Donnerstag, 21. Juni 2012

Auftragsdatenverarbeitung vs. Funktionsübertragung – Teil 1: Begrifflichkeiten

Der datenschutzrechtlichen Auftragsdatenverarbeitung und der Funktionsübertragung sind gemein, dass in beiden Konstellationen ein Unternehmen personenbezogene Daten für ein anderes Unternehmen verarbeitet.
Die Unterschiede in der datenschutzrechtlichen Verantwortlichkeit und Haftung (siehe Teil 3 der Reihe) und die Konsequenzen für den Datenschutzbeauftragten (siehe Teil 4 der Reihe) sind allerdings gravierend.
Dumm nur, dass es in der Praxis oftmals gar nicht so einfach ist, im konkreten Fall zu entscheiden, ob nun eine Auftragsdatenverarbeitung oder eine Funktionsübertragung vorliegt (siehe Teil 2 der Reihe).
Gerade beim Outsourcing von diversen Leistungen steht man oft vor der Frage, ob entweder das eine oder das andere vorliegt.

Worum geht es bei der Auftragsdatenverarbeitung und der Funktionsübertragung nach Datenschutzrecht?

Fangen wir einmal ganz vorne an:
Szenario 1: Eine datenverarbeitende Stelle
Einfachster Fall, der letztendlich weder eine Auftragsdatenverarbeitung noch eine Funktionsübertragung darstellt, aber der Veranschaulichung dienen soll, ist, dass es ein Unternehmen gibt, das die personenbezogenen Daten selbst (für eigene Zwecke) verarbeitet. Hier existieren typischerweise verschiedene Abteilungen, zwischen denen personenbezogene Daten übertragen werden, beispielsweise zur Rechtsabteilung, Buchhaltung, Vertrieb oder IT-Abteilung/Server.
Da die Daten nur innerhalb des Unternehmens, also der verantwortlichen Stelle im Sinne des § 3 Abs. 7 BDSG, übertragen werden, stellt dies keine Datenübermittlung im datenschutzrechtlichen Sinne gem. § 3 Abs. 4 Nr. 3 BDSG dar.

Szenario 2: Funktionsübertragung/Datenübermittlung
Es bestehen zwei Unternehmen, wobei ein Unternehmen vom anderen beauftragt wird, bestimmte Leistungen zu erbringen. Hierzu werden auch personenbezogene Daten übertragen. Das datenverarbeitende Unternehmen erarbeitet und liefert ein bestimmtes Ergebnis oder eine bestimmte Leistung, erbringt beispielsweise eine Rechtsberatung oder eine Steuerberatung.
Liegt eine Funktionsübertragung vor, werden personenbezogene Daten an das verarbeitende Unternehmen im Sinne von § 3 Abs. 4 Nr. 3 BDSG übermittelt.

Szenario 3: Auftragsdatenverarbeitung
Auch hier bestehen zwei Unternehmen. Ein Unternehmen beauftragt das andere Unternehmen mit einer Datenverarbeitung. Hier greift § 11 BDSG mit der Konsequenz, dass so etwas wie ein „Mittelding“ zwischen Szenario 1 und Szenario 2 ensteht. Obwohl hier zwei Unternehmen wie in Szenario 2 bestehen, zwischen welchen personenbezogene Daten ausgetauscht werden, wird die Angelegenheit ähnlich wie in Szenario 1 gesehen, in welchem die Daten nicht im datenschutzrechtlichem Sinne von § 3 Abs. 4 Nr. 3 BDSG übermittelt (sondern nur „genutzt“ im Sinne des § 3 Abs. 5 BDSG) werden. Um im bildlichen Sinne eine ähnlich enge Bindung wie in Szenario 1 herzustellen, wird das datenverarbeitende Unternehmen – der Auftragnehmer bei der Auftragsdatenverarbeitung gem. § 11 BDSG – über eine notwendige vertragliche Vereinbarung ganz eng an den Auftraggeber gebunden. Letztendlich entscheidet in dieser Konstellation der Auftraggeber bis ins Detail, welche personenbezogene Daten in welcher Art und Weise zu verarbeiten sind. Das kann zum Beispiel der Fall sein, wenn ein Rechenzentrum statt der eigenen IT-Abteilung mit der Datenverarbeitung beauftragt wird oder statt die eigene Vertriebsabteilung ein externer Lettershop oder Callcenter mit der Kontaktierung der Kunden beauftragt wird.