funktionsübertragung auftragsverarbeitung

Die Funktionsübertragung nach der DSGVO

/von

Gemäß der bisherigen Gesetzgebung war die Abgrenzung zwischen einer Funktionsübertragung und einer Auftragsdatenverarbeitung ein wichtiger Aspekt bei der Ausgestaltung der jeweiligen Verträge. Zu unterschiedlich waren die gesetzlichen Rahmenbedingungen, je nach Art der Beauftragung.

Bisherige Rechtslage

Kurz gesagt bestand eine Auftragsdatenverarbeitung darin, dass eine bestimmte Dienstleistung, bei der personenbezogene Daten verarbeitet wurden, ausschließlich gemäß der Weisungen des Auftraggebers erbracht wurde, beispielsweise der Postversand durch einen Lettershop. Bei der Funktionsübertragung hatte der Auftragnehmer regelmäßig gewisse Entscheidungsspielräume hinsichtlich der Art und Weise, wie er den Auftrag durchführt, beispielsweise bei Prüfungs- und Beratungstätigkeiten, Audits oder Beauftragung eines Rechtsanwalts.

Im Falle der Auftragsdatenverarbeitung musste sich die vertragliche Regelung streng an die Vorgaben des § 11 BDSG halten. Im Gegenzug dafür war die Auftragsvergabe privilegiert, d.h. es musste keine Rechtsgrundlage für Beauftragung eines Dienstleisters und die damit verbundene Datenweitergabe vorliegen.

Eine Funktionsübertragung hingegen durfte nur aufgrund einer gültigen Rechtsgrundlage (beispielsweise Einwilligung, Erforderlichkeit) durchgeführt werden. Dafür gab es weniger strenge Anforderungen an die konkrete Ausgestaltung des jeweiligen Vertrags.

…und die DSGVO?

Zunächst einmal verwendet die DSGVO eine andere Begrifflichkeit. Und zwar wird statt von Auftragsdatenverarbeitung jetzt von Auftragsverarbeitung gesprochen. Die Anforderungen an den zu schließenden Vertrag sind gemäß Art. 28 DSGVO ebenfalls ähnlich wie nach dem BDSG.

Erweiterung des Anwendungsbereichs

Die bisherige strenge Beschränkung, die dem Auftragsverarbeiter jeglichen eigenverantwortlichen Spielraum abspricht, kennt der Art. 28 DSGVO nicht. Dies zeigt sich auch daran, dass der Auftragsverarbeiter nach der DSGVO unter bestimmten Umständen ebenfalls als verantwortliche Stelle angesehen wird.

Auf dieser Grundlage wird häufig argumentiert, dass auch eine Funktionsübertragung den Anforderungen des Art. 28 DSGVO unterliegt. Dies klingt zumindest dann nachvollziehbar, wenn die Funktionsübertragung einen eindeutigen Auftragsinhalt mit klar definiertem Auftraggeber und Auftragnehmer beinhaltet. Vor diesem Hintergrund werden auch die bisherigen Verträge zur Funktionsübertragung daraufhin überprüft werden müssen, ob künftig nicht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO zu schließen ist.

Künftig drei Kategorien von der Funktionsübertragung

Eine einheitliche Meinung zu dieser Thematik kann derzeit aus Kommentaren zur DSGVO oder aus Stellungahmen der Behörden noch nicht abgeleitet werden. Es spricht jedoch vieles dafür, dass Aufträge, die bisher als Funktionsübertragung beauftragt wurden, künftig in drei Kategorien aufgeteilt werden müssen:

  • Vorliegen einer Auftragsverarbeitung gemäß Art. 28 DSGVO mit neuem Definitionsbereich, der zumindest teilweise auch Tätigkeiten beinhaltet, die bislang als sogenannte Funktionsübertragung eingestuft wurden.
  • Vorliegen eigenverantwortlicher Tätigkeiten, die keine Unterstützungshandlung darstellen, aber dennoch nicht in gemeinsamer Verantwortlichkeit gemäß Art. 26 DSGVO vorgenommen werden (z.B. Beauftragung eines Rechtsanwalts, Steuerberaters).
  • Vorliegen einer gemeinsamen Verantwortlichkeit gemäß 26 DSGVO.

Fazit

Es wird künftig sicherlich nicht einfacher werden, abzugrenzen, welche der jeweiligen Rechtsnormen für die unterschiedlichen Auftragsverhältnisse anzuwenden sein wird. Es bleibt zu hoffen, dass die Aufsichtsbehörden bzw. die Artikel-29-Gruppe sich hierzu künftig klarer positionieren werden.

Bestehende Verträge zur Auftragsverarbeitung bzw. zur Funktionsübertragung müssen im Rahmen der Umstellung auf die DSGVO überprüft und gegebenenfalls angepasst werden. Sprechen Sie uns an, gerne unterstützen wir Sie dabei!

Das könnte Sie auch interessieren
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungDas Verbandsklagerecht
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungAllgemeines Bundesdatenschutzgesetz – ABDSG
eprivacy-verordnung 2020 drittstaaten transfers standardvertragsklauseln scc AV Auftragsverarbeitung edsa bußgeld dga da ki-voEU-Kommission veröffentlicht Standardvertragsklauseln für innereuropäische Auftragsverarbeitung
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotVideoüberwachung unter der EU-Datenschutz-Grundverordnung
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungBeschäftigtendatenschutz nach der DSGVO und dem BDSG-neu
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-inEU arbeitet nach der DSGVO nun an der ePrivacy-Verordnung
Active Sourcing und Datenschutzds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvobdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungScannen und Kopieren von Ausweisen