Kategorien
Datenschutzrecht & Medienrecht

Auftragsdatenverarbeitung: BGH zur ADV im Datenschutzrecht

Der Bundesgerichtshof (IV ZR 292/14) hatte Gelegenheit, sich zur Auftragsdatenverarbeitung zu äußern. Es ging dabei um die Frage, ob ein von einem Versicherer beauftragter Arzt selber Daten erhebt oder lediglich als „verlängerter Arm“ tätig ist und somit datenschutzrechtliche Ansprüche gegen den Versicherer zu richten sind, was der BGH im Kern bejaht:

Auftragsdatenverarbeitung liegt vor, wenn die für die Datenverarbeitung verantwortliche Stelle eine andere Stelle damit betraut, Daten zu erheben, zu verarbeiten oder zu nutzen (Plath in Plath, BDSG § 11 Rn. 22). Dabei kommt es auf die Rechtsnatur der Betrauung nicht an. Insbesondere ist kein Auftrag im Sinne des § 662 BGB erforderlich (Bergmann/Möhrle/Herb, Datenschutzrecht § 11 BDSG Rn. 8 (Stand: No- vember 2009); Gabel in Taeger/Gabel, BDSG 2. Aufl. § 11 Rn. 11; Plath aaO Rn. 21). Entscheidend ist vielmehr, dass der Auftragnehmer ohne eigenen Wertungs- und Entscheidungsspielraum für den Auftraggeber tätig wird (Petri in Simitis, BDSG 8. Aufl. § 11 Rn. 22; Gabel aaO Rn. 12). Dies ist jedenfalls gegeben, wenn sich der Auftragnehmer nach Maßgabe des § 11 BDSG den Weisungen des Auftraggebers unterwirft (so die sog. Vertragstheorie; vgl. Gabel aaO Rn. 15 f.; Plath aaO Rn. 29) und sich seine Tätigkeit in einer reinen Hilfsfunktion für die Erfüllung der Zwecke und Aufgaben des Auftraggebers erschöpft, ohne dass ihm die Aufgabe, zu deren Erfüllung die Verarbeitung der Daten notwendig ist, übertragen wird (so die sog. Funktionsübertragungstheorie; vgl. Bergmann/Möhrle/ Herb aaO Rn. 8, 10; Gola/Klug/Körffer in Gola/Schomerus, BDSG 12. Aufl. § 11 Rn. 9; Petri aaO Rn. 22; Spoerr in Wolff/Brink, Daten- schutzrecht § 11 Rn. 41).

Dem entspricht die Tätigkeit des beauftragten Arztes im Rahmen der Untersuchungsobliegenheit nach § 9 Abs. 3 MB/KK 2009. Seine Aufgabe beschränkt sich darauf, den Versicherungsnehmer nach den Weisungen des Versicherers ärztlich zu begutachten und die so gewonnenen Gesundheitsdaten dem Versicherer zur Verfügung zu stellen. Der Arzt ist mithin nicht als „Herr der Daten“, sondern lediglich als „verlängerter Arm“ des Versicherers anzusehen, wie es für einen Auftragsdatenverarbeiter charakteristisch ist (…)

Beitrag wurde zuletzt aktualisiert:

Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Ich habe mich als Strafverteidiger & Fachanwalt für IT-Recht spezialisiert auf Rechtsfragen rund um Strafrecht, Technik & Arbeit: IT-Recht, Datenschutzrecht, Medienrecht, Vertragsrecht & Softwarerecht ebenso wie IT-Arbeitsrecht, IT-Strafrecht, digitales Werberecht & Urheberrecht.

Meine juristische Expertise ergänze ich mit umfangreicher technischer Erfahrung als Programmierer & Linux-Systemadministrator inkl. Netzwerksicherheit, IT-Forensik & IT-Risikomanagement.