Sobald Unternehmensaufgaben an externe Dienstleister ausgelagert werden (Outsourcing), erfolgt häufig auch die Weitergabe personenbezogener Daten und anderer interner Informationen. An dieser Stelle sollte bereits zwischen Auftragsdatenverarbeitung oder Funktionsübertragung bzw. auch in „nicht datenschutzrechtlich relevant“ unterschieden werden. Ermöglicht ein Auftraggeber bereits den (potenziellen) Zugriff auf personenbezogene Daten, so muss sich dieser an die rechtlichen Vorgaben der Datenschutzgesetze halten. Im Datenschutz gilt grundsätzlich das sogenannte Verbot mit Erlaubnisvorbehalt (oder auch Verbotsprinzip mit Erlaubnisvorbehalt), eine Rechtsregel des deutschen und europäischen Datenschutzrechts. Jede Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist, außer eine gesetzliche Grundlage oder der Betroffene selbst erlauben dies, verboten. Die Übermittlung personenbezogener Daten fällt unter die Verarbeitung. Werden personenbezogene Daten an einen Dritten weitergegeben bzw. gewährt die verantwortliche Stelle einem Dritten den Zugriff auf personenbezogene Daten, so spricht man im Datenschutzrecht von einer Übermittlung. Als klassisches Beispiel einer Datenübermittlung könnte die Weitergabe von Lohnsteuerbescheinigungen bzw. deren Informationen durch den Arbeitgeber an das Finanzamt angesehen werden. Hierfür existiert allerdings eine gesetzliche Grundlage, die in § 41 b Abs. 1 Einkommenssteuergesetz (EStG) zu finden ist.
Geht es um personenbezogene Daten und existiert keine gesetzliche Grundlage, so ist die verantwortliche Stelle zur Einholung einer informierten und freiwilligen Einwilligung verpflichtet, sobald diese Daten Ihren Verantwortungsbereich verlassen. Das Einholen einer informierten und freiwilligen Einwilligung kann von Fall zu Fall auch mal etwas schwieriger sein. Im Rahmen eines Beschäftigungsverhältnisses bestehen oftmals begründete Zweifel an der Freiwilligkeit der Einwilligung. Ein Arbeitnehmer wird, wenn es um seinen Arbeitsplatz geht, mit höherer Wahrscheinlichkeit einwilligen als unter anderen Umständen. Ein gewisser Zwang ist somit zumindest denkbar.
Der Gesetzgeber hat allerdings eine Ausnahme im Bundesdatenschutzgesetz (BDSG) aufgeführt. Bei dieser Ausnahme handelt es sich gemäß § 11 BDSG um eine sogenannte Auftragsdatenverarbeitung (kurz ADV), die – basierend auf dem BDSG – als „Nicht-Übermittlung“ eingestuft wird. Bei der Weitergabe von personenbezogenen Daten an einen Dienstleister, der die Daten im Sinne von § 11 BDSG im Auftrag verarbeitet, muss keine Einwilligung des Betroffenen eingeholt werden. Zudem ist für die Weitergabe keine weitere Rechtsgrundlage erforderlich. Das Gegenstück zur Auftragsdatenverarbeitung ist die Funktionsübertragung, wobei die Unterscheidung in der Praxis häufig zu Problemen führt.
Was ist unter der Auftragsdatenverarbeitung zu verstehen?
Im Rahmen der Auftragsdatenverarbeitung werden personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, wobei sowohl die Verantwortung als auch die Weisungsbefugnis bei dem Auftraggeber liegen. Der Auftragnehmer darf die personenbezogenen Daten demzufolge nur nach Weisung des Auftraggebers erheben, verarbeiten oder nutzen. Bei Vorliegen einer Auftragsdatenverarbeitung, muss ein Vertag zwischen den beiden Parteien abgeschlossen werden, wobei § 11 Abs. 2 BDSG sowohl die Form als auch den Inhalt des ADV-Vertrages vorschreibt. In § 11 Abs. 2 BDSG werden zehn Punkte festgehalten, die Bestandteil jedes ADV-Vertrages sein sollten. Aus diesem Grund spricht man häufig auch von einem Zehnpunktekatalog zur Auftragsdatenverarbeitung, der unter anderem den Gegenstand und die Dauer des Vertrages sowie die technischen und organisatorischen Maßnahmen erfasst.
