---
name: funktionsuebertragung-vs-auftragsverarbeitung
description: "Abgrenzung Funktionsuebertragung gegen Auftragsverarbeitung Art. 28 DSGVO bei Berufsgeheimnistraegern Inkasso Steuerberatung Wirtschaftspruefung und externe Rechtsdienstleistung. Wann handelt der Dritte als eigener Verantwortlicher und wann als Auftragsverarbeiter. § 203 StGB § 43a Abs. 2 BRAO. O..."
---

# Funktionsuebertragung versus Auftragsverarbeitung

## Zweck / Purpose

Abgrenzung zwischen Funktionsuebertragung (eigene Verantwortlichkeit des Dritten) und Auftragsverarbeitung nach Art. 28 DSGVO bei Berufsgeheimnistraegern und externen Dienstleistern, die typischerweise eine eigene Berufstraegerstellung haben (Steuerberater, Wirtschaftspruefer, Rechtsanwaelte, Inkassodienstleister, Aerzte). Purpose (EN): Demarcation between "Funktionsuebertragung" (functional transfer with own controllership) and Article 28 GDPR processing on behalf, in particular for professionals bound by professional secrecy.

## Wann dieses Modul hilft

- Mandant beauftragt einen Steuerberater, Wirtschaftspruefer, Rechtsanwalt, Arzt oder Inkassodienstleister.
- Eine Kanzlei oder Arztpraxis stellt sich die Frage, ob mit externen Dienstleistern (z. B. Schreibbuero, externe IT, Steuerbuero) ein AVV oder ein anderer Vertragstyp zu schliessen ist.
- Es ist § 203 StGB relevant.

## Rechtlicher Rahmen

- Art. 28 DSGVO – Auftragsverarbeitung.
- Art. 4 Nr. 7 DSGVO – Verantwortlicher.
- EDSA-Leitlinien 07/2020 zur Abgrenzung Verantwortlicher / Auftragsverarbeiter (Final 07.07.2021).
- § 203 StGB – Verletzung von Privatgeheimnissen einschliesslich Sonderregel Abs. 3 zu mitwirkenden Personen seit 09.11.2017.
- § 43a Abs. 2 BRAO – Verschwiegenheitspflicht des Rechtsanwalts.
- § 57 Abs. 1 StBerG – Pflichten des Steuerberaters.
- § 43 Abs. 1 WPO – Pflichten des Wirtschaftspruefers.
- § 11 BORA – Mitwirkende Personen.

## Ablauf / Checkliste

1. **Berufstraegerstellung erkennen.**
 - Hat der Dritte eine eigene Berufstraegerstellung mit gesetzlicher Verschwiegenheitspflicht?
 - Erbringt er eine Berufsleistung, die der Mandant nicht selbst erbringen koennte?
 - Beispiele: Steuerberatung, Rechtsdienstleistung, Wirtschaftspruefung, aerztliche Behandlung, Inkasso (RDG).

2. **Eigene Zweck-Mittel-Entscheidung pruefen.**
 - Entscheidet der Dritte ueber Methode und Inhalt seiner Berufsleistung autonom?
 - Steuerberater entscheidet ueber Buchungsmethode, Rechtsanwalt ueber Argumentationsstrategie, Arzt ueber Diagnoseverfahren.
 - Dann: Eigene Verantwortlichkeit, Funktionsuebertragung.

3. **Konstellationen.**

 | Konstellation | Einordnung | Vertragstyp |
 |---|---|---|
 | Steuerberater erstellt Buchhaltung für Mandant | Funktionsuebertragung | Steuerberatungsvertrag, ggf. C2C-Datenuebermittlungsregelung |
 | Rechtsanwalt vertritt Mandant | Funktionsuebertragung | Mandatsvertrag |
 | Wirtschaftspruefer prueft Jahresabschluss | Funktionsuebertragung | Pruefungsvertrag |
 | Inkassodienstleister treibt Forderungen ein | Funktionsuebertragung (typisch) | Inkassovertrag |
 | Arzt behandelt Patient | Funktionsuebertragung | Behandlungsvertrag § 630a BGB |
 | Externe IT betreut Kanzlei-IT mit Datenzugang | regelmaessig Auftragsverarbeitung Art. 28 | AVV plus § 203 Abs. 3 StGB |
 | Externes Schreibbuero schreibt Diktate | Auftragsverarbeitung Art. 28 | AVV plus § 203 Abs. 3 StGB |
 | Cloud-Speicher für Mandantenakten | Auftragsverarbeitung Art. 28 | AVV plus § 203 Abs. 3 StGB |

4. **§ 203 Abs. 3 StGB beachten (nur bei Auftragsverarbeitung erforderlich).**
 - Mitwirkende Personen muessen zur Verschwiegenheit verpflichtet sein.
 - Berufstraeger muss "im erforderlichen Umfang" offenbaren duerfen.
 - Schriftliche Verpflichtung der mitwirkenden Personen ratsam.
 - § 11 BORA für Rechtsanwaelte; entsprechende Regeln für Steuerberater und Aerzte.

