Abgrenzung Auftragsdatenverarbeitung - Funktionsübertragung
Wer ist verantwortlich ?
Die Abgrenzung von Auftragsdatenverarbeitung zu Funktionsübertragung fällt in der Praxis oft sehr schwer.
Die Konsequenzen sind unterschiedlich: im einen Fall handelt es sich nicht um eine Übermittlung, so daß der Auftraggeber verantwortlich bleibt und der Auftragnehmer geringeren gesetzlichen Anforderungen unterliegt (Auftragsdatenverarneitung). Im anderen Fall handelt es sch um eine Übermittlung mit den daraus folgenden Lasten der Überprüfung, ob sie zulässig ist. Achtung: im internationalen Anwendungsbereich kann auch eine Auftrags-DV als Übermittlung anzusehen sein (bitte prüfen lassen).
Hier nun eine kleine Auskopplung von Zitaten zum Thema von beteiligten Aufsichtsinstanzen:
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg erklärt den Zusammenhang so:
"Werden dagegen auch die der Verarbeitung zu Grunde liegenden Aufgaben ganz oder teilweise übertragen und bestehen Handlungs- und Entscheidungsspielräume bei der Erledigung der Aufgabe, liegt eine Funktionsübertragung vor. In diesem Fall wird der Dienstleister selbst zur Daten verarbeitenden Stelle und hat in eigener Verantwortung für die zur Datensicherung und zur Gewährleistung von Vertraulichkeit erforderlichen technischen und organisatorischen Maßnahmen zu sorgen. Merkmale der Funktionsübertragung sind die Überlassung von Nutzungsrechten an den Daten sowie das Sicherstellen der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch). Die Datenweitergabe an den Dienstleister ist eine Datenübermittlung und damit nur unter eingeschränkten Voraussetzungen, nämlich auf Grund einer gesetzlichen Übermittlungsbefugnis oder mit Einwilligung der Betroffenen, zulässig.
Besondere Probleme ergeben sich bei sensitiven Daten, für die spezielle Schutzvorschriften bestehen. Diese schränken jede Offenbarung gegenüber Dritten stark ein. Dazu gehören insbesondere Berufsgeheimnisse (z. B. Arztgeheimnis) und besondere Amtsgeheimnisse (z. B. Sozial- und Steuergeheimnis). In diesen Fällen ist eine Weitergabe der Daten an Dritte nur zulässig, wenn die betreffenden Schutzvorschriften die Offenbarung dieser Daten erlauben.
Vor diesem Hintergrund müssen öffentliche Stellen vor einer Outsourcing-Entscheidung kritisch überprüfen, ob die Fremdvergabe wesentlich kostengünstiger wäre als bei der weiteren Erledigung im eigenen Haus. Diese Frage hat zumindest beim Umgang mit Sozialdaten auch datenschutzrechtliche Bedeutung [14]. In der Privatwirtschaft setzt teilweise bereits ein Umdenken ein, das bei einigen Kernbereichen der Geschäftstätigkeit, die ausgelagert waren, zu einem „Insourcing“ geführt hat. Auch öffentliche Stellen müssen die Entscheidung zur auftragsweisen Vergabe der Verarbeitung von Bürgerdaten regelmäßig überprüfen und bei Bedarf, insbesondere bei datenschutzrechtlichen Mängeln, revidieren.
Öffentliche Stellen dürfen die Verarbeitung personenbezogener Daten ganz oder teilweise nur dann auf private oder öffentliche Dienstleister übertragen, wenn sie ihrer fortbestehenden Verantwortung jederzeit genügen können und die dafür erforderlichen Maßnahmen treffen."
Eine Mitteilung, die gemeinsam erstellt wurde durch das Ministerium des Innern des Landes Sachsen-Anhalt und den Landesbeauftragten für den Datenschutz Sachsen-Anhalt in Anlehnung an
- eine Orientierungshilfe und Checkliste zur Auftragsdatenverarbeitung des LfD Niedersachsen und
- ein Muster des Regierungspräsidiums Darmstadt nimmt wie folgt Stellung:
"1. Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung
Datenschutzrechtlich zu unterscheiden sind beim Outsourcing die Auftragsdatenverarbeitung und die Funktionsübertragung. Die Frage ob ein Outsourcing als Auftragsdatenverarbeitung oder Funktionsübertragung anzusehen ist, hängt von der jeweiligen rechtlichen Ausgestaltung ab und kann daher nur im Einzelfall beantwortet werden. Die rechtlichen Ausgestaltungsmöglickeiten sind ähnlich vielfältig wie die tatsächlichen Erscheinungsformen des Outsourcing.
