Aktuelle Rechtsfragen aus der Marktforschungspraxis Die Auftragsdatenverarbeitung gemäß § 11 BDSG

Dr. Ralf Tscherwinka (Dr. Hönig Rechtsanwälte)

Von Dr. Ralf Tscherwinka

Bei Marktforschungsaufträgen kommt es häufig zu der Situation, dass das beauftragte Marktforschungsinstitut den Auftrag nicht vollständig im eigenen Haus abarbeiten kann oder will. Dann stellt sich die Frage nach der Rechtsgrundlage einer Unterbeauftragung. Bei einer In-house-Unterbeauftragung, lediglich an eine andere Abteilung des gleichen Unternehmens, stellen sich hier aus datenschutzrechtlicher Sicht keine spezifischen Probleme. Wenn jedoch personenbezogene Daten an eine andere juristische Person "außer Haus" gehen, bedarf es einer Einwilligung der Betroffenen oder einer gesetzlichen Erlaubnisnorm (§ 4 BDSG). Beides liegt in der Regel nicht vor. In diesen Fällen kann § 11 BDSG (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag) hilfreich eingesetzt werden. § 11 BDSG enthält für den Fall der Auf-tragsdatenverarbeitung eine Privilegierung des Auftragnehmers, der im Falle eines § 11 BDSG Auftrags nicht als Dritter im rechtlichen Sinne des Bundesdatenschutzgesetzes angesehen wird (§ 3 Abs. 8 Satz 3 BDSG). § 11 BDSG stellt aber nicht nur eine Privilegierung dar, sondern enthält auch erhebliche Verpflichtungen und Belastungen für alle Beteiligten. Es lohnt sich daher, einen genauen Blick auf Inhalt, Notwendigkeit, Grenzen, Vorzüge und Nachteile der Auftragsdatenverarbeitung gemäß § 11 BDSG zu werfen - obwohl oder gerade weil § 11 BDSG inzwischen massiv, ja geradezu schablonenhaft eingesetzt wird.

1.    Erinnern wir uns zunächst einmal daran, dass im Datenschutzrecht der Grund-satz des "Verbots mit Erlaubnisvorbehalt" gilt: Verboten ist alles, was nicht ausdrücklich erlaubt ist. Gemäß § 4 Abs. 1 BDSG sind Erhebung, Verarbeitung und Nutzung personenbezogener Daten daher nur zulässig, soweit eine gesetzliche Erlaubnisnorm oder eine Einwilligung des Betroffenen für den spezifischen Datenverarbeitungsvorgang vorliegen.

Ein Unterfall der Verarbeitung (Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten) ist das sogenannte "Übermitteln" gemäß § 3 Abs. 4 Ziffer 3 BDSG: Unter Übermitteln versteht man das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten.

Daher ist es unproblematisch und stellt keine "Übermittlung" dar, wenn innerhalb eines Unternehmens Daten von einer Abteilung an eine andere Abteilung bekannt gegeben bzw. weitergeleitet werden. Denn dann verlassen diese Daten nicht die Grenze der juristischen Person und bleiben innerhalb der Verantwortlichen Stelle selbst. Werden Daten aber von einer Verantwortlichen Stelle an einen rechtlichen Dritten übermittelt, dann bedürfte es gemäß § 4 BDSG einer Einwilligung des Betroffenen oder einer gesetzlichen Erlaubnisnorm. Hier greift § 11 BDSG ein: § 11 BDSG enthält für den Fall der Auftragsdatenverarbeitung eine Privilegierung des Auftragnehmers, der bei einem § 11 BDSG Auftrag eben nicht als Dritter im rechtlichen Sinne des Bundesdatenschutzgesetzes angesehen wird.

"Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen" (§ 3 Abs. 8 BDSG). Im Umkehrschluss, das sei an dieser Stelle ausdrücklich betont, gilt die Privilegierung nicht für solche Dritte, die außerhalb des BDSG bzw. der EU-Datenschutzrichtlinie, also außerhalb der Europäischen Union bzw. des Euro-päischen Wirtschaftsraums personenbezogene Daten verarbeiten. Auftragnehmer in Nicht-EU-Staaten sind daher Dritte im Sinne von § 4 b BDSG. Die Folge ist dann, dass die Datenweitergabe unter dem Vorbehalt der Grundnorm des § 4 Abs. 1 BDSG steht und entweder eine Einwilligung oder eine ausdrückliche gesetzliche Erlaubnisnorm Voraussetzung für die Zulässigkeit der Übermittlung ist.

2.    Wenn es sich um einen privilegierten "Nicht-Dritten" gemäß § 3 Abs. 8 Satz 3 BDSG handelt, dann wird das unterbeauftragte Institut als "verlängerter Arm" angesehen und in datenschutzrechtlicher Sicht gleich behandelt mit einer In-house-Abteilung des Unternehmens, wobei Voraussetzung ist, dass der Auf-traggeber die volle Verfügungsgewalt behält und damit auch allein über die Er-hebung, Verarbeitung oder Nutzung bestimmen kann (vergleiche Gola / Schomerus, BDSG, 10. A., § 11, Rdnr. 3). Diese Privilegierung sieht auf den ersten Blick hilfreich und pragmatisch aus, denn sie erlaubt die Bekanntgabe und Weitergabe von Daten von einem Unternehmen an ein drittes Unternehmen, d.h. von einer (juristischen) Person an eine andere (juristische) Person, ohne dass die Voraussetzungen des § 4 BDSG eingehalten werden müssen. Auftraggeber und Auftragnehmer im Rahmen eines § 11 BDSG Vertrags werden sozusagen als funktionale Einheit betrachtet, die juristische Grenze zwischen zwei juristischen Personen wird großzügig übersehen und als datenschutzrechtliche Einheit behandelt (§ 3 Abs. 8 BDSG) mit der Folge, dass der Datentransfer zu und vom Auftragnehmer keine "Übermittlung" im Sinne von § 3 Abs. 4 Nr. 3 BDSG darstellt. Dass dies in vielen Fällen sehr hilfreich ist, steht außer Frage; wir werden aber im folgenden sehen, dass diese Privilegierung nur mit erheblichen Belastungen, Kontroll- und Aufsichtspflichten und nicht unerheblichen juristischen Schwierigkeiten erkauft werden muss.
 
3.    Der Privilegierung des § 11 BDSG bedarf es natürlich nur dann, wenn es sich um personenbezogene Daten handelt. Handelt es sich nicht um personenbezogene Daten, bedarf es weder einer Einwilligung noch einer Erlaubnisnorm gemäß § 4 BDSG und somit auch nicht einer Privilegierung für die Auftragsdatenverarbeitung gemäß § 11 BDSG. Für Datenschützer ist das eine Selbstverständlichkeit. Und trotzdem wird häufig übersehen, dass angesichts dieser Abgrenzung Gestaltungsspielraum besteht. So ist es in vielen Fällen denkbar, bei einer Unterbeauftragung den Datenfluss so zu konstruieren, dass gerade keine personenbezogenen Daten bekannt gegeben bzw. weitergegeben werden und somit kein datenschutzrechtlich relevanter Übermittlungsvorgang stattfindet. Personenbezogene Daten sind gemäß § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Mit der Frage, was unter personenbezogenen Daten konkret zu verstehen ist, haben wir uns bereits in unserer ersten Kolumne "Marktforschung und Datenschutzrecht - Einführung und Ausblick" unter Ziffer 5 beschäftigt. Bei Unterbeauftragungen sollte man also erst einmal prüfen, ob wirklich die Übermittlung personenbezogener Daten erforderlich ist oder ob es möglich oder vielleicht sogar im Einzelfall geeigneter erscheint, nur Daten ohne Personenbezug an ein Drittunternehmen weiterzugeben. Denn dann spart man sich die Mühe, die strengen Vorgaben des § 11 BDSG einhalten zu müssen.

4.    Werden personenbezogene Daten im Auftrag oder durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vor-schriften des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz verantwortlich (§ 11 Abs. 1 Satz 1 BDSG). Damit korrespondiert § 3 Abs. 7 BDSG, wonach Verantwortliche Stelle jede Person oder Stelle ist, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen (§ 11 Abs. 2 Satz 1 BDSG). Vor Vergabe eines Unterauftrags muss gewährleistet werden, dass der Auftragnehmer die technischen und organisatorischen Maßnahmen getroffen hat, "die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes (BDSG), insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen zu gewährleisten", § 9 BDSG. Zu § 9 BDSG gehören nachprüfbare und dokumentierte Schutzmaßnahmen in den Bereichen Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eigenkontrolle, Auftragskontrolle und Verfügbarkeitskontrolle. Jedem § 11 BDSG Vertrag ist als Anlage eine ausführliche Auflistung gemäß § 9 BDSG beizufügen. Der Auftraggeber muss gewährleisten und dokumentieren, dass er die Einhaltung dieser Pflichten prüft und überwacht.
 
5.    Die Schriftform für einen § 11 BDSG Auftrag ist zwingend vorgesehen (§ 11 Abs. 2 Satz 2 BDSG). Wer das Schriftformerfordernis übersieht, kann mit einem Bußgeld (§ 43 Abs. 1 Nr. 2 b) belegt werden. Die Schriftform hat für die Wirksamkeit des Auftrags konstitutive Wirkung, d.h.: Ohne die Wahrung der Schriftform finden die Rechtsfolgen der Auftragsdatenverarbeitung keine Anwendung, die Datenweitergabe könnte dann allenfalls unter den Voraussetzungen einer Datenübermittlung statthaft sein (Simitis, BDSG, 7. A., § 11, Rdnr. 64).

Die "10 Gebote", die im schriftlichen Auftrag im Einzelnen festzulegen sind, enthalten die (nicht abschließend) zu vereinbarenden Regelungsbestandteile:

• Gegenstand und Dauer des Auftrags.
• Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen.
• Die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen.
• Die Berichtigung, Löschung und Sperrung von Daten.
• Die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen.
• Die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen.
• Die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers.
• Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigter Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen.
• Den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält.
• Die Rückgabe überlassener Datenträger und die Löschung vom Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

6.    Bei der Abfassung von § 11 BDSG Verträgen ist äußerste Sorgfalt geboten. Häufig werden von Auftraggebern Vertragsmuster vorgelegt, die im Titel und in einigen Passagen der Textfassung zwar als § 11 BDSG Vertrag erkennbar sind, jedoch inhaltliche Bestandteile enthalten, die weit über die gesetzlichen Verpflichtungen des § 11 BDSG hinausgehen und häufig von Auftraggebern dazu genutzt werden, Auftragnehmern weitere Pflichten aufzuerlegen, die zwar im Interesse des Auftraggebers sind - aber nicht unbedingt im Sinne des Auf-tragnehmers und häufig gerade nicht vom Wortlaut des § 11 BDSG verlangt.

Ein solcher "Klassiker" ist § 11 Abs. 2 Ziffer 7 BDSG, nach welchem im Einzelnen die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers festzulegen sind. Häufig findet man in von Auftraggebern vorformulierten § 11 BDSG Verträgen die Verpflichtung, dass der Auftragnehmer (jederzeit oder auf Verlangen des Auftraggebers) den Zutritt des Auftraggebers dulden muss, ihm Einblick gewähren muss, dass Audits nach Vorgaben des Auftraggebers durchzuführen sind und dergleichen mehr.

§ 11 Abs. 2 Ziffer 7 BDSG beinhaltet zwar die Pflicht, auf Aufforderung Auskunft zu erteilen oder Unterlagen etc. vorzulegen (so zu Recht Gola / Schomerus, BDSG, § 11, Rdnr. 1811 mit weiteren Nachweisen). Zutritts- und Einsichtsrechte können allerdings mit Geheimhaltungspflichten gegenüber anderen Auftraggebern kollidieren. Kontrollbesuche bedeuten in der Regel erheblichen Personal- und Kostenaufwand. Der Gesetzgeber hat es gerade nicht als zwingend erforderlich angesehen, dass sich der Auftraggeber durch eine eigene Inaugenscheinnahme vor Ort beim Auftragnehmer von der Einhaltung der Maßnahmen überzeugt (BT-Drucksache 16/13657, Seite 29).

Empfehlenswert ist es, die etwaigen, unvermeidlichen und berechtigten Kontroll- und Überwachungspflichten auf Datenschutzbeauftragte der betroffenen Unternehmen zu delegieren oder solche Personen, die aufgrund ihrer Amts- oder Berufstätigkeit beruflich zur Verschwiegenheit verpflichtet sind. Je gravierender die Kontrollmaßnahmen werden, umso eher empfiehlt es sich, deren Ausübung an bestimmte Voraussetzungen (konkrete Verdachtsfälle) zu beschränken. Hier geht es nicht darum, die Rechte des Auftraggebers zu begrenzen, sondern den Erfordernissen des § 11 BDSG gerecht zu werden, nicht weniger - aber auch nicht mehr.

