Auftragsdatenverarbeitung und Funktionsübertragung

DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ

Auftragsdatenverarbeitung und Funktionsübertragung
– Stand: 31. Dezember 2012 –

Seite 2

Der Landesbeauftragte für den Datenschutz Baden-Württemberg Königstraße 10a 70173 Stuttgart Telefon 0711/615541-0 Telefax 0711/615541-15 E-Mail: poststelle@lfd.bwl.de (Schutzbedürftige Daten sollten nicht unverschlüsselt per E-Mail oder via Telefax übertragen werden.) PGP-Fingerprint: A5A5 6EC4 47B2 6287 E36C 5D5A 43B7 29B6 4411 E1E4 Homepage: www2.baden-wuerttemberg.datenschutz.de

Seite 3 A. Auftragsdatenverarbeitung Viele Firmen unterhalten keine eigene Personalabteilung oder Lohnbuchhaltung. Sie schalten dazu externe Dienstleister ein. Dies ist nach § 11 des Bundesdatenschutzgesetzes (BDSG) als sog. Auftragsdatenverarbeitung zulässig. Charakteristisch für die Auftragsdatenverarbeitung ist, dass sich die datenschutzrechtlich verantwortliche Stelle eines Dritten für die Durchführung bestimmter Datenverarbeitungsvorgänge bedient. Die maßgeblichen Entscheidungen über den Umgang mit den personenbezogenen Daten verbleiben aber bei der beauftragenden Stelle. Der Auftragnehmer verfährt lediglich entsprechend den Weisungen des Auftraggebers mit den von ihm überlassenen und für ihn zu verarbeitenden Daten. Das Serviceunternehmen fungiert gleichsam als ausgelagerte Abteilung des weiterhin datenschutzrechtlich verantwortlichen Auftraggebers, der als „Herr der Daten“ die volle Verfügungsgewalt über die Daten behält und damit auch alleine über deren Erhebung, Verarbeitung oder Nutzung bestimmt und den Auftragnehmer wie eigene Mitarbeiter bei der Datenverarbeitung zu beaufsichtigen hat. Überlässt der Auftraggeber dem Auftragnehmer personenbezogene Daten, handelt es sich nicht um eine Datenübermittlung an eine andere datenverarbeitende Stelle, sondern um eine Form der Datennutzung durch den Auftraggeber selbst. Der Auftragnehmer darf deswegen die Daten nur in dem Maße verarbeiten, wie dies auch sein Auftraggeber darf. Für den Umgang mit besonders geschützten Daten i.S. des § 3 Absatz 9 BDSG (hauptsächlich Gesundheitsdaten) bedeutet dies, dass beide Beteiligten zwar § 28 Absätze 6 bis 8 BDSG beachten müssen, dass es beim „Datenaustausch“ zwischen diesen Stellen aber grundsätzlich keine rechtlichen Hindernisse gibt. Lässt also ein Unternehmer die Führung der Personalakten seines Betriebs – nicht die Personalentscheidungen – von einem Dienstleister vornehmen, ist er nicht gehindert, auch die Krankmeldungen seiner Mitarbeiter dem Serviceunternehmen zuzuleiten, eben genauso, wie wenn er besagte Akten selbst führen würde. Andererseits darf das Serviceunternehmen den Auftraggeber davon in Kenntnis setzen, wenn bei einem Mitarbeiter die Voraussetzungen für ein betriebliches Wiedereingliederungsmanagement nach § 84 des Sozialgesetzbuchs IX erfüllt sind. Der Auftraggeber hat den Auftragnehmer unter besonderer Berücksichtigung seiner persönlichen Eignung sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei die in § 9 Absatz 2 BDSG aufgeführten Festlegungen zu treffen sind. Besonders hervorzuheben sind dabei die Kontroll- und Weisungsrechte des Auftraggebers. Der Auftragnehmer darf nämlich die Daten nur nach Maßgabe der Weisungen des Auftraggebers erheben, verarbeiten und nutzen.