Bei der Datenverarbeitung im Auftrag wird nicht die Aufgabe selbst, zu deren Zweck die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten erfolgt, ausgelagert, sondern lediglich der zur Aufgabenerledigung erforderliche Umgang mit den Daten. Der in Anspruch genommenen Serviceeinrichtung wird der Umgang mit den Daten nach Weisung und unter materieller Verantwortung des Auftraggebers übertragen. Die datenschutzrechtliche Verantwortung für die Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten verbleibt beim Auftraggeber. Er schreibt die technischen und organisatorischen Maßnahmen zur Datensicherheit beim Auftragnehmer vor.
Erkennungsmerkmale für Auftragsdatenverarbeitung:
• fehlende Entscheidungsbefugnis des Auftragnehmers,
• Weisungsgebundenheit des Auftragnehmers bezüglich dessen, was mit den Daten geschieht,
• Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt; es sei denn, der Auftrag ist auch auf die Erhebung personenbezogener Daten gerichtet,
• Ausschluss der Verarbeitung oder Nutzung der Daten zu eigenen Zwecken des Auf-tragnehmers,
• keine (vertragliche) Beziehung des Auftragnehmers zum Betroffenen,
• Auftragnehmer tritt (gegenüber dem Betroffenen) nicht in eigenem Namen auf.
Bei der Funktionsübertragung wird dagegen auch die der Erhebung, Verarbeitung oder Nutzung personenbezogner Daten zugrunde liegende Aufgabe ganz oder teilweise abgege-ben. Die in Anspruch genommene Serviceeinrichtung erbringt - über die technische Durch-führung des Umgangs mit personenbezogenen Daten hinaus - materielle Leistungen mit Hilfe der überlassenen Daten. Sie handelt hierbei eigenverantwortlich, auch im Sinne des Datenschutzrechts.
Erkennungsmerkmale für Funktionsübertragung:
• Weisungsfreiheit des Dienstleisters bezüglich dessen, was mit den Daten geschieht,
• Überlassung von Nutzungsrechten an den Daten,
• eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister, einschließlich des Sicherstellens der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch),
• Handeln des Dienstleisters (gegenüber dem Betroffenen) im eigenen Namen,
• Entscheidungsbefugnis des Dienstleisters in der Sache,
2. Sonderfall Wartung und Pflege
Einen Sonderfall bildet die Prüfung oder Wartung automatisierter Verfahren oder von Daten-verarbeitungsanlagen. Solche Tätigkeiten sind z.B.
• Installation, Wartung, Pflege und Prüfung von Netzwerken, Hardware (einschließlich Telekommunikationsanlagen)
und Software u.a. (Betriebssysteme, Middleware, Anwendungen)
• Parametrisieren von Software
• Programmentwicklungen/-anpassungen/-umstellungen, Fehlersuche und Tests
• Durchführung von Migrationen im Produktivsystem.
Sie können direkt vor Ort oder per Fernwartung durchgeführt werden. Die Tätigkeiten sind nicht auf den Umgang mit personenbezogenen Daten gerichtet, allerdings ist die Kenntnis-nahme von personenbezogenen Daten nicht immer ausgeschlossen. Daher unterwirft der Bundesgesetzgeber im Bundesdatenschutzgesetz (BDSG) gänzlich und der Landesgesetz-geber im Gesetz zum Schutz personenbezogener Daten der Bürger (DSG-LSA) weitgehend die Erbringung von Wartungs- und Pflegearbeiten den Regelungen zur Auftragsdatenverar-beitung, soweit bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten unvermeidlich ist (vgl.: § 11 Abs. 5 BDSG, § 8 Abs. 7 DSG-LSA)."
Zu diesem Themenbereich berät Sie:
Rechtsanwalt Dr. Kai Stumper
Kanzlei Dr. Stumper - firstlex
Tel.: 0700 3477 8539 *
dr.stumper@firstlex.de
Neuer Wall 80, 20354 Hamburg
*12 ct./Min aus dem Festnetz der Telekom |
 |
Letztes Update 01.04.2010 | Copyright© firstlex – Rechtsanwalt Dr. Kai Stumper |
|
