In den letzten Jahren sind sehr viele Unternehmen dazu übergegangen, Dienstleistungen jeglicher Art, sei es die Organisation und Abrechnung von Dienstreisen, das Leasing von Fahrzeugen, sei es die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung, das Inkasso, der Betrieb von Call-Centern, das Marketing oder die Organisation von Schulungs- und Weiterbildungsmaßnahmen an externe Dienstleister zu vergeben. Die in diesem Zusammenhang stattfindende Datenerhebung und -verarbeitung durch den Auftragnehmer bzw. die Datenübertragung vom Auftraggeber an den Auftragnehmer kann – je nach mit dem Auftrag verbundenem inhaltlichen Ermessensspielraum, der Eigenverantwortung und der Weisungsbefugnis des Auftraggebers – entweder als Auftragsdatenverarbeitung, nach § 11 Bundesdatenschutzgesetz (BDSG) oder als Funktionsübertragung interpretiert werden. Die Einordnung spielt eine wichtige Rolle bei der Beurteilung unter welchen Umständen Daten zwischen den Vertragsparteien ausgetauscht werden dürfen. Hierzu gibt der folgende Text nähere Informationen.
Abgrenzung Auftragsdatenverarbeitung und Funktionsübertragung
Eine Auftragsdatenverarbeitung liegt vor, wenn der Dienstleister die an ihn delegierte Datenverarbeitung, als „verlängerter Arm“ des Auftraggebers, streng weisungsgebunden und ohne eigene Entscheidungsbefugnis durchzuführen hat. Eine Funktionsübertragung liegt vor, wenn dem Dienstleister bei der Datenverarbeitung eine gewisse Eigenverantwortlichkeit und Entscheidungsbefugnis zukommt, die seine Tätigkeit über die reine Hilfsfunktion hinaushebt.
Fließender Übergang
Bei vielen Dienstleistungen ist jedoch nicht immer eindeutig, um was es sich bei der jeweiligen Dienstleistung handelt. Der Übergang von Auftragsdatenverarbeitung und Funktionsübertragung ist fließend. Klassische IT-Dienstleistungen wie beispielsweise das Hosting oder die Fernwartung von Servern, auch das Einscannen oder das Ausdrucken von Belegen bis hin zur Entsorgung von Datenträgern stellen zweifellos eine typische Auftragsdatenverarbeitung dar.
Die Auslagerung der reinen Lohn- und Gehaltsauszahlung einschließlich des Ausdruckens der Gehaltsabrechnung wurde in der Vergangenheit allgemein ebenfalls als Auftragsdatenverarbeitung eingestuft. Wenn jedoch zusätzlich noch die Berechnung der Löhne und Gehälter sowie die Finanzbuchhaltung oder gar die Personalverwaltung ausgelagert werden, so kann es sich hierbei auch um eine Funktionsübertragung handeln.
Das Organisieren von Dienstreisen, das Anmieten von Dienstfahrzeugen, das Übertragen von Forderungen an Inkassounternehmen ist dagegen geprägt durch die Übertragung der vollen Verantwortung an den Auftragnehmer und somit eine Funktionsübertragung.
Rechtsfolgen der Auftragsdatenverarbeitung
Je nach Art der Datenübertragung und der damit verbundenen rechtlichen Wertung sind mit der Datenverarbeitung für den Auftraggeber bzw. den Auftragnehmer unterschiedliche Rechtsfolgen verbunden.
- Zulässigkeit der Datenübertragung
Werden Daten von einem Unternehmen an ein anderes Unternehmen übertragen, so bedarf es nach dem deutschen Datenschutzrecht hierfür grundsätzlich einer ausdrücklichen gesetzlichen Regelung oder der Einwilligung des Betroffenen. Die Auftragsdatenverarbeitung bildet eine Ausnahme von diesem Grundsatz: Da der Auftragnehmer quasi als verlängerter Arm des Auftraggebers agiert, ist die Datenübertragung an den Empfänger stets zulässig, wenn der Auftraggeber selbst die Aufgabe ausführen dürfte. Der Empfänger der Daten darf die an ihn übertragenen Daten jedoch nur zweck- und weisungsgebunden verarbeiten. - Verantwortung des Auftraggebers
Soweit der Auftragnehmer innerhalb der Europäischen Union agiert, verbleibt die datenschutzrechtliche Verantwortung für den rechtmäßigen Umgang der Daten durch den Auftragnehmer beim Auftraggeber. Um seiner Verantwortung gerecht zu werden, ist er verpflichtet, den Auftragnehmer regelmäßig zu auditieren. - Weisungsbefugnis des Auftraggebers
Das Wesen der Auftragsdatenverarbeitung enthält das Recht des Auftraggebers, dass er gegenüber dem Auftragnehmer weisungsbefugt ist und diesen dadurch besser kontrollieren kann. Damit behält der Auftraggeber die Kontrolle über die Daten. Für den Auftragnehmer stellt sich Auftragsdatenverarbeitung aufgrund der Weisungsbefugnis des Auftraggebers auf den ersten Blick als eine Tätigkeit dar, die der Daueraufsicht des Auftraggebers unterliegt. Anderseits ist der Auftragnehmer jedoch von jeglicher Verantwortung für materiell-rechtliche Aspekte befreit. - Vertragsabschluss
Lässt der Auftraggeber eine Aufgabe durch einen Dritten erledigen, bedarf es eines schriftlichen Vertrages, der zwingend vielfältige Datenschutzpflichten enthalten muss, § 11 Abs. 2 BDSG.
Vertragliche Regelungen
Unabhängig davon, ob es sich bei der Datenübertragung um eine Auftragsdatenverarbeitung gemäß § 11 BDSG oder um eine Funktionsübertragung und somit um eine Übermittlung gemäß § 28 BDSG handelt, hat der Auftraggeber ein Interesse daran, dass der Auftragnehmer die an ihn übertragenen Daten zweckgebunden und sicher verarbeitet. Ein solches Interesse hat der Auftraggeber erfahrungsgemäß besonders dann, wenn datenschutzrechtliche oder sicherheitstechnische Unregelmäßigkeiten beim Auftragnehmer auch zu einem Imageverlust beim Auftraggeber führen.
Sofern dies der Fall ist, empfehlen wir auch bei einer Funktionsübertragung, folgende Kardinalspflichten des Auftragnehmers vertraglich zu regeln:
- Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber, die an ihn übermittelten personenbezogenen Daten gemäß § 28 Abs. 5 BDSG ausschließlich zu den Zwecken zu verarbeiten, zu dessen Erfüllung die Daten an ihn übermittelt wurden. Eine darüber hinaus gehende Verarbeitung oder Übermittlung der Daten an Dritte ist nur zulässig, soweit der Auftragnehmer hierzu gesetzlich verpflichtet ist.
- Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich zu informieren, wenn im Rahmen der Verarbeitung der übermittelten personenbezogenen Daten Unregelmäßigkeiten festgestellt werden, beispielsweise der Verlust von Daten, die unberechtigte Übermittlung, Nutzung oder sonstige Verarbeitung von Daten entgegen des Übermittlungszweckes.
- Der Auftragnehmer verpflichtet sich, alle übermittelten personenbezogenen Daten nach Erfüllung des Verarbeitungszweckes dauerhaft zu löschen, sofern dem keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
- Der Auftragnehmer verpflichtet sich, die an ihn übermittelten personenbezogenen Daten intern nur solchen Mitarbeitern zur Kenntnis zu bringen, die mit der Erfüllung des Vertrages zwischen Auftraggeber und Auftragnehmer beauftragt sind.
- Der Auftragnehmer verpflichtet sich – soweit erforderlich – zum Führen eines aktuellen Verfahrensverzeichnisses gemäß § 4e BDSG.
- Der Auftragnehmer verpflichtet sich, bei der Verarbeitung personenbezogener Daten ausschließlich Personal einzusetzen, das gemäß § 5 BDSG auf das Datengeheimnis verpflichtet ist.
- Der Auftragnehmer verpflichtet sich zur Umsetzung geeigneter technisch-organisatorischer Maßnahmen zum Schutz der an ihn übermittelten personenbezogenen Daten gemäß § 9 BDSG einschließlich Anlage.
- Der Auftragnehmer verpflichtet sich, nur Subunternehmer zu beauftragen, die sich ihrerseits gegenüber dem Auftragnehmer auf Mindeststandards verpflichten. Die vertraglichen Vereinbarungen sind im Falle einer Auftragsdatenverarbeitung durch den Auftraggeber so zu gestalten, dass sie den gesetzlichen Datenschutzbestimmungen und den Regelungen des § 11 BDSG entsprechen. Im Falle einer Funktionsübertragung an Subunternehmer setzt die Übermittlung eine Rechtmäßigkeitsprüfung durch den Auftragnehmer voraus. Der Auftragnehmer verpflichtet sich, auf Verlangen des Auftraggebers jederzeit Auskunft über die beauftragten Subunternehmer zu geben.
Auftragskontrolle
Der Auftraggeber ist verpflichtet, sich in regelmäßigen Abständen von der Einhaltung der technisch-organisatorischen Sicherheitsmaßnahmen beim Auftragnehmer zu überzeugen und diese Datenschutzaudits zu dokumentieren.
Wir empfehlen, ein solches Datenschutzaudit zweistufig durchzuführen: Zunächst sollte die Qualität der vom Auftragnehmer umgesetzten technisch-organisatorischen Maßnahmen entweder per Fragenkatalog ermittelt oder – sofern vorhanden – anhand geeigneter Dokumente des Auftragnehmers bewertet werden.
Zum Dokumentencheck sind u.a. folgende Dokumente geeignet:
- Datenschutz- und Sicherheitskonzepte,
- Verträge mit Subunternehmen,
- IT-Sicherheitsleitlinien, Passwortrichtlinien
- Berechtigungs- bzw. Rollenkonzepte.Nur soweit sich aus dem Dokumenten-Check und der Fragebogenauswertung der Bedarf ergibt bzw. die ausgelagerte Dienstleistung für den Auftraggeber einen sehr hohen Stellenwert hat, müssen in einem zweiten Schritt die getroffenen Maßnahmen vor Ort überprüft werden.
Zertifikat zur Auftragskontrolle
Für Dienstleister, die als Auftragsdatenverarbeiter regelmäßig durch verschiedene Auftraggeber auditiert werden, bietet es sich an, einmalig ein Zertifikat zur Auftragskontrolle zu erwerben. Mit einem solchen Zertifikat kann das Dienstleistungsunternehmen darlegen, dass es sämtliche datenschutzrechtliche als auch sicherheitstechnische Standards erfüllt, die Auftragsdatenverarbeiter gemäß § 11 BDSG einhalten müssen. Der Vorteil einer solchen Zertifizierung besteht darin, dass die Standards nur einmal nachgewiesen werden – und zwar gegenüber einer unabhängigen Zertifizierungsstelle.
Die datenschutz cert GmbH – eine 100 % Tochter der datenschutz nord GmbH und bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO 27006 als Zertifizierungsstelle akkreditiert – bietet für Unternehmen, die klassische Auftragsdatenverarbeitung betreiben, entsprechende Zertifikate zur Auftragskontrolle seit September 2009 an.
Dr. Uwe Schläger | | Allgemein |