Seite 4 B. Funktionsübertragung Bei der sog. Funktionsübertragung wird eine Stelle für eine andere Stelle dergestalt tätig, dass die „eingeschaltete“ Stelle für die andere einen bestimmten Auftrag wahrnimmt und dazu in eigenem Namen alle erforderlichen Entscheidungen trifft, dabei aber stets im Interesse des „Auftraggebers“ handeln muss. In der Regel wird eine derartige „andere“ Stelle beauftragt, wenn diese über ein bestimmtes Fachwissen oder über Erfahrungen und Möglichkeiten verfügt, die der „Auftraggeber“ nicht besitzt. Das ist insbesondere dann der Fall, wenn ein Arzt aufgesucht oder ein Inkassounternehmen, ein Anwalt oder ein Privatdetektiv eingeschaltet wird. Diesen kommt nicht zuletzt deswegen eine sehr weitgehende Selbständigkeit bei der Wahrnehmung des Auftrages zu, weil der „Auftraggeber“ gar nicht in der Lage wäre, dem „Beauftragten“ Weisungen zu erteilen oder Vorgaben für die Durchführung des „Auftrags“ zu machen. Datenschutzrechtlich bedeutet dies, dass die „beauftragte“ Stelle zur datenverarbeitenden Stelle bei der Erledigung des „Auftrags“ wird und dass diese für die Einhaltung der datenschutzrechtlichen Pflichten selbst verantwortlich ist. Der Datenaustausch zwischen dem „Auftraggeber“ und dem „Beauftragten“ darf nur erfolgen, soweit die gesetzlichen Voraussetzungen für eine Datenübermittlung vorliegen oder der Betroffene zugestimmt hat. Doch hat der „Beauftragte“ sich stets vor Augen zu halten, dass er kein eigenes Interesse verfolgt, sondern das seines „Auftraggebers“. Er darf also bei der Wahrnehmung des „Auftrags“ personenbezogene Daten nur so verarbeiten, wie es für die Erledigung der ihm übertragenen Aufgabe erforderlich ist und der Wahrnehmung der berechtigten Interessen seines „Auftraggebers“ dient. Diese beiden Gesichtspunkte sind bei der Anwendung des § 28 Absatz 1 Satz 1 Nr. 2 BDSG durch den „Auftragnehmer“ mit den schutzwürdigen Interessen des von der Datenverarbeitung Betroffenen abzuwägen. „Beschattet“ z. B. ein Privatdetektiv im Rahmen eines „Auftrages“ eine bestimmte Person, richtet sich dies nach § 28 Absatz 1 Satz 1 Nr. 2 BDSG. Für die Rechtmäßigkeit dieser Datenerhebung, insbesondere was die Zulässigkeit der eingesetzten Mittel anbetrifft, kommt es neben der Frage, welchen Ermittlungsumfang ein erfahrener Detektiv für erforderlich halten darf, auch darauf an, wie wichtig das Ergebnis der Observation für den „Auftraggeber“ ist. So darf der Detektiv keinen GPS-System zur Ortung der zu beobachtenden Person einsetzen, wenn es „nur“ darum geht festzustellen, ob ein Arbeitnehmer, der sich krank gemeldet hat, tatsächlich zum Arzt und nicht auf den Tennisplatz geht, während der Mitteleinsatz anders zu beurteilen ist, wenn der Verdacht einer handfesten Industriespionage abzuklären ist. Auch darf der „Auftragnehmer“ nur in dem Rahmen personenbezogene Daten verarbeiten, wie dies für die Erfüllung seines „Auftrags“ erforderlich ist. So kann ein Anwalt alles recherchieren, was der Prozessführung für seinen Mandanten dienlich ist. Er ist aber ohne ausdrücklichen „Auftrag“

Seite 5 durch diesen nicht berechtigt, den verurteilten Gegner bei einer Auskunftei als „zahlungsunwillige“ Person einzumelden, weil dies für die eigentliche Prozessführung nicht notwendig ist. Der „Auftraggeber“ muss sicherstellen, dass die personenbezogenen Daten bei der Stelle, auf die die Datenverarbeitungskompetenz im Wege der Funktionsübertragung übergeleitet wird, zu keinem anderen Zweck als zu dem, zu dem sie die „beauftragende“ Stelle auch verarbeiten dürfte, genutzt und verarbeitet werden. Ferner muss gewährleistet sein, dass nur in dem Maße personenbezogene Daten eines Dritten durch den „Auftragnehmer“ erhoben und verarbeitet werden, wie dies im Interesse des „Auftraggebers“ angemessen ist. Dazu ist der Verarbeitungszweck ähnlich wie im Falle der Auftragsdatenverarbeitung nach § 11 BDSG in einer Vereinbarung zwischen diesen beiden Stellen festzulegen. Auch muss sichergestellt werden, dass bei der Stelle, die die Funktion nunmehr wahrnimmt, eine datenschutzgerechte Organisation der Datenverarbeitung gewährleistet ist. Das gilt insbesondere dann, wenn es sich um sensible Informationen wie Personaldaten handelt. Besonders schutzwürdige Daten i.S. des § 3 Absatz 9 BDSG dürfen nur übermittelt, genutzt und verarbeitet werden, wenn die gesetzlichen Voraussetzungen des § 28 Absätze 6 bis 8 BDSG vorliegen. So ist es nach § 28 Absatz 6 Nr. 3 BDSG nicht ohne Einwilligung des Patienten zulässig, dass ein Arzt Gesundheitsdaten an ein Inkassounternehmen zur Einziehung seines Honorars übermittelt, doch kann er ggf. einen Anwalt zu diesem Zweck einschalten, weil im letztgenannten Fall dem Rechtsstaatsprinzip, wonach sich jeder im Rechtsleben stets anwaltschaftlicher Hilfe bedienen kann, ein höherer Stellenwert zukommt als den schutzwürdigen Interessen des Patienten am Unterbleiben der Datenweitergabe. In der Vereinbarung müssen ferner auch Regelungen i.S. des § 11 Absatz 2 Satz 2 Nrn. 1,2,3,4,5,6, und 10 BDSG getroffen werden. Solcher Absprachen bedarf es allerdings dann nicht, wenn in der Berufsordnung der beauftragten Stelle (z.B. für Ärzte, Rechtsanwälte, Steuerberater) Vorschriften vorgesehen sind, die ein ausreichendes Datenschutzniveau sicherstellen. C. Fälle mit Drittstaatenbezug Die unter A und B dargelegten Grundsätze der Auftragsdatenverarbeitung und Funktionsübertragung gelten uneingeschränkt nur dann, wenn Auftraggeber und Auftragnehmer beziehungsweise der „Beauftragte“ innerhalb der EU oder des EWR ansässig sind und die Datenverarbeitung in diesem Bereich stattfindet. Hat eine der genannten Stellen ihren Sitz nicht in einem Mitgliedsstaat der Europäischen Union (EU) oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) und verlassen die Daten im Zuge der bestimmungsgemäßen

