Beim Outsourcing wird traditionell zwischen Auftragsdatenverarbeitung und Funktionsübertragung unterschieden. Die Auftragsdatenverarbeitung im Sinne von § 11 BDSG ist dabei dadurch gekennzeichnet, dass der Auftragnehmer personenbezogene Daten streng nach den Weisungen des Auftraggebers verarbeitet. Der Auftragnehmer zur “verlängerten Werkbank” des Auftraggebers und wir diesem datenschutzrechtlich zugerechnet, so dass die Überlassung von Daten an den Auftragnehmer (innerhalb der EU bzw. des EWR) im Rahmen des Auftrags nicht als Datenübermittlung im Sinne des BDSG angesehen wird.
Dagegen wird bei Funktionsübertragung eine betriebswirtschaftliche Funktion auf den Dienstleister ausgelagert. Im Zuge dessen hat der Dienstleister beim Datenumgang typischerweise Entscheidungsspielräume, tritt ggf. Dritten gegenüber im eigenen Namen auf und geht insgesamt eigenverantwortlich mit den Daten um. In diesem Fall liegt kein Fall des § 11 BDSG vor, sondern eine rechtfertigungsbedürftige Datenübermittlung.
Da für Auftragsdatenverarbeitung und Funktionsübertragung datenschutzrechtlich unterschiedliche Vorschriften gelten, hat die Unterscheidung für die datenschutzgerechte Gestaltung des Outsourcing erhebliche Bedeutung. Die Datenschutzbehörden haben daher eine Reihe von Orientierungshilfen und Kriterien zur Unterscheidung veröffentlicht (z.B. LfD B-W, LfD Bayern). Allerdings bleibt die Abgrenzung in der Praxis oft schwierig und ist zum Teil umstritten.