtsbehörden sehen bei derart “kreativen” Lösungen sehr genau hin. Nur exakt formulierte Verträge und die genaue Einhaltung der dort festgelegten Pflichten und Regelungen werden einer Prüfung standhalten.

Und denken Sie daran, bei jeder Art von externer Vergabe von Aufträgen, die die Verarbeitung personenbezogener Daten zum Inhalt haben, Ihren Datenschutzbeauftragten zu konsultieren.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
nudging cookie banner tracking edsa taskforceNudging Cookie-Banner – alles im grünen oder doch grauen, dunkelgrauen Bereich?
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehrenSerie Rechtsgrundlagen: Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO
mail verschlüsselung einwilligungBußgeld für Privatpersonen bei Datenschutzverstoß
verschlüsselung supportende windows 7https-Verschlüsselung immer und auf allen Seiten!
sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21Office365 – Unter Datenschutzgesichtspunkten noch zu empfehlen?
Schwerwiegende Beeinträchtigungen gemäß § 42a BDSG