Datenschutz-Fallbeispiel: Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung

Datenschutz-Fallbeispiel

Werden Aufgaben einer verantwortlichen Stelle, wie zum Beispiel eines Unternehmens, einer Behörde oder eines Vereins, an einen externen Dienstleister ausgelagert, erfolgt häufig gleichzeitig auch die Weitergabe personenbezogener Daten. Viele Organisationen sind sich allerdings nicht darüber bewusst, dass hier bereits Maßnahmen ergriffen werden sollten, wobei zunächst zwischen Auftragsdatenverarbeitung oder Funktionsübertragung bzw. auch in „nicht datenschutzrechtlich relevant“ unterschieden werden muss. Die Unterscheidung, insbesondere zwischen Auftragsdatenverarbeitung (ADV) und Funktionsübertragung, führt allerdings häufig zu Problemen.

Ihr externer Datenschutzbeauftragter verdeutlicht anhand eines Fallbeispiels die Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung sowie über die Maßnahmen, die ergriffen werden sollten.

Fallbeispiel „Online-Shop“

Auftragsdatenverarbeitung und FunktionsübertragungDie XY GmbH bietet Werkzeuge im Online-Shop, der von einem Dienstleister aus Frankreich betrieben wird, an. Hat sich ein Kunde für sein Wunschwerkzeug entschieden, so kann er zwischen einigen Zahlungsarten wählen. Der Kauf auf Rechnung ist ebenfalls möglich, wobei die Rechnungsabwicklung (Erstellung und Versand der Rechnung) ebenfalls über einen externen Dienstleister aus den USA läuft. Zudem können sich die Kunden für Newsletter anmelden, wobei dies von einem Dienstleister aus Kanada betrieben wird. Bei Nichtbegleichung des geforderten Betrags tritt die XY GmbH die Forderung an ein Inkassobüro mit Sitz in Deutschland ab, dass die ausstehende Forderung eigenverantwortlich betreibt. Handelt es sich bei den Aufträgen zwischen der XY GmbH und den Dienstleistern um Auftragsdatenverarbeitungen oder um Funktionsübertragungen? Welche Maßnahmen sollte die XY GmbH dringendst ergreifen?

Dienstleister für den Online-Shop

Wird der Online-Shop von einem Dienstleister betrieben, so handelt es sich in den meisten Fällen um eine Auftragsdatenverarbeitung. Der Shop-Betreiber erhält zumindest potenziell Kundendaten (z. B: Namen, Anschrift, Kundenhistorie und vieles mehr). Bei diesen Daten handelt es sich um die sogenannten personenbezogenen Daten. In so einem Fall ist es dringend anzuraten, dass die XY GmbH einen ADV-Vertrag mit dem Shop-Betreiber abschließt, denn die Verantwortung und Weisungsbefugnis bleibt bei der XY GmbH.

Dienstleister für die Rechnungsabwicklung

Verarbeitet der Dienstleister die Kundendaten ausschließlich nach Weisung der XY GmbH und dies ausschließlich zum Zweck Rechnungsabwicklung, so liegt i. d. R. ebenfalls eine Auftragsdatenverarbeitung vor. In dem Fallbeispiel handelt es sich um einen Dienstleister mit dem Sitz in einem Drittland. Die Fiktion der „Nicht-Übermittlung“ greift in diesem Fall nicht. Die Weitergabe der Daten bedarf einer Rechtsgrundlage oder einer informierten Einwilligung. Zudem wird den meisten Ländern außerhalb der EU/des EWR unterstellt, dass kein angemessenes Datenschutzniveau herrscht, was vor der Übermittlung – außer der Dienstleister hat sich dem EU-US-Privacy-Shield verpflichtet – mittels EU-Standardvertragsklauseln oder anderen geeigneten und vertraglichen Grundlagen hergestellt werden soll.

Dienstleister für den Versand von Newslettern

Versendet ein Dienstleister im Auftrag Newsletter, so handelt es sich um eine klassische Auftragsverarbeitung, da der Dienstleister die XY GmbH unterstützt und die Daten ausschließlich im Auftrag verarbeitet. In diesem Fall handelt es sich um einen Dienstleister mit dem Sitz in Kanada und somit außerhalb der EU/des EWR. Eine Datenübermittlung an einen Dienstleister im Drittland, auch wenn der Dienstleister die Daten ausschließlich nach Weisung des Auftraggebers verarbeitet, wird nicht mehr als „Nicht-Übermittlung“ eingestuft. Bei einer Datenübermittlung muss deshalb geprüft werden, ob die Übermittlung auf Basis einer Rechtsgrundlage erfolgen kann. Liegt diese nicht vor, muss die XY GmbH beim Einholen von informierten Einwilligungen explizit über die Datenweitergabe an den Dienstleister in Kanada informieren. Beim zweiten Schritt muss geprüft werden, ob Kanada ein angemessenes Datenschutzniveau aufweist. Dies hat die EU-Kommission für Kanada bestätigt, wodurch kein sicheres Datenschutzniveau hergestellt werden muss.

