Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

F.A.Q. zur Auftragsverarbeitung

Übersicht,     Unterschiede BDSG/DS-GVO,     Wirksamkeit Altverträge,     Jede Verarbeitung = ADV?,     Verarbeitungsarten,     Unterschiede Verarbeitungsarten,     Unterauftragnehmer,     Verantwortlichkeiten,     Pflichten Auftragsverarbeiter,     Besondere Fragestellungen,,     Fragen aus der Praxis:

4) Wie unterscheiden sich die Begriffe?

4.1) Verarbeitung im Auftrag (" Auftragsverarbeitung" )

Ähnlich wie bei der Auftragsdatenverarbeitung im BDSG, muss entsprechend Art. 28 DS-GVO auch bei einer " Verarbeitung im Auftrag" nach der DS-GVO ein Vertrag geschlossen werden.
Auch nach der DS-GVO ist der im Auftrag des Verantwortlichen tätige Dienstleister datenschutzrechtlich kein " Dritter" . Vielmehr nimmt der Dienstleister datenschutzrechtlich wie bisher die Stellung eines " externen Mitarbeiters" des Verantwortlichen ein. Dieses wiederum hat zur Konsequenz, dass die " Verarbeitung im Auftrag" von den aus Artt. 6 bis 11 resultierenden Legitimationen der Verarbeitung des Verantwortlichen gedeckt ist und deshalb grundsätzlich auch kein eigener Erlaubnistatbestand für die Auftragsverarbeitung erforderlich ist.
Wenngleich die Verantwortung für die Rechtmäßigkeit der Verarbeitung beim Verantwortlichen liegt (vgl. Art. 5 Abs. 2 DS-GVO), weist die DS-GVO dem Auftragsverarbeiter auch eigene Pflichten zu, denen dieser genügen muss. Somit kann ein Verstoß gegen diese Pflichten direkt gegen den Auftragsverarbeiter geltend gemacht werden, ohne dass der Verantwortlichen zunächst in Regress genommen werden muss.

4.2) Funktionsübertragung

Der Begriff der Funktionsübertragung findet sich häufig sowohl in der juristischen in Literatur wie auch in der Rechtsprechung wieder auch wenn dieser Begriff nicht legaldefiniert ist. So sucht man diesen Begriff vergeblich in den einschlägigen Datenschutzgesetzen wie dem BDSG, den kirchlichen- oder den Landesgesetzen und auch nicht in der EU-Richtlinie 95/46/EG. In der DS-GVO ist dieser Begriff ebenfalls nicht definiert.
Der Begriff der Funktionsübertragung wurde zum ersten Mal 1989 in der Gesetzesbegründung zum BDSG erwähnt . Darin heißt es:
" Wie bisher handelt es sich nicht um Auftragsdatenverarbeitung im Sinne dieser Vorschrift, wenn neben der Datenverarbeitung auch die zugrundeliegende Aufgabe übertragen wird (Funktionsübertragung). In diesem Falle hat derjenige, dem die Funktion übertragen wird, alle datenschutzrechtlichen Pflichten, insbesondere die Ansprüche des Betroffenen, zu erfüllen.
In diesem Sinne existiert die Funktionsübertragung bis heute und wird auch mit Wirkung der DS-GVO weiter fortbestehen, selbst wenn keine diesbezügliche Legaldefinition existiert. Wie durch die Gesetzesbegründung deutlich wird, stellt die Funktionsübertragung im Prinzip lediglich die Verarbeitung personenbezogener Daten durch einen Dritten dar, wobei dieser Dritte bei der Verarbeitung der Daten selbst über Datenverarbeitungszwecke und -mittel zur Erfüllung der ihm übertragenen / vereinbarten Aufgabe entscheidet. Damit ist dieser Dritte selbst vollumfänglich für die Verarbeitung fremder Daten verantwortlich und im Sinne der DS-GVO daher ein " Verantwortlicher" .
Auch die DS-GVO sagt in Art. 28 Abs. 10 DS-GVO, dass ein Auftragsverarbeiter, der die Daten des Verantwortlichen verarbeitet und dabei selber über die Mittel und Zwecke dieser Verarbeitung entscheidet, als Verantwortlicher zu qualifizieren ist; dies gilt selbstverständlich auch im Sinne einer Funktionsübertragung.

4.3) Gemeinsame Verarbeitung (" Joint controllers" )

Anders als bspw. das BDSG kennt die DS-GVO eine gemeinsame Verantwortlichkeit bei einer Datenverarbeitung. Dies verdeutlicht die Begriffsbestimmung des " Verantwortlichen" in Art. 3 Ziff. 7 DS-GVO, in der es heißt:
" die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet" .
Diesem Wortlaut folgend, muss ein Verantwortlicher damit nicht zwingend eine einzige natürliche oder juristische Person sein, wie es beim BDSG hinsichtlich der verantwortlichen Stelle der Fall war. Vielmehr kann " der Verantwortliche" auch aus mehreren Parteien bestehen, die sich gemeinsam die Verantwortung bzgl. der Verarbeitung der personenbezogenen Daten teilen. Art. 26 DS-GVO nennt die Voraussetzungen, unter welchen Umständen eine solche gemeinsame Verarbeitung statthaft ist.

4.3.1) Gemeinsame Verarbeitung??? Was muss beachtet werden?

Existiert bei der Datenverarbeitung mehr als ein Verantwortlicher, so muss nach Art. 26 DS-GVO eine entsprechende Vereinbarung in " transparenter Form" regeln (Art. 26 Abs. 1 DS-GVO): Desgleichen müssen in der Vereinbarung sowohl die Art, die (Begleit-) Umstände, als auch die Mittel der Verarbeitung festlegt werden. D. h. es ist eine genaue Beschreibung hinsichtlich der Aufgaben zwischen den beteiligten Verantwortlichen erforderlich, in welcher insbesondere aufgeführt wird:
  1. Eine Darstellung, welche der Parteien an der gemeinsamen Verarbeitung beteiligt sind.
  2. Die Festlegung des Zwecks bzw. der Zwecke der Datenverarbeitung.
  3. Eine Darstellung der Mittel hinsichtlich der Datenverarbeitung. Dieses beinhaltet insbesondere auch, welcher der Verantwortlichen wie und in welchem Umfang für die Entscheidung welcher Mittel verantwortlich ist.
  4. Die Pflichten der Verantwortlichen, insbesondere auch hinsichtlich der Klärung der Frage, wer für die Gewährleistung von welchen Betroffenenrechten verantwortlich ist.
  5. Eine Darstellung, wer welche Informationspflichten wahrnimmt im Rahmen
    1. der Datenerhebung (Artt. 13, 14 DS-GVO),
    2. bei Anfragen Betroffener,
    3. bei der Be- bzw. Verarbeitung von Betroffenendaten im Sinne von Korrektur, Sperrung, Löschung usw.,
    4. bei der Meldung von Datenpannen.