funktionsübertragung auftragsverarbeitung

Die Funktionsübertragung nach der DSGVO

/von

Gemäß der bisherigen Gesetzgebung war die Abgrenzung zwischen einer Funktionsübertragung und einer Auftragsdatenverarbeitung ein wichtiger Aspekt bei der Ausgestaltung der jeweiligen Verträge. Zu unterschiedlich waren die gesetzlichen Rahmenbedingungen, je nach Art der Beauftragung.

Bisherige Rechtslage

Kurz gesagt bestand eine Auftragsdatenverarbeitung darin, dass eine bestimmte Dienstleistung, bei der personenbezogene Daten verarbeitet wurden, ausschließlich gemäß der Weisungen des Auftraggebers erbracht wurde, beispielsweise der Postversand durch einen Lettershop. Bei der Funktionsübertragung hatte der Auftragnehmer regelmäßig gewisse Entscheidungsspielräume hinsichtlich der Art und Weise, wie er den Auftrag durchführt, beispielsweise bei Prüfungs- und Beratungstätigkeiten, Audits oder Beauftragung eines Rechtsanwalts.

Im Falle der Auftragsdatenverarbeitung musste sich die vertragliche Regelung streng an die Vorgaben des § 11 BDSG halten. Im Gegenzug dafür war die Auftragsvergabe privilegiert, d.h. es musste keine Rechtsgrundlage für Beauftragung eines Dienstleisters und die damit verbundene Datenweitergabe vorliegen.

Eine Funktionsübertragung hingegen durfte nur aufgrund einer gültigen Rechtsgrundlage (beispielsweise Einwilligung, Erforderlichkeit) durchgeführt werden. Dafür gab es weniger strenge Anforderungen an die konkrete Ausgestaltung des jeweiligen Vertrags.

…und die DSGVO?

Zunächst einmal verwendet die DSGVO eine andere Begrifflichkeit. Und zwar wird statt von Auftragsdatenverarbeitung jetzt von Auftragsverarbeitung gesprochen. Die Anforderungen an den zu schließenden Vertrag sind gemäß Art. 28 DSGVO ebenfalls ähnlich wie nach dem BDSG.

Erweiterung des Anwendungsbereichs

Die bisherige strenge Beschränkung, die dem Auftragsverarbeiter jeglichen eigenverantwortlichen Spielraum abspricht, kennt der Art. 28 DSGVO nicht. Dies zeigt sich auch daran, dass der Auftragsverarbeiter nach der DSGVO unter bestimmten Umständen ebenfalls als verantwortliche Stelle angesehen wird.

Auf dieser Grundlage wird häufig argumentiert, dass auch eine Funktionsübertragung den Anforderungen des Art. 28 DSGVO unterliegt. Dies klingt zumindest dann nachvollziehbar, wenn die Funktionsübertragung einen eindeutigen Auftragsinhalt mit klar definiertem Auftraggeber und Auftragnehmer beinhaltet. Vor diesem Hintergrund werden auch die bisherigen Verträge zur Funktionsübertragung daraufhin überprüft werden müssen, ob künftig nicht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO zu schließen ist.

Künftig drei Kategorien von der Funktionsübertragung

Eine einheitliche Meinung zu dieser Thematik kann derzeit aus Kommentaren zur DSGVO oder aus Stellungahmen der Behörden noch nicht abgeleitet werden. Es spricht jedoch vieles dafür, dass Aufträge, die bisher als Funktionsübertragung beauftragt wurden, künftig in drei Kategorien aufgeteilt werden müssen:

  • Vorliegen einer Auftragsverarbeitung gemäß Art. 28 DSGVO mit neuem Definitionsbereich, der zumindest teilweise auch Tätigkeiten beinhaltet, die bislang als sogenannte Funktionsübertragung eingestuft wurden.
  • Vorliegen eigenverantwortlicher Tätigkeiten, die keine Unterstützungshandlung darstellen, aber dennoch nicht in gemeinsamer Verantwortlichkeit gemäß Art. 26 DSGVO vorgenommen werden (z.B. Beauftragung eines Rechtsanwalts, Steuerberaters).
  • Vorliegen einer gemeinsamen Verantwortlichkeit gemäß 26 DSGVO.

Fazit

Es wird künftig sicherlich nicht einfacher werden, abzugrenzen, welche der jeweiligen Rechtsnormen für die unterschiedlichen Auftragsverhältnisse anzuwenden sein wird. Es bleibt zu hoffen, dass die Aufsichtsbehörden bzw. die Artikel-29-Gruppe sich hierzu künftig klarer positionieren werden.

Bestehende Verträge zur Auftragsverarbeitung bzw. zur Funktionsübertragung müssen im Rahmen der Umstellung auf die DSGVO überprüft und gegebenenfalls angepasst werden. Sprechen Sie uns an, gerne unterstützen wir Sie dabei!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bSerie Rechtsgrundlagen: Die Vertragserfüllung oder vorvertragliche Maßnahmen nach Art. 6 Abs. 1 lit. b DSGVO
nudging cookie banner tracking edsa taskforceCookies und Tracking-Tools – ein Update
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss ukePrivacy-Verordnung verzögert sich bis auf Weiteres
test echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepageTest mit Echtdaten und der Datenschutz
test echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepageNutzung von Cloud-Dienstleistern
rechtsgrundlage lebenswichtige interessen übermittlung an anwalt rechtsverteidigung rechtsdurchsetzung bem einwilligungSerie Rechtsgrundlagen: Die lebenswichtigen Interessen nach Art. 6 Abs. 1 lit. d DSGVO