Auftragsdatenverarbeitung und Funktionsübertragung
Auftragsdatenverarbeitung
§ 11 des Bundesdatenschutzgesetzes (BDSG) lässt die sog. Auftragsdatenverarbeitung zu. Charakteristisch für diese ist, dass sich die datenschutzrechtlich verantwortliche Stelle eines Dritten für die Durchführung bestimmter Datenverarbeitungsvorgänge bedient. Die maßgeblichen Entscheidungen über den Umgang mit den personenbezogenen Daten verbleiben aber bei der beauftragenden Stelle. Der Auftragnehmer verfährt lediglich entsprechend den Weisungen des Auftraggebers mit den von ihm überlassenen und für ihn zu verarbeitenden Daten. Das Serviceunternehmen fungiert gleichsam als ausgelagerte Abteilung des weiterhin datenschutzrechtlich verantwortlichen Auftraggebers, der als „Herr der Daten“ die volle Verfügungsgewalt über diese behält und damit auch alleine über deren Erhebung, Verarbeitung oder Nutzung bestimmt und den Auftragnehmer wie eigene Mitarbeiter bei der Datenverarbeitung zu beaufsichtigen hat. Überlässt der Auftraggeber dem Auftragnehmer personenbezogene Daten, handelt es sich nicht um eine Datenübermittlung an eine andere datenverarbeitende Stelle, sondern um eine Form der Datennutzung durch den Auftraggeber. Der Auftragnehmer darf deswegen die Daten nur in dem Maße verarbeiten, wie dies auch sein Auftraggeber darf.
Funktionsübertragung
Bei der sog. Funktionsübertragung wird eine Stelle für eine andere dergestalt tätig, dass die „eingeschaltete“ Stelle für die andere einen bestimmten Auftrag wahrnimmt und dazu in eigenem Namen alle erforderlichen Entscheidungen trifft, dabei aber stets im Interesse des „Auftraggebers“ handeln muss. In der Regel wird eine derartige „andere“ Stelle beauftragt, wenn diese über ein bestimmtes Fachwissen oder über Erfahrungen und Möglichkeiten verfügt, die der „Auftraggeber“ nicht besitzt. Das ist insbesondere dann der Fall, wenn ein Arzt aufgesucht oder ein Inkassounternehmen, ein Anwalt oder ein Privatdetektiv eingeschaltet wird. Diesen kommt nicht zuletzt deswegen eine sehr weitgehende Selbständigkeit bei der Wahrnehmung des Auftrages zu, weil der „Auftraggeber“ gar nicht in der Lage wäre, dem „Beauftragten“ Weisungen zu erteilen oder Vorgaben für die Durchführung des „Auftrags“ zu machen. Datenschutzrechtlich bedeutet dies, dass die „beauftragte“ Stelle zur datenverarbeitenden Stelle bei der Erledigung des „Auftrags“ wird und dass diese für die Einhaltung der datenschutzrechtlichen Pflichten selbst verantwortlich ist. Der Datenaustausch zwischen dem „Auftraggeber“ und dem „Beauftragten“ darf nur erfolgen, soweit die gesetzlichen Voraussetzungen für eine Datenübermittlung vorliegen oder der Betroffene zugestimmt hat. Doch hat der „Beauftragte“ sich stets vor Augen zu halten, dass er kein eigenes Interesse verfolgt, sondern das seines „Auftraggebers“. Er darf also bei der Wahrnehmung des „Auftrags“ personenbezogene Daten nur so verarbeiten, wie es für die Erledigung der ihm übertragenen Aufgabe erforderlich ist und der Wahrnehmung der berechtigten Interessen seines „Auftraggebers“ dient.
Beachten Sie zu diesem Thema auch unser entsprechendes Merkblatt:
Auftragsdatenverarbeitung