Externalisierung – Funktionsübertragung – Auftragsverarbeitung: Fragen der Vertragsgestaltung

Wirtschaft ist einfach: Vertragspartner wollen etwas, einigen sich und geben sich die Hand drauf. Gerade in Deutschland kann man sich darauf verlassen, das es für Unklarheiten im Streitfall Regelungen im Gesetz gibt, dass Verträge nach „Treu und Glauben“ ausgelegt werden, dass das wirtschaftlich Gewollte im Streitfall bedacht wird. Eine über hundertjährige Erfahrung führt zu guten Ergebnissen. Kennzeichen üblicher Verträge ist, dass Kernpunkte fixiert werden, Nebenpflichten, ggf. sogar Hauptpflichten ergeben sich aus dem Gewollten und der Verkehrssitte.

Das geht solange gut, bis personenbezogene Daten ins Spiel geraten. Dann kommen die Datenschützer mit besonderen Fragen. Ein leicht abgewandeltes Beispiel aus der Praxis: Ein Unternehmen wollte Teile der Betriebsaufgaben externalisieren, ein fachlich kompetentes, anderes Unternehmen sollte Aufgaben der Betriebsführung wahrnehmen. Tätigkeiten und Entgelte kann man auf wenigen Zeilen festhalten. Wenn es in der Umsetzung später Probleme gäbe, würde und wird man Lösungen finden, um das Gewollte, die Externalisierung der Betriebsaufgabe, umzusetzen. Ob beispielsweise der „Externe“ einem internen Mitarbeiter gegenüber weisungsbefugt ist, ist bei gelebtem Vertrag praktisch egal. Denn ob eine Anweisung befolgt wird, weil ein arbeitsrechtliches Weisungsrecht besteht, oder eine Anweisung befolgt wird, weil die Geschäftsführung des Ursprungsbetriebs zwischen geschaltet ist und die Anweisung weiter gibt, ist in der Aufgabenerfüllung irrelevant. In der Praxis wird ein Mitarbeiter, wenn er weiß, dass die Geschäftsführung die „Anweisungen“ des Externen 1:1 weiter gibt, diese „Anweisungen“ auch direkt ausführen.

Wie betrifft das den Datenschutz?

Eigentlich möchte ein Unternehmen nicht ein Erledigung einer Aufgabe auslagern, sondern die Funktion desjenigen, der diese Aufgabe erfüllen soll. „Früher“, vor der Gültigkeit der DS-GVO, gab es die „Funktionsübertragung“ auch formal. Inzwischen wird der Begriff kaum oder nicht mehr geführt. Nichts desto trotz gibt es solch eine „Funktionsübertragung“ in er Praxis natürlich immer noch.

Die Problematik ist die datenschutzrechtliche Abgrenzung: Handelt der „Externe“ auf Weisung des Unternehmens, legt nur das Unternehmen „Zwecke und Mittel der Datenverarbeitung“ fest? In diesem Fall handelte es sich datenschutzrechtlich um eine Auftragsverarbeitung, im anderen Fall um eine Datenweitergabe, ggf. mit gemeinsamer datenschutzrechtlicher Verantwortlichkeit.

Diese Unterscheidung führt nun zu einem Regelungszwang. Während man „normalerweise“ im Vertrag das wirtschaftliche Gewollte festhalten würde und für in der Praxis auftauchende Probleme Regelungen dann finden würde, wenn sie auftreten, muss der Vertrag nun in allen Einzelheiten und Eventualitäten vorher ausgearbeitet werden. Für die betroffenen Daten und die Entscheidungswege und Freiheiten dürfen keine „spontan oder später festzulegenden“ Freiheiten bleiben. Aus diesem Grunde werden Verträge erheblich komplexer. Schön wäre, wenn alle Prozesse in einem Unternehmen fein spezifiziert und dokumentiert wären. In einem solchen Fall könnte man diese Spezifikationen in den Vertrag kopieren und die datenschutzrechtlichen Folgerungen einfach ziehen. Doch welches Unternehmen hat seine Prozesse so fein spezifiziert, geschweige denn dokumentiert?

Als Fazit bleibt festzuhalten, Funktionsübertragungen, Externalisierungen, wie immer man es benennen möchte, bedingen durch die Datenschutzanforderungen sehr klare Abgrenzungen. Ist eine Abgrenzung nicht offensichtlich, werden ausführliche Prozessbeschreibungen und Datenfluss- und Entscheidungspläne und deren Einarbeitung in die Vertragsgestaltung notwendig. Das kann nun auf Grund des Aufwandes negativ gesehen werden oder auch positiv, da eindeutig beschriebene Prozesse auch für die Unternehmensführung sinnvoll und für die unternehmerische Dokumentation, Stichworte z. B. Verfahrensbeschreibung, IT-Sicherheit etc. notwendig sind. Auf jeden Fall müssen unternehmerische Prozesse definiert und dokumentiert werden.

Schreibe einen Kommentar