Unser Datenschutz-ABC erklären wir Grundbegriffe des Datenschutzrechts. Los geht es mit A wie Auftragsdatenverarbeitung.
Der Begriff Auftragsdatenvereinbarung stammt aus dem Bundesdatenschutzgesetz (kurz „BDSG″). Das Bundesdatenschutzgesetz regelt, wann und wie personenbezogene Daten verwendet werden dürfen.
Personenbezogene Daten sind alle Daten, die unmittelbar oder mittelbar Rückschlüsse auf die Person zulassen, von der sie stammen, zum Beispiel Name, Anschrift oder Alter einer Person. Anders als beispielsweise das luxemburgische oder österreichische Datenschutzrecht schützt das BDSG nur Daten natürlicher Personen.
Grundsatz: alles verboten, außer es ist erlaubt
Nach der Grundentscheidung des Gesetzesgebers dürfen personenbezogene Daten nur erhoben, verarbeitet oder genutzt werden, wenn eine gesetzliche Bestimmung dies gestattet (sogenanntes Verbot mit Erlaubnisvorbehalt). Der Begriff der Verarbeitung ist dabei so weitgehend, dass in der Praxis fast die gesamte Datenverwendung eines Unternehmens hierunter fällt. Angefangen bei den Daten, die von Bewerbern erhoben werden bis hin zur Verwaltung der Kundendatenbank.
Erfasst ist insbesondere auch die Übermittlung von Daten an Dritte, wozu auch andere Gesellschaften innerhalb einer Unternehmensgruppe zählen. Für all diese Tätigkeiten bedarf es einer gesetzlichen Erlaubnis. Das BDSG folgt also einem denkbar einfachen Prinzip: Es ist alles verboten, es sei denn das Gegenteil ergäbe sich aus dem Gesetz.
Auftragsdatenvereinbarung: Die Datenverarbeitung im Auftrag eines anderen
Das BDSG stellt aber glücklicherweise eine Reihe von Erlaubnistatbeständen bereit. Einer der bedeutsamsten Tatbestände ist dabei die Auftragsdatenverarbeitung nach § 11 BDSG. § 11 BDSG gestattet die Weitergabe personenbezogener Daten an externe Servicedienstleister.
Eine Auftragsdatenverarbeitung im gesetzlichen Sinne liegt vor, wenn sich der Auftraggeber des Auftragnehmers bedient, um personenbezogene Daten zu verarbeiten. Entscheidend ist dabei, dass es sich um bloße Hilfstätigkeiten, wie beispielsweise das Hosting von Servern oder die Übernahme von Lohn- und Gehaltsabrechnung handeln muss.
Abzugrenzen ist die Auftragsdatenverarbeitung von der sogenannten Funktionsübertragung, bei der der Auftragnehmer etwa einen ganzen Geschäftsbereich übertragen bekommt und nicht mehr nur eine unterstützende Hilfsfunktion übernimmt. Eine Funktionsübertragung liegt beispielsweise vor, wenn nicht nur die Lohn- und Gehaltsabrechnung, sondern auch die Einstellung von Mitarbeitern extern vergeben wird.
Eine solche Funktionsübertragung würde entweder eine Einwilligung der Betroffenen oder eine sonstige gesetzliche Rechtsgrundlage erfordern. Für die Zulässigkeit der Datenübermittlung käme es unter anderem darauf an, zu welchem Zweck die Übermittlung erfolgt und ob dieser Zweck die Übermittlung personenbezogener Daten rechtfertigt.
Dagegen kommt es bei der Auftragsdatenverarbeitung nicht darauf an, aus welchen Gründen der externe Dienstleister beauftragt wird, ob aus Kapazitätsgründen oder aus wirtschaftlichen Erwägungen heraus. Maßgeblich ist allein, ob die Konstellation einer Auftragsdatenverarbeitung gegeben ist.
Liegt eine Auftragsdatenverarbeitung vor, tut das Gesetz so, als wäre der Auftragnehmer nicht externer Servicedienstleister sondern eine Unterabteilung oder Untereinheit des Auftraggebers. Aus datenschutzrechtlicher Sicht verlassen die personenbezogenen Daten den Herrschaftsbereich des Auftraggebers nicht. Durch den Abschluss der Vereinbarung zur Auftragsdatenverarbeitung wird der Auftraggeber datenschutzrechtlich so gestellt, als er nicht einen externen Servicedienstleister beauftragt, sondern ließe die vergebenen Tätigkeiten durch eigene Mitarbeiter vornehmen.
Dies ist der erste Teil unser Serie „Datenschutz-ABC“. Hier erläutern wir in loser Folge Grundbegriffe des Datenschutzrechts. Auch erschienen sind Artikel zur Auftragsdatenverarbeitung, Binding Corporate Rules, Datenschutzerklärungen, Einwilligung und Fernmeldegeheimnis.