Ohne vertragliche Vereinbarungen hat der Auftraggeber ein erhebliches Problem, seine Kontrollpflichten, denen er gemäß § 11 BDSG unterliegt, gegen den Auftragnehmer durchzusetzen, da die Verhaltenspflichten des § 11 BDSG na-türlich nicht automatisch Anwendung finden, sondern eben nur dann, wenn sie schriftlich vereinbart wurden (wobei sich die vollständige schriftliche Vereinba-rung aufgrund der angesprochenen Bußgeldandrohung dringend empfiehlt!).
 
Darin liegt natürlich einerseits die Legitimation des Auftraggebers, sich um einen § 11 BDSG Vertragsabschluss zu bemühen. Darin liegt aber andererseits auch erheblicher Verhandlungs- und Gestaltungsspielraum für Auftragnehmer, die bei der Vertragsprüfung sorgfältig darauf achten sollten, ob die von ihnen eingegangenen Verpflichtungen im Rahmen von § 11 BDSG liegen oder dar-über hinausgehen und ob man als Auftragnehmer die vorgegebenen Verpflich-tungen technisch, organisatorisch, rechtlich und wirtschaftlich überhaupt einhal-ten kann. Allzu oft werden vorgelegte § 11 BDSG Vertragsentwürfe unterzeich-net, ohne sich zu vergewissern, ob die eingegangenen Verpflichtungen realistisch erfüllt werden können und ob sie von § 11 BDSG wirklich verlangt werden.

Ein weiterer "Klassiker" ist die Regelung zur Rückgabe bzw. der Löschung der Daten beim Auftragnehmer. Hier ist darauf zu achten, dass Rückgabe und Löschungspflichten im § 11 BDSG Vertrag nicht mit hauptvertraglichen Pflichten kollidieren. § 11 Abs. 2 Satz 2 Ziffer 10 BDSG erlaubt es durchaus, dass vertragsrechtliche Gewährleistungsfristen berücksichtigt werden; daher sollte in derartigen Klauseln des § 11 BDSG Vertrags unbedingt eingefügt werden, dass der Auftragnehmer berechtigt ist, die Daten jedenfalls während der im Hauptvertrag vereinbarten Laufzeit des Vertrags und darüber hinaus bis zum Ablauf der vertragsrechtlichen Gewährleistungsfrist, aufzubewahren. Denn es ist nicht auszuschließen, dass beweisrechtliche Nachteile nach Rückgabe oder Lö-schung der Daten drohen, wenn innerhalb der gesetzlichen Gewährleistungsfrist der Vertragspartner Mängel rügt. Darüber hinaus müssen z.B. aus IT-Sicherheitsgründen Daten auf Back-up-Sicherheitsbändern gespeichert werden. Eine Löschung auf diesen Sicherheitsbändern ist häufig schlicht und einfach gar nicht möglich. Auch das sollte unbedingt in einem § 11 BDSG Vertrag ausdrücklich geklärt werden, damit man nicht mit Unterzeichnung bereits eine Verpflichtung eingegangen ist, die aus IT-Gründen oder organisatorisch nicht eingehalten werden kann.

Neben dem § 11 BDSG Auftrag selbst muss stets darauf geachtet werden, dass eine ausreichende Geheimhaltungsvereinbarung zwischen den Parteien abgeschlossen wird. Regelmäßig empfiehlt sich die Klärung, ob beim unterbeauftragten Unternehmen ein Datenschutzbeauftragter bestellt wurde. Es ist ferner zu klären, wo die Daten physisch beim Auftragnehmer liegen (Server außerhalb der EU?). Unterbeauftragungen sind nicht nur aus datenschutzrechtlicher Sicht vertraglich regelungsbedürftig. Vor allem vertragsrechtlich müssen Unteraufträge sorgfältig verhandelt werden, insbesondere zum konkreten Vertragsgegenstand, zu Gewährleistungs- und Haftungsbestimmungen, zum Schutz des geistigen Eigentums sowie Vergütungs- und Fälligkeitsregelungen, aber auch zu etwaigen weiteren Unter-Unterbeauftragunen. Darauf kann an dieser Stelle nur hingewiesen werden. Hervorzuheben ist allerdings die notwendige Verzahnung zwischen dem vertragsrechtlichen (Haupt-) Teil des Unterauftrags einerseits und dem datenschutzrechtlichen § 11 BDSG Vertrag. Sinnvoll ist es, den § 11 BDSG Vertrag als Anlage zum Hauptauftrag zu machen und im Hauptauftrag auf den § 11 BDSG Vertrag zu verweisen. Häufig werden zwischen Auftraggebern und Auftragnehmern Rahmenvereinbarungen abgeschlossen; parallel zur Rahmenvereinbarung des Hauptauftrags kann auch ein § 11 BDSG Rahmenvertrag abgeschlossen werden, der dann nur noch um die spezifischen Besonderheiten des Einzelfalles (Einzelauftrags) ergänzt werden muss.