Bei einer Auftragsdatenverarbeitung innerhalb der europäischen Union (EU) oder des europäischen Wirtschaftsraumes (EWR) sieht, wie bereits in der Einleitung erläutert, der Gesetzgeber eine Sonderregelung vor. Solch eine Übermittlung personenbezogener Daten wird als „Nicht-Übermittlung“ eingestuft, dabei werden Auftraggeber und Auftragnehmer als eine Einheit angesehen. Der Dienstleister führt den Auftrag in diesen Fällen quasi als „externe Abteilung“ des Auftragnehmers aus. Die Fiktion als „Nicht-Übermittlung“ ermöglicht die Weitergabe personenbezogener Daten an einen Dienstleister ohne die Erforderlichkeit einer weiteren gesetzlichen Grundlage oder einer informierten Einwilligung. Externe IT-Dienstleister oder Dienstleister für Entgeltabrechnungen verarbeiten häufig personenbezogene Daten im Auftrag und sind aus diesem Grund klassische Beispiele für eine Auftragsdatenverarbeitung. Weitere Beispiele sind Entsorgungsunternehmen, die Unterlagen und Datenträger mit personenbezogenen Daten im Auftrag entsorgen bzw. vernichten oder Dienstleister, die Newsletter an die Kunden des Auftraggebers versenden. Die Auswertung von Daten mit Hilfe von Google Analytics erfolgt ebenfalls als Auftragsdatenverarbeitung.
Bei einem Dienstleister, der seinen Sitz außerhalb der EU/des EWR hat, sieht der Gesetzgeber allerdings keine Sonderregelung vor. Dies bedeutet, dass die Datenübermittlung auch als solche angesehen wird. Eine Datenübermittlung sollte wiederrum, wie bereits erläutert, auf einer gesetzlichen Grundlage oder einer informierten und freiwilligen Einwilligung des Betroffenen erfolgen. Bei Dienstleistern außerhalb der EU/des EWR muss zudem vor der Übermittlung, bis auf wenige Ausnahmen, wie zum Beispiel der Schweiz und Kanada, ein angemessenes Datenschutzniveau hergestellt werden. Ein angemessenes Schutzniveau kann beispielsweise mittels EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR) sichergestellt werden.
Was ist unter eine Funktionsübertragung zu verstehen?
Unter einer Funktionsübertragung versteht man das Auslagern ganzer Funktionen an einen Dienstleister, der die Aufgaben weisungsfrei erfüllt. Der Auftragsnehmer trifft bei der Durchführung des Auftrags eigenverantwortlich Entscheidungen, wodurch er mehr als nur Hilfstätigkeiten ausführen kann.
Als klassische Beispiele gelten die Steuerberatung durch einen Steuerberater oder die juristische Beratung des Rechtanwaltes. Bei einer Funktionsübertragung handelt es sich um eine Datenübermittlung, die üblicherweise eine informierte Einwilligung des Betroffenen oder eine Rechtsgrundlage vorrausetzt, da der Gesetzgeber den Auftragsnehmer und –geber nicht als geschlossene Einheit sieht.
Bei einer Funktionsübertragung an einen Auftragnehmer außerhalb der EU/des EWR sollte allerdings trotz Vorliegen einer Rechtsgrundlage ein angemessenes Datenschutzniveau sichergestellt werden. Die Herstellung des Schutzniveaus sollte ebenfalls mittels EU-Standardvertragsklauseln oder BCR erfolgen.
Kein Konzernprivileg im Datenschutzrecht
Übermittelt ein Konzernunternehmen personenbezogene Daten an ein anderes gesellschaftsrechtlich verknüpftes Unternehmen der Unternehmensgruppe, das eine selbstständige Unternehmenseinheit darstellt, dann handelt es sich zunächst ebenfalls um eine Übermittlung an einen Dritten. Bei einer Weitergabe personenbezogener Daten sollte aus diesem Grund festgestellt werden, ob die Übermittlung im Rahmen einer Auftragsdatenverarbeitung oder einer Funktionsübertragung stattfindet.
