Datenschutz-Fallbeispiel: Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung

Werden Aufgaben einer verantwortlichen Stelle, wie zum Beispiel eines Unternehmens, einer Behörde oder eines Vereins, an einen externen Dienstleister ausgelagert, erfolgt häufig gleichzeitig auch die Weitergabe personenbezogener Daten. Viele Organisationen sind sich allerdings nicht darüber bewusst, dass hier bereits Maßnahmen ergriffen werden sollten, wobei zunächst zwischen Auftragsdatenverarbeitung oder Funktionsübertragung bzw. auch in „nicht datenschutzrechtlich relevant“ unterschieden werden muss. Die Unterscheidung, insbesondere zwischen Auftragsdatenverarbeitung (ADV) und Funktionsübertragung, führt allerdings häufig zu Problemen.

Fallbeispiel „Online-Shop“

Die XY GmbH bietet Werkzeuge im Online-Shop, der von einem Dienstleister aus Frankreich betrieben wird, an. Hat sich ein Kunde für sein Wunschwerkzeug entschieden, so kann er zwischen einigen Zahlungsarten wählen. Der Kauf auf Rechnung ist ebenfalls möglich, wobei die Rechnungsabwicklung (Erstellung und Versand der Rechnung) ebenfalls über einen externen Dienstleister aus den USA läuft. Zudem können sich die Kunden für Newsletter anmelden, wobei dies von einem Dienstleister aus Kanada betrieben wird. Bei Nichtbegleichung des geforderten Betrags tritt die XY GmbH die Forderung an ein Inkassobüro mit Sitz in Deutschland ab, dass die ausstehende Forderung eigenverantwortlich betreibt. Handelt es sich bei den Aufträgen zwischen der XY GmbH und den Dienstleistern um Auftragsdatenverarbeitungen oder um Funktionsübertragungen? Welche Maßnahmen sollte die XY GmbH dringendst ergreifen?

Dienstleister für den Online-Shop

Wird der Online-Shop von einem Dienstleister betrieben, so handelt es sich in den meisten Fällen um eine Auftragsdatenverarbeitung. Der Shop-Betreiber erhält zumindest potenziell Kundendaten (z. B: Namen, Anschrift, Kundenhistorie und vieles mehr). Bei diesen Daten handelt es sich um die sogenannten personenbezogenen Daten. In so einem Fall ist es dringend anzuraten, dass die XY GmbH einen ADV-Vertrag mit dem Shop-Betreiber abschließt, denn die Verantwortung und Weisungsbefugnis bleibt bei der XY GmbH.

Dienstleister für die Rechnungsabwicklung

Verarbeitet der Dienstleister die Kundendaten ausschließlich nach Weisung der XY GmbH und dies ausschließlich zum Zweck Rechnungsabwicklung, so liegt i. d. R. ebenfalls eine Auftragsdatenverarbeitung vor. In dem Fallbeispiel handelt es sich um einen Dienstleister mit dem Sitz in einem Drittland. Die Fiktion der „Nicht-Übermittlung“ greift in diesem Fall nicht. Die Weitergabe der Daten bedarf einer Rechtsgrundlage oder einer informierten Einwilligung. Zudem wird den meisten Ländern außerhalb der EU/des EWR unterstellt, dass kein angemessenes Datenschutzniveau herrscht, was vor der Übermittlung – außer der Dienstleister hat sich dem EU-US-Privacy-Shield verpflichtet – mittels EU-Standardvertragsklauseln oder anderen geeigneten und vertraglichen Grundlagen hergestellt werden soll.

Dienstleister für den Versand von Newslettern

Versendet ein Dienstleister im Auftrag Newsletter, so handelt es sich um eine klassische Auftragsverarbeitung, da der Dienstleister die XY GmbH unterstützt und die Daten ausschließlich im Auftrag verarbeitet. In diesem Fall handelt es sich um einen Dienstleister mit dem Sitz in Kanada und somit außerhalb der EU/des EWR. Eine Datenübermittlung an einen Dienstleister im Drittland, auch wenn der Dienstleister die Daten ausschließlich nach Weisung des Auftraggebers verarbeitet, wird nicht mehr als „Nicht-Übermittlung“ eingestuft. Bei einer Datenübermittlung muss deshalb geprüft werden, ob die Übermittlung auf Basis einer Rechtsgrundlage erfolgen kann. Liegt diese nicht vor, muss die XY GmbH beim Einholen von informierten Einwilligungen explizit über die Datenweitergabe an den Dienstleister in Kanada informieren. Beim zweiten Schritt muss geprüft werden, ob Kanada ein angemessenes Datenschutzniveau aufweist. Dies hat die EU-Kommission für Kanada bestätigt, wodurch kein sicheres Datenschutzniveau hergestellt werden muss.

