Beratung im Rahmen von Auftragsdatenverarbeitung

Fallstricke bei der Angrenzung zur Funktionsübertragung

20.02.2016

§ 11 BDSG regelt die Auftragsdatenverarbeitung. Eines der Hauptkriterien von Auftragsdatenverarbeitung ist, dass der Auftragnehmer die Daten ausschließlich im Rahmen der Weisungen des Auftraggebers verarbeiten darf. Der Auftraggeber hat also genau vorzugeben, was der Auftragnehmer mit den Daten zu machen hat und wie die Durchführung aussieht. Klassische Auftragsdatenverarbeitungen sind beispielsweise die Erstellung von Gehaltsabrechnungen, der Betrieb eines Lettershops oder die Erbringung von Callcenter-Dienstleistungen.

Keine Auftragsdatenverarbeitung

Nicht zu den Tätigkeiten, die im Rahmen einer Auftragsdatenverarbeitung erbracht werden können, zählen alle die, bei denen der Auftragnehmer eigenständig Entscheidungen treffen darf. Hierzu gehören klassischer Weise auch die typischen beratenden Tätigkeiten, wie beispielsweise ein externer betrieblicher Datenschutzbeauftragter oder der Steuerberater. Derartige Dienstleistungen werden gewöhnlich als Funktionsübertragung bezeichnet, wobei dieser Begriff im BDSG nicht auftaucht.

„Ich will nicht“ reicht nicht

Bei einer Funktionsübertragung handelt es sich letztlich um die „Weitergabe“ von Aufgaben an Dritte. Hierbei ist gewöhnlich auch eine Datenübermittlung an diesen Dritten notwendig. Genau da liegt der Knackpunkt: Für die Datenübermittlung an Dritte benötigt man eine Rechtsgrundlage. Und diese ist nicht immer so einfach gefunden, wie beim Steuerberater. „Ich will eine Leistung nicht selber erbringen“ oder „es ist für mich billiger, wenn andere das machen“ sind nämlich keine Rechtsgrundlagen, die einer Abwägung gegen das schutzwürdige Interesse des Betroffenen standhalten. Deshalb wird in der Praxis immer wieder versucht, Funktionsübertragungen in Auftragsdatenverarbeitungen „zu verstecken“. Es werden also regelmäßig Verträge gemäß § 11 BDSG geschlossen, die eigentlich keine sind. In der Praxis geht das nur so lange gut, bis es zu einer Prüfung durch die Aufsichtsbehörde kommt.

Gestaltungsmöglichkeiten

Bei einigen besonderen Konstellationen kann aber eine Tätigkeit, die auf den ersten Blick als Funktionsübertragung gewertet werden muss, durchaus im Rahmen einer Auftragsdatenverarbeitung abgewickelt werden. Entscheidend ist hierbei, dass jeglicher Entscheidungsspielraum, der die Klassifizierung als Funktionsübertragung bedeuten würde, durch klare Anweisungen des Auftraggebers eingeschränkt wird.

Beispiel der bAV-Beratung als Auftragsdatenverarbeitung

Ein Beispiel hierfür ist das für viele Unternehmen interessante Thema der betrieblichen Altersvorsorge (bAV). Ein Dienstleister wird im Rahmen einer Auftragsdatenverarbeitung beauftragt, die Personalabteilung zu unterstützen. Zu den Aufgaben gehören die Information der Belegschaft und die Verwaltung der Versicherungsverträge, bei denen der Arbeitgeber Versicherungsnehmer ist. Bei bAV kann der Arbeitgeber (also der Auftraggeber) die Anbieter der Versicherungen und auch die angebotenen Versicherungsprodukte festlegen. Damit ist es möglich, dem Auftragnehmer vertraglich vorzugeben, welche Tätigkeiten er durchzuführen hat und welche Beratungsergebnisse sich dabei ergeben können. Im Rahmen der Auftragsdatenverarbeitung wird nun der Auftragnehmer mit der Nutzung der Daten für die Durchführung der Beratung gemäß der vertraglich vereinbarten Anweisung beauftragt.

Sicher werden sich neben diesem Beispiel noch weitere finden lassen, bei denen eine Beratungsleistung im Rahmen einer Auftragsdatenverarbeitung durchgeführt wird. Seien Sie aber vorsichtig, die Aufsichtsbehörden schauen bei derartigen „kreativen“ Lösungen genauestens hin. Nur exakt formulierte Verträge und die genaue Einhaltung der dort festgelegten Rechte und Pflichten werden einer Prüfung standhalten.

Ziehen Sie bei jeder Art von externer Vergabe von Aufträgen, die die Verarbeitung personenbezogener Daten zum Inhalt haben, Ihren Datenschutzbeauftragten hinzu.