Datenschutzrecht – Grundsätze der Auftragsdatenverarbeitung

Dieser Beitrag dient als Begleitung für unsere Seminare  – Thema Datenschutzrecht.

Einleitung

1.) Das Thema Datenschutzrecht ist aus der juristischen Perspektive ein vermintes Terrain. Die Gesetze sind häufig unklar. Vieles Bedarf der Interpretation. Viele Interpreten des Datenschutzrechts schreiben  vieles, was schnell zur Besorgnis führen kann. Ich schreibe aus der Perspektive des Praktikers. Das bedeutet: Nicht jeder Hinweis in der Literatur, der eine Haftungsmöglichkeit für meine Mandanten aufzeigt, wird von mir berücksichtigt. Das ist im Rahmen dieser Blogs auch nicht zu leisten. Wer einzelne Fragen hat, die hier nicht beantwortet werden, möge eine konkrete Anfrage stellen.

2.) Grundsatz § 3 Abs.8 Satz 3 BDSG

a.) Wie verklausuliert das Datenschutzrecht ist, sieht man schon daran, daß eine der Zentralnormen im achten Absatz des § 3 BDSG (Bundesdatenschutzrecht) steht.

Der zentrale Grundsatz des Datenschutzschutzrechts besagt: Die Übermittlung von personenbezogenen Daten an Dritte bedarf der Einwilligung der betroffenen Person oder einer gesetzlichen Erlaubnis. § 4 Abs.1 BDSG besagt, erlaubt ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann, wenn entweder die betroffene Person ihre Einwilligung erklärt hat – oder eine gesetzliche Erlaubnis aus dem BDSG oder aus einem anderen Gesetz vorliegt.

b.) Nun kommt im § 3 Abs. 8 Satz 3 die Ausnahme: Diese besagt: Die Übermittlung der personenbezogenen Daten an einen Auftragsdatenverarbeiter bedarf keiner Einwilligung oder einer gesetzlichen Erlaubnis. Der § 3 Abs.8 beinhaltet also eine Privilegierung.

A. Problemstellungen zum Thema der Anwendbarkeit der Auftragsdatenverarbeitung

Es gibt zwei zentrale Problemstellungen: Erstens wann liegt überhaupt sachlich eine Auftragsdatenverarbeitung vor und zweitens innerhalb welcher regionaler Grenzen ist die Auftragsdatenverarbeitung überhaupt zulässig?

I. Sachlicher Anwendungsbereich der Auftragsdatenverarbeitung

1.) Es gibt keine einheitliche Definition darüber, was eigentlich eine Auftragsdatenverarbeitung ist. Damit weiß man auch nicht, wann eigentlich die Privilegierung aus dem § 3 Abs.8 greift. Falls die Privilegierung nicht greift, wäre z.B. Hoster / Provider nicht privilegiert, sondern selbst dafür verantwortlich, daß die Personen, deren Daten verarbeitet werden sollen, der Verarbeitung auch wirksam zugestimmt hätten. Der Auftragnehmer wäre eine verantwortliche Stelle nach § 3 Abs. 7 BDSG. Folge: Schadensersatzansprüche der Betroffenen Personen nach § 7 BDSG können direkt gegen der Auftragnehmer gerichtet werden und er ist nach § 42a BDSG informationspflichtig. Solange der Auftragnehmer über die Auftragsdatenverarbeitung privilegiert ist, muß er dem Auftraggeber nur Hinweise geben, wenn konkrete Anhaltspunkte vorliegen.

2.) Lösung

Da es keine funktionierende Legaldefinition darüber gibt, was eigentlich eine Auftragsdatenverarbeitung ist, streiten sich zuverlässig wie immer die Gelehrten. Zum einen gibt es da die Vertreter der Funktionstheorie, die sagen keine Auftragsdatenverarbeitung läge vor, wenn der Auftragnehmer wesentliche Funktionen der Datenverarbeitung des Geschäftsherren übernähme. Die herrschende Meinung in den Kommentaren sagt, keine Funktionsübertragung läge vor, wenn nur Unterstützungs- und Hilfsfunktionen bei der Datenverarbeitung auf den Auftragnehmer übertragen würden. Vermutlich ist das auch die Ansicht der Mehrzahl der Aufsichtsbehörden. Ich bevorzuge die gegenteilige Ansicht, die Vertragstheorie. Diese besagt, daß es nicht auf das Maß und den Inhalt der übertragenen Funktionen ankommen kann, sondern nur auf die innere Ausgestaltung des Vertragsverhältnisses – eben im Rahmen der Auftragsdatenverarbeitung. Habe der Auftragnehmer überhaupt kein eigenes Interesse an der Nutzung der Daten – bis auf den Umstand, daß er dafür von dem Auftraggeber bezahlt werde – sei der Weg in die Auftragsdatenverarbeitung frei. Wegen der Einzelheiten schaue man bei den guten Ausführungen der Kollegin Roth-Neuschild in Grützmacher – FS für Jochen Schneider – § 44 Rn. 39f. nach. Die besseren weil auch schlicht praktikableren Argumente sprechen für die Vertragstheorie.

3.) Ratschlag für die Mandanten

Wichtig ist also: Der Auftragnehmer darf kein eigenes Interesse an der unmittelbaren Nutzung der Daten haben – sonst liegt sofort ein Tatbestand nach § 3 Abs.7 vor. Wenn kein eigenes Interesse des Auftragnehmers an der Nutzung der Daten besteht, dieser die Daten nur mittelbar für den Auftraggeber nutzt und der Auftraggeber die jederzeitige Kontrolle über die Daten hat und auch das jederzeitige Recht hat, die Daten wieder zurückzufordern und zu löschen, besteht ein Tatbestand, der die Auftragsdatenverarbeitung nach § 11 BDSG erfüllt. Ganz wichtig: Die Ansprüche auf Herausgabe und Löschung der Daten ergeben sich nicht direkt aus dem Gesetz und müssen vertraglich begründet werden.