Einsatz eines Inkassobüros

Wird die Forderung der XY GmbH an das Inkassobüro übertragen (Factoring) und dieses macht im Anschluss die Forderung eigenverantwortlich geltend, so handelt es sich hierbei um eine Funktionsübertragung. Bei einer Funktionsübertragung greift die Fiktion der „Nicht-Übermittlung“ nicht. Aus diesem Grund wäre zu prüfen, ob eine Rechtsgrundlage für die Datenübermittlung an das Inkassobüro vorliegt, ansonsten wären informierte Einwilligungen der Betroffenen einzuholen. Eine Rechtsgrundlage für die Weitergabe an das Inkassobüro lässt sich allerdings – sofern nicht das schutzwürdige Interesse des Betroffenen überwiegt- in § 28 Abs. 1 Bundesdatenschutzgesetz (BDSG) finden. Achtung: Eine Funktionsübertragung liegt allerdings nur vor, wenn die Forderung an das Inkassobüro übertragen wurde und dieses eigenverantwortlich handelt. Setzt ein Unternehmen ein Inkassobüro für „Hilfstätigkeiten“, wie die Erstellung von Mahnungen, ein und dieses agiert ausschließlich nach Weisung des Unternehmens, so dürfte auch hier eine Auftragsdatenverarbeitung vorliegen.

Übersicht zum Fallbeispiel

	Dienstleister Online-Shop	Dienstleister Rechnung	Dienstleister Newsletter	Dienstleister Inkassobüro
Erste Prüfstufe:	Verarbeitung im Auftrag	Verarbeitung im Auftrag	Verarbeitung im Auftrag	Funktionsübertragung
Zweite Prüfstufe:	Dienstleister innerhalb der EU/des EWR	Dienstleister im Drittland ohne angemessenes Datenschutzniveau	Drittland mit angemessenes Datenschutzniveau	Dienstleister innerhalb der EU/des EWR
Maßnahmen	ADV-Vertrag	Rechtsgrundlage oder informierte Einwilligungen + Herstellung angemessenes Datenschutzniveaus o. EU-US-Privacy Shield	Rechtsgrundlage oder informierte Einwilligungen	Rechtsgrundlage oder informierte Einwilligungen

Auftragsdatenverarbeitung und Funktionsübertragung – Fazit

Anhand des Fallbeispiels lässt sich sehr gut erkennen, das häufig nur ein schmaler Grat zwischen der Auftragsdatenverarbeitung und der Funktionsübertragung ist. Aus diesem Grund empfiehlt sich die Einbindung eines Datenschutzbeauftragten, der Sie bei der Verifikation von ADV-Dienstleistern und beim Abschluss der erforderlichen Verträge sowie bei der Prüfung der Dienstleister unterstützt.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Benutzereinwilligung für die Cookies in der Kategorie "Analytics" zu speichern.
cookielawinfo-checkbox-functional	11 months	Das Cookie wird von GDPR Cookie Consent gesetzt, um die Benutzereinwilligung für die Cookies in der Kategorie "Funktional" aufzuzeichnen.
cookielawinfo-checkbox-necessary	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Die Cookies werden verwendet, um die Benutzereinwilligung für die Cookies in der Kategorie „Notwendig“ zu speichern.
cookielawinfo-checkbox-others	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Benutzereinwilligung für die Cookies in der Kategorie „Andere“ zu speichern.
cookielawinfo-checkbox-performance	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Benutzereinwilligung für die Cookies in der Kategorie "Performance" zu speichern.
viewed_cookie_policy	11 months	Das Cookie wird vom GDPR Cookie Consent Plugin gesetzt und wird verwendet, um zu speichern, ob der Benutzer der Verwendung von Cookies zugestimmt hat oder nicht. Es speichert keine personenbezogenen Daten.

Datenschutz-Fallbeispiel: Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung

Arbeitgeber aufgepasst! – „ Datenschutz Bewerbungen “ welche Bedeutung hat diese Begriffskombination?

Novellierung des BDSG – Die Anpassung an die EU-Datenschutz-Grundverordnung

Öffentliche WLAN-Hotspots – Wenn sich der Datenschutz „einwählt“

Datenschutz und UniNow – (Un)bequem durchs Studium mit datenschutzrechtlichen Bedenken

Durchsetzen der Betroffenenrechte – Löschanträge und Auskunftsersuchen

Artikel-29-Datenschutzgruppe – Definition und Aufgaben

Kontakt

BELIEBTE THEMEN