Einsatz eines Inkassobüros

Wird die Forderung der XY GmbH an das Inkassobüro übertragen (Factoring) und dieses macht im Anschluss die Forderung eigenverantwortlich geltend, so handelt es sich hierbei um eine Funktionsübertragung. Bei einer Funktionsübertragung greift die Fiktion der „Nicht-Übermittlung“ nicht. Aus diesem Grund wäre zu prüfen, ob eine Rechtsgrundlage für die Datenübermittlung an das Inkassobüro vorliegt, ansonsten wären informierte Einwilligungen der Betroffenen einzuholen. Eine Rechtsgrundlage für die Weitergabe an das Inkassobüro lässt sich allerdings – sofern nicht das schutzwürdige Interesse des Betroffenen überwiegt- in § 28 Abs. 1 Bundesdatenschutzgesetz (BDSG) finden. Achtung: Eine Funktionsübertragung liegt allerdings nur vor, wenn die Forderung an das Inkassobüro übertragen wurde und dieses eigenverantwortlich handelt. Setzt ein Unternehmen ein Inkassobüro für „Hilfstätigkeiten“, wie die Erstellung von Mahnungen, ein und dieses agiert ausschließlich nach Weisung des Unternehmens, so dürfte auch hier eine Auftragsdatenverarbeitung vorliegen.

Übersicht zum Fallbeispiel

  Dienstleister Online-Shop Dienstleister Rechnung Dienstleister Newsletter Dienstleister Inkassobüro
Erste Prüfstufe: Verarbeitung im Auftrag Verarbeitung im Auftrag Verarbeitung im Auftrag Funktionsübertragung
Zweite Prüfstufe: Dienstleister innerhalb der EU/des EWR Dienstleister im Drittland ohne angemessenes Datenschutzniveau Drittland mit angemessenes Datenschutzniveau Dienstleister innerhalb der EU/des EWR
Maßnahmen ADV-Vertrag Rechtsgrundlage oder informierte Einwilligungen + Herstellung angemessenes Datenschutzniveaus o. EU-US-Privacy Shield Rechtsgrundlage oder informierte Einwilligungen Rechtsgrundlage oder informierte Einwilligungen

Auftragsdatenverarbeitung und Funktionsübertragung – Fazit

Anhand des Fallbeispiels lässt sich sehr gut erkennen, das häufig nur ein schmaler Grat zwischen der Auftragsdatenverarbeitung und der Funktionsübertragung ist. Aus diesem Grund empfiehlt sich die Einbindung eines Datenschutzbeauftragten, der Sie bei der Verifikation von ADV-Dienstleistern und beim Abschluss der erforderlichen Verträge sowie bei der Prüfung der Dienstleister unterstützt.

Wenn Sie mehr zur Unterscheidung von Auftragsdatenverarbeitung und Funktionsübertragung erfahren möchten, lesen Sie gerne unseren Beitrag „Auftragsdatenverarbeitung oder Funktionsübertragung – datenschutzrechtliche und –organisatorische Unterscheidung von Dienstleistern“. Gerne können Sie direkt Kontakt zu uns aufnehmen oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein.

 

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

  • fachkundige und zuverlässige Unterstützung im Datenschutz ✓
  • Beratung zur Datensicherheit ✓
  • externer Datenschutzbeauftragter ✓
  • Data Protection Officer ✓
  • Datenschutzberater (Datenschutzberatung) ✓
  • Auditierung als Datenschutzauditor z. B. bei der Vergabe von Verträgen zur Auftragsdatenverarbeitung gemäß § 11 BDSG ✓
  • Durchführung von Datenschutzschulungen (Grundlagen- oder Spezialschulungen) ✓
  • diverse TÜV-Zertifizierungen (z. B.: Datenschutzbeauftragter & Datenschutzauditor) ✓
  • akademisch fundierte Beratung (relevanter Studienabschluss des Beraters bzw. Beauftragten für den Datenschutz) ✓

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.