Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Beratung im Rahmen von Auftragsdatenverarbeitung

20. Februar 2016

§ 11 BDSG regelt die Auftragsdatenverarbeitung. Eines der Hauptkriterien von Auftragsdatenverarbeitung ist, dass der Auftragnehmer die Daten ausschließlich im Rahmen der Weisungen des Auftraggebers verarbeiten darf. Der Auftraggeber hat also genau vorzugeben, was der Auftragnehmer mit den Daten zu machen hat und wie die Durchführung aussieht. Klassische Auftragsdatenverarbeitungen sind beispielsweise die Erstellung von Gehaltsabrechnungen, der Betrieb eines Lettershops oder die Erbringung von Callcenter-Dienstleistungen.

Keine Auftragsdatenverarbeitung

Nicht zu den Tätigkeiten, die im Rahmen einer Auftragsdatenverarbeitung erbracht werden können, zählen alle die, bei denen der Auftragnehmer eigenständig Entscheidungen treffen darf. Hierzu gehören klassischer Weise auch die typischen beratenden Tätigkeiten, wie beispielsweise ein externer betrieblicher Datenschutzbeauftragter oder der Steuerberater. Derartige Dienstleistungen werden gewöhnlich als Funktionsübertragung bezeichnet, wobei dieser Begriff im BDSG nicht auftaucht.

„Ich will nicht“ reicht nicht

Bei einer Funktionsübertragung handelt es sich letztlich um die „Weitergabe“ von Aufgaben an Dritte. Hierbei ist gewöhnlich auch eine Datenübermittlung an diesen Dritten notwendig. Genau da liegt der Knackpunkt: Für die Datenübermittlung an Dritte benötigt man eine Rechtsgrundlage. Und diese ist nicht immer so einfach gefunden, wie beim Steuerberater. „Ich will eine Leistung nicht selber erbringen“ oder „es ist für mich billiger, wenn andere das machen“ sind nämlich keine Rechtsgrundlagen, die einer Abwägung gegen das schutzwürdige Interesse des Betroffenen standhalten. Deshalb wird in der Praxis immer wieder versucht, Funktionsübertragungen in Auftragsdatenverarbeitungen „zu verstecken“. Es werden also regelmäßig Verträge gemäß § 11 BDSG geschlossen, die eigentlich keine sind. In der Praxis geht das nur so lange gut, bis es zu einer Prüfung durch die Aufsichtsbehörde kommt.

Gestaltungsmöglichkeiten

Bei einigen besonderen Konstellationen kann aber eine Tätigkeit, die auf den ersten Blick als Funktionsübertragung gewertet werden muss, durchaus im Rahmen einer Auftragsdatenverarbeitung abgewickelt werden. Entscheidend ist hierbei, dass jeglicher Entscheidungsspielraum, der die Klassifizierung als Funktionsübertragung bedeuten würde, durch klare Anweisungen des Auftraggebers eingeschränkt wird.

Beispiel der bAV-Beratung als Auftragsdatenverarbeitung

Ein Beispiel hierfür ist das für viele Unternehmen interessante Thema der betrieblichen Altersvorsorge (bAV). Ein Dienstleister wird im Rahmen einer Auftragsdatenverarbeitung beauftragt, die Personalabteilung zu unterstützen. Zu den Aufgaben gehören die Information der Belegschaft und die Verwaltung der Versicherungsverträge, bei denen der Arbeitgeber Versicherungsnehmer ist. Bei bAV kann der Arbeitgeber (also der Auftraggeber) die Anbieter der Versicherungen und auch die angebotenen Versicherungsprodukte festlegen. Damit ist es möglich, dem Auftragnehmer vertraglich vorzugeben, welche Tätigkeiten er durchzuführen hat und welche Beratungsergebnisse sich dabei ergeben können. Im Rahmen der Auftragsdatenverarbeitung wird nun der Auftragnehmer mit der Nutzung der Daten für die Durchführung der Beratung gemäß der vertraglich vereinbarten Anweisung beauftragt.

Sicher werden sich neben diesem Beispiel noch weitere finden lassen, bei denen eine Beratungsleistung im Rahmen einer Auftragsdatenverarbeitung durchgeführt wird. Seien Sie aber vorsichtig, die Aufsichtsbehörden schauen bei derartigen „kreativen“ Lösungen genauestens hin. Nur exakt formulierte Verträge und die genaue Einhaltung der dort festgelegten Rechte und Pflichten werden einer Prüfung standhalten.

Ziehen Sie bei jeder Art von externer Vergabe von Aufträgen, die die Verarbeitung personenbezogener Daten zum Inhalt haben, Ihren Datenschutzbeauftragten hinzu.