Bei einer Auftragsdatenverarbeitung innerhalb der EU/EWR ist das Abschließen eines ADV-Vertrages (Vertrag zur Auftragsdatenverarbeitung gemäß § 11 BDSG) dringendst anzuraten. Handelt es sich dagegen um eine Funktionsübertragung oder um eine Auftragsdatenverarbeitung außerhalb der EU/EWR, so sollte die Datenübermittlung auf Basis einer Rechtsgrundlage bzw. auf einer informierten und freiwilligen Einwilligung erfolgen. Bei der Datenübermittlung an ein Konzernunternehmen oder einen sonstigen Dienstleister außerhalb der EU/EWR sollte darüber hinaus ein sicheres Datenschutzniveau hergestellt werden.
Auftragsdatenverarbeitung oder Funktionsübertragung – Unterschiede / Gemeinsamkeiten auf einen Blick
| Auftragsdatenverarbeitung | Funktionsübertragung |
| Reine Hilfs- und Unterstützungsfunktion des Auftragnehmers | Auftragsnehmer übernimmt ganze Aufgaben/Funktonen |
| Weisungsgebundenheit | Weisungsfreiheit |
| Auftraggeber und –nehmer stellen per Gesetz eine geschlossene Einheit dar | Auftraggeber und –nehmer stellen per Gesetz keine geschlossene Einheit dar |
| Weitergabe der Daten als „Nicht-Übermittlung“ | Weitergabe als Datenübermittlung |
| § 11 BDSG stellt Rechtsgrundlage für Weitergabe der Daten dar | Datenübermittlung bedarf einer Rechtsgrundlage oder einer informierten Einwilligung |
| Praxisbeispiele: Externer IT-Dienstleister, Dienstleister für die Entgeltabrechnung | Praxisbeispiele: Rechtsanwalt, Steuerberatung durch Steuerberater |
| Streitfall: Entgeltabrechnung durch einen Steuerberater. Hierbei existieren unterschiedliche Rechtsauffassungen. | |
| Die Weitergabe personenbezogener Daten im Rahmen einer Auftragsdatenverarbeitung oder Funktionsübertragung an einen Dienstleister außerhalb der EU/des EWR bedarf einer rechtlichen Grundlage oder der informierten (freiwilligen) Einwilligung. Der Auftraggeber hat dafür Sorge zu tragen, dass beim Auftragnehmer ein angemessenes Datenschutzniveau gewährleistet wird. |
Exkurs: Datenschutz beim Cloud-Computing
Ist die Rede von Cloud-Computing, so meint man das Auslagern der eigenen IT-Ressourcen, dabei werden über das Internet IT-Infrastrukturen und IT-Leistungen, wie zum Beispiel Rechenleistung (Infrastructure as a Service, IaaS), Entwicklungsumgebungen (Platform as a Service, PaaS) und Anwendungssoftware (Software as a Service, SaaS), bereitgestellt.
In diesem Zusammenhang werden häufig personenbezogene Daten übermittelt bzw. wird dem Auftragnehmer der Zugriff auf personenbezogene Daten ermöglicht. In diesen Fällen greift das Bundesdatenschutzgesetz (BDSG) und es muss geprüft werden, ob es sich um eine Auftragsdatenverarbeitung, gemäß § 11 BDSG, oder um eine Funktionsübertragung handelt. Der Sitz des Auftragnehmers (Cloud-Anbieters) ist, wie seine übrigen Standorte, auch hier entscheidend.
Die Inanspruchnahme von Cloud-Leistungen erfolgt regelmäßig als Auftragsdatenverarbeitung. Dennoch kommt es häufig vor, dass der Auftragnehmer seinen Sitz außerhalb der EU/EWR hat, was den datenschutzkonformen Einsatz regelmäßig um ein Vielfaches erschwert, da zum einen ein sicheres Datenschutzniveau hergestellt werden muss und zum anderen eine Übermittlung ohne Einwilligung oder einer Rechtsgrundlage nicht rechtskonform ist. Weitere Schwachstellen sind zudem die fehlenden Kontroll- und Weisungsbefugnisse, die oftmals nicht mit der für Cloud-Computing charakteristischen Standardisierung vereinbar sind. Eine weitere Problematik, die sich für Cloud-Nutzer, wie Unternehmen, Behörden etc., ergibt, ist die hohe Vielzahl an Beauftragungsketten.
