Funktionsübertragung: Eine rechtliche Grauzone im Datenschutz 

Im Rahmen einer Auslagerung von Verarbeitungstätigkeiten auf Dritte, bei welcher nicht bloß die Verarbeitung personenbezogener Daten, sondern ebenfalls die Anwendung von spezifischem Fachwissen oder Erfahrung zum tragen kommen soll, wird häufig von einer “Funktionsübertragung”, welche von der herkömmlichen Auftragsverarbeitung abzugrenzen ist, gesprochen. Typische Szenarien einer Funktionsübertragung sind Datenverarbeitungen durch Ärzte, Anwälte oder Inkassounternehmen. 

Was ist Funktionsübertragung? 

Bei der Funktionsübertragung werden im Rahmen von Outsourcing-Aktivitäten bestimmte Funktionen oder Aufgaben an Dritte übertragen. Anders als bei der herkömmlichen Auftragsdatenverarbeitung, bei der der Auftragnehmer lediglich im Auftrag des Verantwortlichen handelt und keine eigenen Entscheidungsspielräume besitzt, erhält der Empfänger bei der Funktionsübertragung gewisse Handlungsspielräume und Entscheidungsbefugnisse zur Erfüllung der Aufgaben. Entsprechend ist die beauftragte Stelle für die damit einhergehende Einhaltung der datenschutzrechtlichen Anforderungen und Pflichten verantwortlich. 

Die rechtliche Grauzone 

Obwohl die Funktionsübertragung im Kontext des Datenschutzes existiert, findet sie keine explizite Anerkennung in der DSGVO. Die Verordnung regelt hauptsächlich die Auftragsdatenverarbeitung und sieht klare Vorgaben für die Zusammenarbeit zwischen Verantwortlichem und Auftragsverarbeiter vor. Bei der Funktionsübertragung sind die rechtlichen Anforderungen jedoch weniger eindeutig definiert. Es besteht daher eine rechtliche Grauzone, in der Unternehmen und Datenschutzbehörden Interpretationsspielraum haben. 

Herausforderungen und Risiken 

Die Funktionsübertragung birgt gewisse Herausforderungen und Risiken im Hinblick auf den Datenschutz. Da die genauen Verantwortlichkeiten und Haftungsfragen nicht eindeutig geklärt sind, können Unsicherheiten und Konflikte entstehen. Zudem besteht die Gefahr, dass der Empfänger der Funktionsübertragung die Daten für andere Zwecke verwendet oder Sicherheitslücken entstehen, die zu Datenschutzverletzungen führen können. 

Handlungsempfehlungen 

Um die Risiken im Zusammenhang mit der Funktionsübertragung zu minimieren, sollten Unternehmen sorgfältig prüfen, ob diese Vorgehensweise wirklich erforderlich ist. Falls ja, empfiehlt es sich, klare Vereinbarungen zu treffen, die die Verantwortlichkeiten, Pflichten und Haftungsfragen regeln. Ein umfassender Vertrag oder eine Vereinbarung zwischen den Parteien kann dazu beitragen, die Rechte der betroffenen Personen zu schützen und die Einhaltung der Datenschutzbestimmungen sicherzustellen. Zudem sollten regelmäßige Überprüfungen und Kontrollen der Datenverarbeitungsprozesse durchgeführt werden, um mögliche Datenschutzverletzungen frühzeitig zu erkennen und zu beheben. 

Fazit 

Die Funktionsübertragung stellt eine rechtliche Grauzone im Datenschutz dar. Obwohl sie in der DSGVO nicht explizit geregelt ist, existiert sie dennoch als eine Praxis im Rahmen des Outsourcings. Unternehmen sollten sich der Herausforderungen und Risiken bewusst sein und sorgfältig prüfen, ob die Funktionsübertragung tatsächlich erforderlich ist. Klar definierte Vereinbarungen und regelmäßige Kontrollen können dazu beitragen, den Datenschutz zu gewährleisten und die Rechte der betroffenen Personen zu schützen. Es bleibt abzuwarten, ob zukünftige rechtliche Entwicklungen eine klarere Regulierung der Funktionsübertragung im Datenschutz schaffen werden. 

← zurück

Ihr Ansprechpartner:

Erdem Durmus

Managing Director | Externer Datenschutzbeauftragter

CIPP/E
CIPM
FIP
ISO 27001
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten

Ihr Ansprechpartner:

Michael Gilmour

Managing Director | Externer Datenschutzbeauftragter

Certified Professional Data Protection Officer (udis)