Auftragsdatenverarbeitung – wie wird diese von der Funktionsübertragung abgegrenzt?

Werden Daten durch Dritte im Auftrag verarbeitet, kommt es qua Gesetz zu einer Privilegierung: Nach §3 VIII BDSG ist die Datenweitergabe nicht als Übermittlung anzusehen.

Der Auftragnehmer ist datenschutzrechtlich kein „Dritter“, sondern gilt gleichsam als verlängerter Arm des Auftraggebers. Folge ist, dass eine besondere Einwilligung der Betroffenen für die Weitergabe ihrer Daten nicht erforderlich ist.

Dies gilt aber nur dann, wenn eine Auftragsdatenverarbeitung im rechtlichen Sinne auch wirklich vorliegt. Wird jedoch neben der konkreten Verarbeitung der Daten der gesamte Aufgabenbereich übertragen, kann es sich rechtlich um eine Funktionsübertragung handeln. In diesem Fall ist der Dritte nicht mehr bloß Auftragnehmer sondern selbst “verantwortliche Stelle” und die Weitergabe der Daten bedarf einer gesonderten Erlaubnis.

Abgrenzungsprobleme

Wegen dieser vollkommen unterschiedlichen Rechtsfolge ist es wichtig zu wissen, wann es sich um eine Auftragsdatenverarbeitung und wann eine Funktionsübertragung vorliegt. Leider gehört diese Frage aber zu den schwierigsten Abgrenzungen im Datenschutzrecht. Denn dem BDSG oder der Datenschutzrichtlinie selbst sind klare Vorgaben nicht zu entnehmen, obwohl diese Frage beim Outsourcing von Unternehmensabläufen immer relevant ist und eine praktikable Lösung umso wichtiger wäre. Das bedeutet, dass eine einheitliche Aussage, wann und für welche Bereiche eine Auftragsdatenverarbeitung vorliegt, nicht getroffen werden kann und es vielmehr stets einer Entscheidung im Einzelfall bedarf.

Kriterien

Wichtigstes Kriterium, mit dem die Funktionsübertragung von der Auftragsdatenverarbeitung abgegrenzt wird, ist der Umfang der tatsächlichen Verantwortung und damit letztlich die Frage, wer die konkrete Entscheidungsbefugnis innehat ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK