funktionsübertragung auftragsverarbeitung

Die Funktionsübertragung nach der DSGVO

/von

Gemäß der bisherigen Gesetzgebung war die Abgrenzung zwischen einer Funktionsübertragung und einer Auftragsdatenverarbeitung ein wichtiger Aspekt bei der Ausgestaltung der jeweiligen Verträge. Zu unterschiedlich waren die gesetzlichen Rahmenbedingungen, je nach Art der Beauftragung.

Bisherige Rechtslage

Kurz gesagt bestand eine Auftragsdatenverarbeitung darin, dass eine bestimmte Dienstleistung, bei der personenbezogene Daten verarbeitet wurden, ausschließlich gemäß der Weisungen des Auftraggebers erbracht wurde, beispielsweise der Postversand durch einen Lettershop. Bei der Funktionsübertragung hatte der Auftragnehmer regelmäßig gewisse Entscheidungsspielräume hinsichtlich der Art und Weise, wie er den Auftrag durchführt, beispielsweise bei Prüfungs- und Beratungstätigkeiten, Audits oder Beauftragung eines Rechtsanwalts.

Im Falle der Auftragsdatenverarbeitung musste sich die vertragliche Regelung streng an die Vorgaben des § 11 BDSG halten. Im Gegenzug dafür war die Auftragsvergabe privilegiert, d.h. es musste keine Rechtsgrundlage für Beauftragung eines Dienstleisters und die damit verbundene Datenweitergabe vorliegen.

Eine Funktionsübertragung hingegen durfte nur aufgrund einer gültigen Rechtsgrundlage (beispielsweise Einwilligung, Erforderlichkeit) durchgeführt werden. Dafür gab es weniger strenge Anforderungen an die konkrete Ausgestaltung des jeweiligen Vertrags.

…und die DSGVO?

Zunächst einmal verwendet die DSGVO eine andere Begrifflichkeit. Und zwar wird statt von Auftragsdatenverarbeitung jetzt von Auftragsverarbeitung gesprochen. Die Anforderungen an den zu schließenden Vertrag sind gemäß Art. 28 DSGVO ebenfalls ähnlich wie nach dem BDSG.

Erweiterung des Anwendungsbereichs

Die bisherige strenge Beschränkung, die dem Auftragsverarbeiter jeglichen eigenverantwortlichen Spielraum abspricht, kennt der Art. 28 DSGVO nicht. Dies zeigt sich auch daran, dass der Auftragsverarbeiter nach der DSGVO unter bestimmten Umständen ebenfalls als verantwortliche Stelle angesehen wird.

Auf dieser Grundlage wird häufig argumentiert, dass auch eine Funktionsübertragung den Anforderungen des Art. 28 DSGVO unterliegt. Dies klingt zumindest dann nachvollziehbar, wenn die Funktionsübertragung einen eindeutigen Auftragsinhalt mit klar definiertem Auftraggeber und Auftragnehmer beinhaltet. Vor diesem Hintergrund werden auch die bisherigen Verträge zur Funktionsübertragung daraufhin überprüft werden müssen, ob künftig nicht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO zu schließen ist.

Künftig drei Kategorien von der Funktionsübertragung

Eine einheitliche Meinung zu dieser Thematik kann derzeit aus Kommentaren zur DSGVO oder aus Stellungahmen der Behörden noch nicht abgeleitet werden. Es spricht jedoch vieles dafür, dass Aufträge, die bisher als Funktionsübertragung beauftragt wurden, künftig in drei Kategorien aufgeteilt werden müssen:

  • Vorliegen einer Auftragsverarbeitung gemäß Art. 28 DSGVO mit neuem Definitionsbereich, der zumindest teilweise auch Tätigkeiten beinhaltet, die bislang als sogenannte Funktionsübertragung eingestuft wurden.
  • Vorliegen eigenverantwortlicher Tätigkeiten, die keine Unterstützungshandlung darstellen, aber dennoch nicht in gemeinsamer Verantwortlichkeit gemäß Art. 26 DSGVO vorgenommen werden (z.B. Beauftragung eines Rechtsanwalts, Steuerberaters).
  • Vorliegen einer gemeinsamen Verantwortlichkeit gemäß 26 DSGVO.

Fazit

Es wird künftig sicherlich nicht einfacher werden, abzugrenzen, welche der jeweiligen Rechtsnormen für die unterschiedlichen Auftragsverhältnisse anzuwenden sein wird. Es bleibt zu hoffen, dass die Aufsichtsbehörden bzw. die Artikel-29-Gruppe sich hierzu künftig klarer positionieren werden.

Bestehende Verträge zur Auftragsverarbeitung bzw. zur Funktionsübertragung müssen im Rahmen der Umstellung auf die DSGVO überprüft und gegebenenfalls angepasst werden. Sprechen Sie uns an, gerne unterstützen wir Sie dabei!

Das könnte Sie auch interessieren
big data digitalisierung datenschutz ki künstliche intelligenz datensparsamkeit datenminimierungDatenschutz im Zeitalter der Digitalisierung
hacker pentest penetrationstest abmahnung abmahnfähigDie Rechenschaftspflicht nach der DSGVO und Penetrationstests
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenDie Datenschutz-Folgenabschätzung (DSFA)
aufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi risikoanalyse zawas kontrollpflicht auftragsverarbeitung awareness awarenesskampagnenDSGVO Datenschutzprüfung in Bayern und Niedersachen
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichSchon wieder Cookies – BGH urteilt zur Einwilligungspflicht
telefax kopieTelefax-Versand: Ein (generelles) Datenschutzproblem und Risiko?
Active Sourcing und Datenschutzds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvobdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungScannen und Kopieren von Ausweisen