Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Die Funktionsübertragung nach der DS-GVO

Eine weitere EU-Verordnung soll im Mai 2018 in Kraft treten

Gemäß der bisherigen Gesetzgebung war die Abgrenzung zwischen einer Funktionsübertragung und einer Auftragsdatenverarbeitung ein wichtiger Aspekt bei der Ausgestaltung der jeweiligen Verträge. Zu unterschiedlich waren die gesetzlichen Rahmenbedingungen, je nach Art der Beauftragung.

 

Bisherige Rechtslage

Kurz gesagt bestand eine Auftragsdatenverarbeitung darin, dass eine bestimmte Dienstleistung, bei der personenbezogene Daten verarbeitet wurden, ausschließlich gemäß der Weisungen des Auftraggebers erbracht wurde (beispielsweise der Postversand durch einen Lettershop). Bei der Funktionsübertragung hatte der Auftragnehmer regelmäßig gewisse Entscheidungsspielräume hinsichtlich der Art und Weise, wie er den Auftrag durchführt (beispielsweise bei Prüfungs- und Beratungstätigkeiten, Audits oder der Beauftragung eines Rechtsanwalts).

Im Falle der Auftragsdatenverarbeitung musste sich die vertragliche Regelung an die Vorgaben des § 11 BDSG halten. Im Gegenzug war die Auftragsvergabe privilegiert, d.h. es musste keine Rechtsgrundlage für Beauftragung eines Dienstleisters und die damit verbundene Datenweitergabe vorliegen. Eine Funktionsübertragung hingegen durfte nur aufgrund einer gültigen Rechtsgrundlage (beispielsweise Einwilligung, Erforderlichkeit) durchgeführt werden. Dafür gab es weniger strenge Anforderungen an die konkrete Ausgestaltung des jeweiligen Vertrags.

 

…und die DS-GVO?

Zunächst einmal verwendet die DS-GVO eine andere Begrifflichkeit. Und zwar wird statt von Auftragsdatenverarbeitung jetzt von Auftragsverarbeitung gesprochen. Die Anforderungen an den zu schließenden Vertrag sind gemäß Art. 28 DS-GVO ebenfalls ähnlich wie nach dem BDSG.

 

Erweiterung des Anwendungsbereichs

Die bisherige strenge Beschränkung, die dem Auftragsverarbeiter jeglichen eigenverantwortlichen Spielraum abspricht, kennt der Art. 28 DS-GVO nicht. Dies zeigt sich auch daran, dass der Auftragsverarbeiter nach der DS-GVO ebenfalls als verantwortliche Stelle angesehen wird.

Auf dieser Grundlage wird häufig argumentiert, dass auch eine Funktionsübertragung den Anforderungen des Art. 28 DS-GVO unterliegt. Dies klingt zumindest dann nachvollziehbar, wenn die Funktionsübertragung einen eindeutigen Auftragsinhalt mit klar definiertem Auftraggeber und Auftragnehmer beinhaltet. Vor diesem Hintergrund werden auch die bisherigen Verträge zur Funktionsübertragung daraufhin überprüft werden müssen, ob künftig nicht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO zu schließen ist.

 

Künftig drei Kategorien von der Funktionsübertragung

Eine einheitliche Meinung zu dieser Thematik kann derzeit aus Kommentaren zur DS-GVO oder aus Stellungahmen der Behörden noch nicht abgeleitet werden. Es spricht jedoch vieles dafür, dass Aufträge, die bisher als Funktionsübertragung beauftragt wurden, künftig in drei Kategorien aufgeteilt werden müssen:

  • Vorliegen einer Auftragsverarbeitung gemäß Art. 28 DS-GVO mit neuem Definitionsbereich, der zumindest teilweise auch Tätigkeiten beinhaltet, die bislang als sogenannte Funktionsübertragung eingestuft wurden.

  • Vorliegen eigenverantwortlicher Tätigkeiten, die keine Unterstützungshandlung darstellen, aber dennoch nicht in gemeinsamer Verantwortlichkeit gemäß Art. 26 DS-GVO vorgenommen werden (z.B. Beauftragung eines Rechtsanwalts, Steuerberaters).

  • Vorliegen einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DS-GVO.

 

Fazit

Es wird künftig sicherlich nicht einfacher werden, abzugrenzen, welche der jeweiligen Rechtsnormen für die unterschiedlichen Auftragsverhältnisse anzuwenden sein wird. Es bleibt zu hoffen, dass die Aufsichtsbehörden bzw. die Artikel 29 Gruppe sich hierzu künftig klarer positionieren werden.

 

Bestehende Verträge zur Auftragsverarbeitung bzw. zur Funktionsübertragung müssen im Rahmen der Umstellung auf die DS-GVO überprüft und gegebenenfalls angepasst werden. Sprechen Sie uns an, gerne unterstützen wir Sie dabei!