Immer häufiger taucht das Problem auf, dass der Auftraggeber den Auftragnehmer wechseln will und verlangt, dass der erstbeauftragte Unterauftragnehmer (wir nennen ihn im folgenden A) den Datensatz komplett an den neuen Unterauftragnehmer B (oder gar an den Auftraggeber zur Weiterleitung an den neuen Unterauftragnehmer) liefert. Die Datenübermittlung personenbezogener Daten vom Unterauftragnehmer A an den neuen Unterauftragnehmer B bedarf einer Rechtsgrundlage. Da aber in der Regel weder eine spezielle für diese Datenübertragung konkrete Einwilligung des Betroffenen vorliegt und auch keine gesetzliche Erlaubnisnorm, stellt sich die Frage, ob § 11 BDSG Anwendung findet. Zwischen den Unterauftragnehmern besteht jedoch kein Vertragsverhältnis. Es ist noch nicht höchstrichterlich entschieden, ob § 11 BDSG auch dieses Dreiecksverhältnis erfasst. Wenn die Weisungslage zwischen dem Auftraggeber und dem Unterauftragnehmer A und seine Weisungsberechtigung gegenüber dem Unterauftragnehmer B dazu führt, dass nicht nur eine rechtliche Einheit zwischen Auftraggeber und Unterauftragnehmer A vorliegt, sondern auch über das Dreieck zwischen dem Auftraggeber und seinen beiden Unterauftragnehmern, dann könnte § 11 BDSG für diese Datentransaktion Anwendung finden (und zwar unabhängig davon, ob die Daten direkt vom Unterauftragnehmer A an den Unterauftragnehmer B geliefert werden oder über den Umweg des Auftraggebers). Höchst problematisch kommt in dieser Konstellation aber hinzu, dass in vielen Marktforschungsaufträgen den befragten Personen Anonymität zugesichert wurde und auch das Standesrecht der Marktforschung das strikte Anonymisierungsgebot enthält (www.adm-ev.de). Will der Unterauftragnehmer A nicht gegen § 11 BDSG einerseits und Standesrecht andererseits verstoßen, empfiehlt sich hier für den erstbeauftragten Unterauftragnehmer A darauf zu bestehen, dass ihm ein § 11 BDSG Unterauftragsverhältnis zwischen dem Auf-traggeber und dem neuen Unterauftragnehmer B nachgewiesen wird. Ferner ist die Datenlieferung direkt an den neuen Unterauftragnehmer B und gerade nicht an den Auftraggeber zu veranlassen, um auch auf diesem Weg einem Verstoß gegen das Anonymisierungsgebot und gegen etwaige individuelle Anonymisierungszusagen vorzubeugen. Der Unterauftragnehmer A sollte sich daher den § 11 BDSG Vertrag zwischen Auftraggeber und neuem Unterauftragnehmer B vor Auslieferung der Daten vorlegen lassen und darüber hinaus eine Zusicherung des Auftraggebers und des neuen Unterauftragnehmers B, dass auch in deren Rechtsverhältnis das Anonymisierungsgebot genauso eingehalten wird wie bisher im Rechtsverhältnis zwischen Auftraggeber und Unterauftragnehmer A. Damit ist auch gewährleistet, dass der Auftraggeber wie bisher Verantwortliche Stelle bleibt.

