Was Auftragsdatenverarbeitung und eine Funktionsübertragung im Datenschutzrecht sind und wie man diese unterscheidet habe ich bereits erläutert.
In diesem Beitrag möchte ich darstellen, warum die Unterscheidung für die Praxis so wichtig ist. Eine ganz wesentliche Auswirkung hat das Ganze nämlich auf die Verantwortlichkeit für den Datenschutz und damit auch die datenschutzrechtliche Haftung.
Verantwortlichkeit bei der Funktionsübertragung
Bei der Funktionsübertragung, welcher ja eine Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG zugrunde liegt, liegen die Verantwortungssphären letztendlich genauso wie bei jeder Übermittlung personenbezogener Daten von einem Unternehmen an ein anderes: Das übermittelnde Unternehmen muss zuerst prüfen, ob eine Datenübermittlung als datenschutzrechtlich relevanter Verarbeitungsvorgang erlaubt ist, z.B. durch § 28 Abs. 1 BDSG oder § 28 Abs. 2 BDSG oder weil eine Einwilligung des Betroffenen nach § 4a BDSG vorliegt.
Ist die Datenübermittlung rechtmäßig, endet mit der vollzogenen Übermittlung die Verantwortung des übermittelnden Unternehmens (also bei der Funktionsübertragung quasi des Auftraggebers). Kommt es mithin beim datenempfangenden Unternehmen (quasi dem Auftragnehmer) zu einer Datenschutzverletzung, so ist hier alleine der Auftragnehmer verantwortlich und nicht etwa der Auftraggeber – auch wenn die Daten ursprünglich von diesem stammen.
Verantwortlichkeit bei der Auftragsdatenverarbeitung
Wie ich in dem ersten Teil der Reihe bereits erläutert habe, liegt bei der Auftragsdatenverarbeitung keine Datenübermittlung gem. § 3 Abs. 4 Nr. 3 BDSG zwischen zwei Unternehmen vor. Die Übertragung der Daten ist weitgehend vergleichbar mit dem Sachverhalt entsprechend Szenario 1, in welchem die personenbezogenen Daten von einer Abteilung einer verarbeitenden Stelle an eine andere Abteilung in demselben Unternehmen übermittelt wird. Dies macht § 11 Abs. 1 BDSG deutlich, wonach der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich – obwohl die Daten ja eigentlich vom Auftragnehmer verarbeitet werden. § 11 Abs. 3 BDSG unterstreicht dies nochmals, indem der Gesetzgeber hier deutlich macht, dass der Auftragnehmer die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen dürfe und selbst wenn er der Ansicht sei, dass dies gegen datenschutzrechtliche Bestimmungen verstoße, er den Auftraggeber unverzüglich darauf hinzuweisen habe. „Nur“ hinzuweisen habe – mag man da anfügen. Denn der Auftragnehmer ist ja im Rahmen der Vereinbarung mit dem Auftraggeber vertraglich zur Durchführung der Weisungen des Auftraggebers verpflichtet.
Im Ergebnis bedeutet dies, dass in diesem Fall der Auftragsdatenverarbeitung anders wie bei der Funktionsübertragung der Auftraggeber für die Datenverarbeitung beim Auftragnehmer die volle datenschutzrechtliche Verantwortung trägt. Kommt es zu einer „Datenpanne“ beim Auftragnehmer, haftet hier also grundsätzlich der Auftraggeber.
Das mag auf den ersten Blick etwas „unfair“ klingen, ist aber auf den zweiten Blick nur konsequent. Denn bei der Auftragsdatenverarbeitung ist der Auftragnehmer ja ganz streng an die Weisungen des Auftraggebers gebunden, dem Auftragnehmer verbleibt wie in Teil 2 der Reihe dargestellt ja überhaupt kein Entscheidungsspielraum in der Frage, was er zu tun habe. Verstoßen die vom Auftraggeber vorgegebenen Weisungen daher gegen das Datenschutzrecht, hat der Auftraggeber diesen durch den Auftragnehmer als „ausführendes Werkzeug“ begangenen Verstoß auch in der Regel zu vertreten.
Gleichwohl ist zu beachten, dass der Auftragnehmer nicht ganz pflichtenlos ist: Gem. § 11 Abs. 4 BDSG treffen diesen insbesondere die technischen und organisatorischen Datenschutzpflichten aus § 9 BDSG und Anlage (z.B. bei einem Rechenzentrum als Auftragnehmer die klassischen IT-Sicherheitspflichten wie Schutz gegen Naturgewalten oder unbefugten Datenzugang und –zugriff), die Verpflichtung der Mitarbeiter auf das Datengeheimnis, gewisse Informationspflichten usw.
Konsequenz
Vor diesem Hintergrund ist einem Auftraggeber daher dringend zu raten, sorgsam zu prüfen, ob in jedem Einzelfall eine Auftragsdatenverarbeitung vorliegt oder doch „nur“ (aus haftungsrechtlicher Sicht) eine Funktionsübertragung. Kommt der Auftraggeber zu dem Schluss, dass eine Auftragsdatenverarbeitung gem. § 11 BDSG vorliegt, sollte dieser die Weisungen an und Aufgaben des Auftragnehmers sauber und präzise in einer Vereinbarung zur Auftragsdatenverarbeitung definieren, in welcher im übrigen mindestens auch sämtliche Punkte des Katalogs aus § 11 Abs. 2 BDSG geregelt sein müssen. Wegen der immensen datenschutzrechtlichen Verantwortung sollte der Auftraggeber ferner die vom Gesetz geforderte Überwachungs- und Kontrollpflicht gegenüber dem Auftragnehmer sehr ernst nehmen.
Bestehen auf Seiten des Auftraggebers bei einer Auftragsdatenverarbeitung Unsicherheit dahingehend, was der Auftragnehmer jetzt genau tut oder hat der Auftraggeber das Gefühl, die vom Auftragnehmer durchgeführten Aufgaben nicht „durchschauen“ zu können, so sollte der Auftraggeber von seinem Informationsrecht Gebrauch machen bzw. seiner Kontrollpflicht nachkommen – und sich insbesondere fragen, ob in einem solchen Fall nicht doch eine nicht erkannte Funktionsübertragung vorliegt…
