Auftragsdatenverarbeitung nach § 11 BDSG

Nehmen Unternehmen für ihre Zwecke externe Dienste in Anspruch und lagern somit bestimmte Aufgaben an Dritte aus (sog. Outsourcing), so geht damit meist die Weitergabe interner Daten einher.

Werden dabei personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, dann liegt i.S.d § 11 I 1 BDSG eine Auftragsdatenverarbeitung vor, welche für ihre Rechtmäßikeit bestimmte Voraussetzungen zwingend vorschreibt und einen Vertrag beider Parteien erforderlich macht. Diese sind in § 11 II 2 BDSG näher definiert. Zudem obliegt die Verantwortung über die ordnungsgemäße Durchführung und Einhaltung datenschutzrechtlicher Vorschriften nach § 11 I 1 BDSG dem Auftraggeber.

Beispiele einer Auftragsdatenverarbeitung
  • Outsourcing im Rahmen von Cloud-Computing (externe Rechenzentren mit Zugriff auf Daten, sog. Hosting)
  • externe Lohn- und Gehaltsabrechnungen
  • ausgelagerte Call-Center
  • externe Direktmarketing-Agenturen (Newsletter-Versand, Lettershops)
  • Datenträgervernichtung durch Entsorgungsunternehmen
Keine Auftragsdatenverarbeitung sind:
  •  ausgelagerte Rechenzentren ohne Zugriff auf Daten (sog. Housing)
  • Reinigungs- und Handwerkerleistungen
  • Datentransport durch Post- und Kurierdienste

Anforderungen

Nach § 11 II 2 BDSG hat ein Auftragsdatenverarbeitungsvertrag schriftlich zu erfolgen. Der Vertragsinhalt ist in einem Zehn-Punkte-Katalog festgelegt und als Mindestvertragsbestandteil zwingend für den Inhalt. Diese sind:

  • Gegenstand und Dauer des Auftrags
  • Umfang, Art und Zweck der Datenverarbeitung
  • technische und organisatorische Maßnahmen des Auftragnehmers
  • Löschung, Berechtigung und Sperrung von Daten
  • Kontrollrechte des Auftraggebers
  • evtl. Berechtigung zu Unterauftragsverhältnissen
  • Duldung und Mitwirkung des Auftragnehmers bei Kontrollen
  • Meldung bei Verstößen
  • