Ansätze zur Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung

Transkript

1 Ansätze zur Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung

2 Definition Definitionen Auftragsdatenverarbeitung (ADV) ist die Verarbeitung von personenbezogenen Daten durch einen Dritten im Auftrag und nach Weisung des Dateninhabers Bei einer ADV ist der Auftraggeber im Außenverhältnis der haftende Verarbeiter ( 11 Abs. 1 S. 2 BDSG) Jede Verarbeitung die keine ADV ist, gilt als Funktionsübertragung (FÜ) Great Oak Datenschutz e.k. Florian Schirm 2

3 Formen der ADV ADV können in unterschiedlichen Formen auftreten: Verarbeitung pbdaten in Konzerntöchtern Auslagerung von Marketingmaßnahmen Auswertung von Daten durch Dienstleister Hosting von Serveranwendungen Wartung von IT/TK-Anlagen Entsorgung von Müll Nicht alle Formen sind eindeutig als ADV zu erkennen oder zuzuordnen Benötigt wird eine klare Abgrenzung zur FÜ, die der Gesetzgeber noch nicht liefert Great Oak Datenschutz e.k. Florian Schirm 3

4 Historisches Historische Entwicklung der ADV im BDSG ADV schon im Ansatz in der Urfassung vom vorhanden. Damals verteilt über die 8, 22, 31, 37 BDSG Zusammenfassung der Paragraphen im Jahr 1990 in den 11 BDSG 2001 erneute Änderung im 11 BDSG, allerdings ohne die notwendigen weitreichenden Änderungen vorzunehmen 2009 erfolgten dringend notwendige Anpassungen an die Realität Bis 2009 wurde vom Gesetzgeber konsequent ignoriert, dass Unternehmen gerne Verarbeitungen auslagern Great Oak Datenschutz e.k. Florian Schirm 4

5 Bedeutung Wieso ist eine Abgrenzung zwischen ADV und FÜ so wichtig? Grundsätzlich bedarf die Übermittlung von pbdaten an Dritte der Einwilligung oder eines gesetzlichen Erlaubnistatbestandes Bei einer ADV innerhalb der EU sind die Auftragnehmer jedoch nicht als Dritte anzusehen ADV ist folglich wesentlich leichter umzusetzen Great Oak Datenschutz e.k. Florian Schirm 5

6 Bedeutung Konsequenzen der Vereinfachung sind jedoch die Anforderungen des 11 BDSG Bei einer ADV ist der Auftraggeber alleinverantwortlich, insbesondere auch im Außenverhältnis Bei einer FÜ ist der Auftragnehmer verantwortlich ADV erfordert spezielle Vertragsinhalte und Kontrollen FÜ stellt hier keine Anforderungen Great Oak Datenschutz e.k. Florian Schirm 6

7 Ansätze Selbstständigkeit Keine Unterscheidung nach 7 Abs. 1 SGB IV ADV: Auftragnehmer empfängt direkte Weisungen durch den Auftraggeber ADV: Auftragnehmer kann nicht von den Weisungen abweichen oder etwas ohne Weisung durchführen FÜ: Auftragnehmer handelt selbstständig Einwendung: Eine FÜ schließt vertragliche Anweisungen für den Auftragnehmer nicht aus Great Oak Datenschutz e.k. Florian Schirm 7

8 Ansätze Interesse Bei einer ADV hat der Auftragnehmer ein allgemeines, meist finanzielles, Interesse an der Durchführung der Verarbeitung Der Auftragnehmer wird für die Verarbeitung an sich bezahlt Bei einer FÜ zählt nur das Ergebnis, der Auftragnehmer hat das finanziell motivierte Interesse die Verarbeitung mit so wenig Aufwand wie möglich durchzuführen und bestimmt die Form und den Umfang der Verarbeitung Einwendung: Eine Datenverarbeitung aus eigenem Interesse ist eine FÜ, das Fehlen eines solchen schließt eine FÜ jedoch nicht aus Great Oak Datenschutz e.k. Florian Schirm 8

9 Ansätze Betriebswirtschaftlicher Ansatz Basiert auf dem betriebswirtschaftlichen Ansatz der Funktionalorganisation Alle Tätigkeiten (Funktionen) werden bestimmten Betriebssegmenten (Funktionaleinheiten) zugewiesen (z.b. Lohnbuchhaltung, Controlling, Einkauf etc.) Erfolgt die vollständige Auslagerung eines Segments ist es eine FÜ ansonsten einer ADV Einwendung: Unterscheidung findet sich nicht in 11 BDSG wieder, Grenzen zwischen den Segmenten nicht eindeutig und Änderungen in der Unternehmensstruktur ändern die Segmentierung Great Oak Datenschutz e.k. Florian Schirm 9

10 Ansätze Übergeordnetes Rechtsprinzip ADV stellt ein Spannungsverhältnis zwischen betrieblichen Wünschen und der informationellen Selbstbestimmung des Betroffenen dar ADV ist eine Bevorzugung des Unternehmens bei gleichzeitiger Verstärkung von Intransparenz und Steigerung der Missbrauchsgefahr für den Betroffenen Auftraggeber muss folglich in der Lage sein den Schutz für den Betroffenen zu gewährleisten Great Oak Datenschutz e.k. Florian Schirm 10

11 Ansätze Je stärker der Auftraggeber im Verhältnis zum Auftragnehmer ist, um so eher sind die Voraussetzungen für eine ADV erfüllt Der Auftraggeber muss in der Lage sein den Datenmissbrauch und mangelhaften Datenschutz beim Auftragnehmer wirkungsvoll zu verhindern Auftraggeber muss die Komplexität der Verarbeitung durch Fachwissen beurteilen können Tatsächliche Einwirkungsmöglichkeiten müssen existieren Einwendung: Schlüssiger Ansatz, aber nicht im Wortlaut des 11 BDSG aufgeführt Great Oak Datenschutz e.k. Florian Schirm 11

12 Prakt. Anwendung In der Praxis ist es hilfreich verschiedene Punkte zur Beurteilung von ADV / FÜ zu prüfen: Verhältnis von Auftraggeber zu Auftragnehmer Ein umgekehrtes Kräfteverhältnis schließt eine ADV aus Eigenständigkeit des Auftragnehmers Nur eine unselbstständige Verarbeitung kann eine ADV sein Great Oak Datenschutz e.k. Florian Schirm 12

13 Prakt. Anwendung Interesse des Auftragnehmers Arbeitet der Auftragnehmer einen Auftrag ab und wird er für seinen Aufwand bezahlt, spricht dies für eine ADV Technische Verarbeitung Werden durch den Auftragnehmer lediglich technische Anlagen zur Verarbeitung bereitgestellt, ist eine ADV wahrscheinlich Nachfragen bei der Aufsichtsbehörde Im Zweifel bei der Behörde um Klärung bitten Great Oak Datenschutz e.k. Florian Schirm 13

14 Vielen Dank! 14