Seite 6 Erfüllung des Auftrags den Bereich der EU und des EWR, sind die Regelungen, die das BDSG zum sog. Drittstaatentransfer vorsieht, zu beachten. Nach Ansicht der deutschen Datenschutzaufsichtsbehörde – in der datenschutzrechtlichen Literatur wird zum Teil die gegenteilige Auffassung vertreten – ist eine Auftragsdatenverarbeitung in einem Drittland, d.h. außerhalb der EU und des EWR, nur zulässig, wenn statt oder neben den Voraussetzungen des § 11 BDSG die Voraussetzungen für eine Übermittlung gegeben sind. Dies folgt daraus, dass die Privilegierungswirkung der Auftragsdatenverarbeitung gemäß § 3 Absatz 8 Satz 3 BDSG nicht gilt, wenn der Datenverarbeitungsdienstleister (DV-Dienstleister) seinen Sitz außerhalb der EU und des EWR hat und die Daten den Bereich der EU und des EWR verlassen. Besondere Arten personenbezogener Daten i.S.v. § 3 Absatz 9 BDSG, z.B. Angaben über die Gesundheit, können damit nur dann zum Gegenstand einer Auftragsdatenverarbeitung in einem Drittstaat gemacht werden, wenn die hierfür von § 28 Absatz 6 bis 9 BDSG aufgestellten Übermittlungsvoraussetzungen gegeben sind. Dies bedarf jeweils einer sorgfältigen Prüfung im Einzelfall. Erhebt, verarbeitet oder nutzt eine verantwortliche Stelle, die nicht in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum gelegen ist, personenbezogene Daten in Deutschland durch einen DV-Dienstleister, ist das BDSG nach § 1 Absatz 5 Satz 2 BDSG anwendbar. Der DV-Dienstleister ist grundsätzlich nur für die Datensicherheit der von ihm durchgeführten Datenverarbeitung nach Maßgabe der Regelung des § 11 in Verbindung mit § 9 BDSG sowie des Art. 17 der Europäischen Datenschutzrichtlinie verantwortlich. Im Übrigen bleibt der Auftraggeber im Drittland selbst umfassend für die Konformität der Datenverarbeitung mit den Vorgaben des BDSG verantwortlich. Für den (Rück-)Transfer personenbezogener Daten vom DVDienstleister in Deutschland an seinen Auftraggeber im Drittstaat sind wegen der insoweit eingreifenden privilegierenden Wirkung des § 3 Absatz 8 Satz 3 BDSG zwar nicht die Übermittlungsvoraussetzungen des § 28 BDSG, wohl aber die Zulässigkeitsvoraussetzungen für einen Drittstaatentransfer nach § 4 b und 4 c BDSG zu prüfen. Die Verantwortung hierfür trifft den Auftraggeber im Drittland. Der DVDienstleister in Deutschland hat lediglich summarisch auf Plausibilität zu prüfen, ob die Datenerhebung und -verarbeitung und die diesbezüglichen Weisungen des Auftraggebers mit dem BDSG vereinbar sind. Wird ihm, zum Beispiel aufgrund substantiierter Hinweise Dritter, bekannt, dass die Datenverarbeitung gegen das BDSG verstößt, hat er eine qualifizierte Remonstrationspflicht entsprechend § 11 Absatz 3 Satz 2 BDSG gegenüber seinem Auftraggeber. Gleiches gilt, wenn dem Auftragsverarbei-

Seite 7 ter bekannt wird, dass die Voraussetzungen für einen Drittstaatentransfer nach § 4 b und 4 c BDSG offensichtlich nicht gegeben sind. Weitere Einzelheiten zur internationalen Auftragsdatenverarbeitung können der Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung der Internationalen Auftragsdatenverarbeitung (abrufbar unter www.lda.bayern.de/lda/datenschutz aufsicht lda_daten/DK4-2007anlage_2_handreichung.pdf), dem Positionspapier der AG „Internationaler Datenverkehr“ des Düsseldorfer Kreises (abrufbar unter www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/anlage4-postitionspapier.pdf) sowie dem Arbeitsbericht des ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ (abrufbar unter www.datenschutz.hessen.de/bd001.htm.) entnommen werden.