Nicht alle Firmen erledigen jegliche Aufgaben, in denen personenbezogene Daten verwendet werden, innerhalb des eigenen Unternehmens. Teilweise weil sie die notwendigen Kapazitäten nicht zur Verfügung haben oder das fachspezifische Know-how fehlt. Hierfür werden die entsprechenden Teilaufgaben an externe Dienstleister outgesourct. Sobald ein Unternehmen personenbezogene Daten an Dritte weitergibt, kommt es automatisch zu einer Auftragsdatenverarbeitung oder Funktionsübertragung.

Die Differenzierung zwischen einer Auftragsdatenverarbeitung und Funktionsübertragung im Umgang mit personenbezogenen Daten ist grundsätzlich nicht einfach. Sie sollte jedoch nicht verwechselt und gegebenenfalls wohl gewählt sein, da sie sich auf den Auftraggeber und auch den Dienstleister unterschiedlich auswirkt.

Auftragsdatenverarbeitung

Bei einer Auftragsdatenverarbeitung im Sinne des § 11 BDSG (Bundesdatenschutzgesetz) wird die Datenverarbeitung vom Auftragnehmer streng nach Weisung des Auftraggebers durchgeführt. Wie und welche Daten verarbeitet werden dürfen darf der Auftragnehmer hierbei nicht selbst entscheiden. Zudem birgt die Auftragsdatenverarbeitung für den Auftragnehmer keine rechtlichen Pflichten gegenüber den Kunden, Mitarbeitern oder Personen, deren Daten an den Dienstleister übermittelt werden.
Klassische Beispiele für eine ADV sind externe Lohn- und Gehaltsabrechnung, Outsourcing der Buchhaltung, IT-Wartungsverträge oder Archivierung / Vernichtung von Datenmaterialien.

Für den Auftraggeber ist vor allem wichtig, die Rechte und Pflichten beider Seiten vertraglich festzuhalten und die rechtlichen Bestimmungen in Deutschland zu beachten. Hierbei ist darauf zu achten, dass bei Verstößen gegen das Bundesdatenschutzgesetz nicht der externe Dienstleister haftet, sondern der Auftraggeber. Diese Regelung lässt sich bei einer ADV auch vertraglich nicht aushebeln. Daher ist es unerlässlich eine Haftung innerhalb des sogenannten § 11-Vertrages zu regeln.

Funktionsübertragung

Eine Funktionsübertragung wird, im Gegensatz zur Auftragsdatenverarbeitung, wie eine „normale“ Übermittlung personenbezogener Daten bewertet, die einer gesetzlichen Erlaubnisnorm oder einer Einwilligung des Betroffenen nach § 4 Abs. 1 BDSG bedarf.

Funktionsübertragungen sind vor allem dann notwendig, wenn dem externen Dienstleister eine Eigenverantwortlichkeit zukommt und es selbständiger Handlungen für die Ausübung der übertragenen Tätigkeiten bedarf. Bekannte Beispiele für eine Funktionsübertragung sind die Verarbeitung von Patientendaten, Beauftragung eines Rechtsanwalts, Steuerberaters, eines Inkassounternehmens oder eines Privatdetektivs.
Neben dem Übergang sämtlicher Nutzungsrechte an den Dienstleister gehen auch die rechtlichen Verpflichtungen an diesen über und er ist für die Einhaltung der datenschutzrechtlichen Pflichten gemäß Bundesdatenschutzgesetz selbst verantwortlich.

Differenzierung

In manchen Fällen ist die Differenzierung deutlich erkennbar und unproblematisch zu regeln. Doch oftmals sind die Übergänge derart fließend, dass diese vom Auftraggeber nicht unterschieden werden können.
Mit der EU Datenschutz Grundverordnung (EU DS GVO) ändert sich hier einiges, weshalb die vorhandenen Verträge angepasst werden müssen.

Als externe Datenschutzbeauftragte helfen wir Ihnen bei der Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung und ermitteln, welches Verfahren bei Ihnen im Unternehmen vorliegt und welche Schritte notwendig sind, beide Möglichkeiten datenschutzkonform zu regeln.