7.    Eine ganz entscheidende Weichenstellung für die Privilegierung der Datenauftragsdatenverarbeitung via § 11 BDSG liegt in § 11 Abs. 3 BDSG: Demnach darf der Auftragnehmer die Daten nur im Rahmen der Weisungen des Auftrag-gebers erheben, verarbeiten oder nutzen. Nur dann, wenn der Auftragnehmer weisungsgebunden ist, ist er als "verlängerter Arm" und als gedachte Einheit zu verstehen und einem einheitlichen Unternehmen gleichzustellen, bei dem in-nerhalb ein und derselben Rechtsperson Daten lediglich von einer Abteilung in die andere wandern und dabei selbstverständlich die unternehmensinterne Weisungskette aufrechterhalten bleibt. Nur dann, wenn beim Verlassen der (juristischen) Person vom Auftraggeber zum Auftragnehmer der Auftragnehmer weisungsgebunden ist, ist er einer In-house-Abteilung und der damit verbundenen unternehmensinternen Weisungskette vergleichbar. Die Datenweitergabe zwischen Auftraggeber und Auftragnehmer ist nur in diesem Fall nicht als Übermittlung anzusehen, sondern nur als Nutzung. Der Auftragnehmer bleibt zwar gemäß § 3 Abs. 8 Satz 1 BDSG Empfänger, nicht jedoch (wie schon erörtert) Dritter im datenschutzrechtlichen Sinne, § 3 Abs. 8 Satz 2 BDSG.

Das Auftragsverhältnis nach § 11 BDSG muss so ausgestaltet sein, dass die beauftragte Stelle eine Hilfs- und Unterstützungsfunktion hat. Geht die Tätigkeit von Auftragnehmern über die Wahrnehmung von Hilfsfunktionen hinaus und führen diese ihre Aufgaben für den Auftraggeber unter Verwendung personenbezogener Daten unabhängig durch, kann es sich um eine sogenannte Funktionsübertragung handeln, die nicht unter § 11 BDSG fällt.

Ob noch ein Fall der Auftragsdatenverarbeitung im Sinne des § 11 BDSG oder bereits ein Fall der selbständigen Erledigung der Aufgabe ("Funktionsübertragung") vorliegt, wenn ein Meinungsforschungsinstitut ein fremdes Institut mit der Durchführung einer Meinungsbefragung beauftragt, kann nur im Einzelfall beantwortet werden.

Nach Simitis liege bei Call Centern keine Auftragsdatenverarbeitung vor, die Kundenbefragungen durchführen und dabei Gestaltungsspielräume bei der Datenerhebung haben (z.B. Übernahme der Gesamtdurchführung einschließlich des Befragungs- und Auswertungskonzepts); auch Testanrufe (Mystery Calls) von Call Centern, welche die Servicequalität eines anderen Call Centers überprüfen sollen, seien als Funktionsübertragung anzusehen, weil und soweit diese Gespräche durch individuelle Gesprächssituationen geprägt sind.

Das Innenministerium Baden-Württemberg hat in einer Bekanntmachung vom 11. Januar 1999 "Hinweise zum Datenschutz für die private Wirtschaft (Nr. 37)" veröffentlicht. Nach deren meines Erachtens zutreffender Auffassung kommt es maßgeblich darauf an, "wie die Zusammenarbeit zwischen einem Auftraggeber und dem Markt- und Meinungsforschungsinstitut ausgestaltet ist".

Erhält demnach das Forschungsinstitut nur einen allgemein gehaltenen Auftrag, bei dem es den Umfang und die Art der Fragen sowie den Ablauf der Untersuchung selbständig bestimmen kann, kann die Verarbeitung der personenbezogenen Daten der Kunden nicht mehr als "Datenverarbeitung im Auftrag" im Sinne von § 11 BDSG bewertet werden. Denn die Datenverarbeitung im Auftrag ist durch die Beschränkung auf eine ausführende Tätigkeit gekennzeichnet. Dies ist sicherlich zutreffend.

Dieser Sachverhalt dürfte aber nur die Ausnahme aller vertraglichen Kooperationen zwischen Auftraggeber und Auftragnehmer sein, da einem konkreten Vertrag eine konkrete Leistungsbeschreibung im Angebot oder im Auftrag zugrunde liegen muss. Marktforschungsverträgen liegen in der Regel Werkverträge gemäß § 631 ff. BGB oder als sogenannte "Aufträge" entgeltliche Geschäftsbesorgungsverträge gemäß § 670 BGB zugrunde, in denen zur Absicherung der Vertragsparteien und zur ordnungsgemäßen Vertragsdurchführung in der Regel genaue Leistungsbeschreibungen Fallzahl, Adressatengruppe, Interviewlänge, Interviewdauer, Studiendesign etc. festgehalten wurden. Jedenfalls liegt hier, so zutreffend vom Innenministerium Baden-Württemberg herausgearbeitet, die rechtliche Zäsur zwischen einer Datenverarbeitung im Auftrag gemäß § 11 BDSG und einer Funktionsübertragung.