5. **Datenfluss-Vertrag bei Funktionsuebertragung.**
 - Kein AVV erforderlich (Dritter ist eigener Verantwortlicher).
 - Aber Datenuebermittlungsklausel im Mandatsvertrag empfohlen (Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO und ggf. Art. 9 Abs. 2 lit. f DSGVO).
 - Informationspflichten Art. 13/14 DSGVO bei beiden Akteuren.

## Mustertext / Template

A) Klausel im Mandatsvertrag bei Funktionsuebertragung (Steuerberater oder Rechtsanwalt):

> "§ Y Datenschutz
>
> (1) Auftraggeber und [Berufstraeger] verarbeiten personenbezogene Daten jeweils als eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO liegt nicht vor.
>
> (2) Der Auftraggeber uebermittelt [Berufstraeger] die zur Mandatsbearbeitung erforderlichen personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO und – soweit besondere Kategorien personenbezogener Daten betroffen sind – Art. 9 Abs. 2 lit. f DSGVO. [Berufstraeger] verarbeitet die Daten ausschliesslich im Rahmen der gesetzlichen Berufspflichten unter Wahrung der Verschwiegenheitspflicht aus [§ 43a Abs. 2 BRAO / § 57 Abs. 1 StBerG / § 43 Abs. 1 WPO].
>
> (3) Die Informationspflichten gemaess Art. 13 und 14 DSGVO erfuellt jede Partei eigenstaendig gegenueber ihren jeweiligen Betroffenen.
>
> (4) Soweit [Berufstraeger] zur Erbringung der Berufsleistung externe Dienstleister einsetzt, die nicht selbst Berufstraeger im Sinne des § 203 Abs. 1 StGB sind, werden diese gemaess § 203 Abs. 3 StGB i.V.m. [§ 11 BORA / entsprechender Berufsregel] zur Verschwiegenheit verpflichtet."

B) Klausel zur Verpflichtung mitwirkender Personen bei Auftragsverarbeitung:

> "§ Z Verschwiegenheitspflicht des Auftragsverarbeiters (§ 203 Abs. 3 StGB)
>
> (1) Der Auftragsverarbeiter und alle bei ihm zur Verarbeitung der berufsgeheimnisgeschuetzten Daten befugten Personen sind nach Massgabe des § 203 Abs. 3 Satz 2 StGB zur Verschwiegenheit ueber die zur Kenntnis gelangten Tatsachen verpflichtet. Die Verpflichtung wirkt ueber das Ende des Vertragsverhaeltnisses hinaus fort.
>
> (2) Der Auftragsverarbeiter dokumentiert die Verschwiegenheitsverpflichtung seiner Mitarbeiter schriftlich und legt sie dem Verantwortlichen auf Verlangen vor.
>
> (3) Ein Verstoss gegen die Verschwiegenheitspflicht stellt eine wesentliche Pflichtverletzung dar, die den Verantwortlichen zur ausserordentlichen Kuendigung berechtigt; eine etwaige strafrechtliche Verantwortlichkeit nach § 203 StGB bleibt unberuehrt."

## Typische Drafting-Fehler

- Berufstraeger (Steuerberater, Anwalt, Arzt) als Auftragsverarbeiter eingestuft – Funktionsuebertragung uebersehen.
- Externe IT oder Schreibbuero ohne AVV beschaeftigt – § 203 StGB-Strafbarkeitsrisiko.
- Keine Verpflichtung mitwirkender Personen nach § 203 Abs. 3 StGB.
- Informationspflichten Art. 13/14 DSGVO nicht beruecksichtigt.
- Cloud-Speicher für Mandantenakten ohne AVV oder ohne § 203-Klausel.

## Quellen Stand 06/2026

- Art. 4 Nr. 7, Art. 6 Abs. 1, Art. 9 Abs. 2, Art. 28 DSGVO.
- § 203 StGB (Verletzung von Privatgeheimnissen).
- § 43a Abs. 2 BRAO; § 11 BORA.
- § 57 Abs. 1 StBerG; § 43 Abs. 1 WPO.
- EDSA-Leitlinien 07/2020 (Final 07.07.2021), edpb.europa.eu.
- Zitierweise: `../../../references/zitierweise.md`.