Maßgeblich ist nicht der bloße Wortlaut, sondern die gelebte Wirklichkeit des Auftrags bei der Abgrenzung zwischen Auftragsverhältnis im Sinne von § 11 BDSG einerseits und Funktionsübertragung andererseits. Der bestformulierte Vertrag ist des § 11 BDSG nicht Wert, wenn in einem Auftragsverhältnis gemäß § 11 BDSG nicht drinsteckt, was im Vertragstitel draufsteht.

8.    Vorsicht ist geboten bei bereichsspezifischen Vorschriften, die vorrangig gelten. § 1 Abs. 3 Satz 1 BDSG bestimmt, dass unter dem Gesichtspunkt der Subsidiarität bereichsspezifische Regelungen vorrangig anzuwenden sind. Das bedeutet, dass § 11 BDSG für diese Angelegenheiten keine ausreichende Rechtsgrundlage bietet.

Nach § 203 StGB macht sich strafbar, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis offenbart, das ihm aufgrund besonderer Verschwiegenheitspflichten bekannt geworden ist. Bei der Weitergabe von Patientendaten bedarf es der Einwilligung der Patienten, weil sich der Arzt sonst wegen Offenbarung von Geheimnissen im Sinne von § 203 StGB strafbar macht. Von dieser Vorschrift sind unter anderem auch Versicherungsunternehmen im medizinischen Bereich erfasst. In diesen Bereichen ist ein Outsourcing, d.h. eine Datenübermittlung an Dritte nur mit Einwilligung zulässig.

Neben den Regelungen des BDSG ist z.B. zu beachten, dass bei Daten, die dem Steuergeheimnis unterliegen, nur öffentliche Stellen beauftragt werden dürfen (§ 30 AO). Umstritten ist das Bankgeheimnis, das in den Allgemeinen Geschäftsbedingungen der Banken enthalten ist; aus rechtlicher Vorsicht und im Zweifel sollte man hier von einer vorrangigen Bereichsvorschrift ausgehen, die ebenfalls eine Einwilligung des Betroffenen erforderlich macht. § 80 SGB X koppelt die Auftragsdatenverarbeitungsvergabe an nicht-öffentliche Stellen an besondere Voraussetzungen, auf die an dieser Stelle nur hingewiesen werden kann.

9.    Marktforscher, die § 30 a BDSG kennen, werden sich bei Lektüre unserer heutigen Kolumne zur Auftragsdatenverarbeitung gemäß § 11 BDSG vielleicht schon lange fragen, weshalb es der Anwendung des § 11 BDSG überhaupt bedarf, stellt doch § 30 a BDSG eine gesetzliche Erlaubnisnorm für Zwecke der Markt- oder Meinungsforschung dar. Die Frage ist berechtigt. Es lohnt sich, dieser Problematik abschließend nachzugehen.

Gemäß § 30 a BDSG ist das geschäftsmäßige Erheben, Verarbeiten oder Nutzen personenbezogener Daten für Zwecke der Marktforschung unter verschiedenen Voraussetzungen zulässig, die in § 30 a Abs. 1 bis Abs. 3 BDSG im Einzelnen dargelegt werden. Gemäß § 30 a Abs. 1 Satz 1 Ziffer 1 BDSG ist von einer Zulässigkeit auszugehen, wenn kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung hat. Alternativ normiert § 30 a Abs. 1 Satz 1 Ziffer 2 BDSG die Zulässigkeit dann, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die Verantwortliche Stelle sie veröffentlichen durfte und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung gegenüber dem Interesse der Verantwortlichen Stelle nicht offensichtlich überwiegt.

§ 30 a BDSG ist nach herrschender Auffassung eine gesetzliche Erlaubnisnorm im Sinne von § 4 BDSG (vergleiche Gola / Schomerus, BDSG, § 30 a, Rdnr. 1 und 2). Liegt eine gesetzliche Erlaubnisnorm vor, bedarf es eines Rückgriffs auf die Privilegierungsnorm des § 11 BDSG nicht. Oben haben wir dargelegt, dass § 11 BDSG insoweit als Privilegierung zu verstehen ist, weil er dann hilft, wenn die Voraussetzungen des § 4 BDSG nicht erfüllt sind, also wenn keine gesetzliche Erlaubnisnorm vorliegt oder keine Einwilligung des Betroffenen - es sei denn, es handelt sich um eine Funktionsübertragung. Da § 30 a BDSG eine gesetzliche Erlaubnisnorm ist, die die Datenverarbeitung der Zwecke der Markt- oder Meinungsforschung unter bestimmten Voraussetzungen für zulässig erklärt, ist ein Rückgriff auf § 11 BDSG überflüssig und im strengen Sinne sogar falsch. Allerdings ist in Rechtsprechung und Kommentarliteratur "noch nicht abschließend geklärt, ob der neue § 30 a BDSG eine eigenständige Auftrags-grundlage darstellt, die gegebenenfalls ein Vorgehen nach § 11 BDSG entbehrlich macht" (Gola / Schomerus, BDSG, § 11, Rdnr. 9 mit Nachweisen). Immerhin schließt der Abschluss eines § 11 BDSG Vertrags den Rückgriff und die Rechtfertigung eines Datenverarbeitungsvorgangs über § 30 a BDSG nicht aus.

Es ist unbestreitbar, dass Auftraggeber immer häufiger auf den Abschluss von § 11 BDSG Verträgen drängen. Trotzdem lohnt es sich, mit den Rechtsabteilungen und beteiligten Juristen ins Gespräch zu kommen und dort die rechtliche Reichweite des § 30 a BDSG zu erläutern. In vielen Fällen kann es dann gelingen, die für die Marktforschungsbranche spezifizierte Vorschrift des § 30 a BDSG zur Anwendung zu bringen. Andererseits ist natürlich zuzugestehen, dass es sich kaum ein Auftragnehmer leisten kann, wegen der Diskussion "§ 11 BDSG oder § 30 a BDSG" einen Auftragsverlust zu riskieren. Hier setzt sich wohl das Recht des Stärkeren durch und das rechtliche Argument des § 30 a BDSG bleibt in der Lebenswirklichkeit auf der Strecke. Das ist umso bedauerlicher, weil § 30 a BDSG eine Erlaubnisnorm darstellt und vor allem, weil Auftragnehmer via § 11 BDSG Verpflichtungen eingehen müssen, die bei § 30 a BDSG vermeidbar wären. Was natürlich nicht heißt, dass bei Auftragsdatenverarbeitungen, die auf der Grundlage des § 30 a BDSG erfolgen, Auftraggeber keine Überwachungspflichten oder Kontrollrechte hätten, ganz im Gegenteil: Gerade bei der Markt- und Meinungsforschung ist sensibler, seriöser, sorgfältiger und dokumentierter Umgang mit Daten oberstes Gebot. Ein erheblicher Vorteil bei § 30 a BDSG ist allerdings, dass die zum Teil schwierige Abgrenzung des § 11 BDSG zwischen Auftragsdatenverarbeitung einerseits und Funktionsübertragung andererseits entfällt. Bei einer Funktionsübertragung wäre  § 11 BDSG nicht anwendbar, darauf haben wir bereits hingewiesen, während  § 30 a BDSG auch in diesem Falle als Erlaubnisnorm herangezogen werden kann.

Ich weiß, dass in der Lebenswirklichkeit der Institute diese Diskussion nur selten weiterhilft. Die Kolumne soll aber dazu dienen, gerade in der Marktforschungsbranche § 30 a BDSG in Erinnerung zu rufen. Die Möglichkeiten, die § 30 a BDSG bietet, sind noch lange nicht ausgenutzt. Das liegt nicht nur daran, wie § 30 a BDSG in der juristischen Kommentarliteratur besprochen wird, sondern gerade daran, ob und wie nachhaltig § 30 a BDSG in Verhandlungen von Marktforschungsinstituten eingebracht oder sogar eingefordert wird. Andererseits ist festzuhalten, dass bei einem sorgfältigen Umgang mit § 11 BDSG Verträgen sowohl den Interessen der Auftraggeber als auch der Auftragnehmer zureichend Rechnung getragen werden kann - und damit nicht zuletzt auch den Betroffenen, um deren Schutz ihrer personenbezogen Daten es dem Bundesdatenschutzgesetz letztlich geht.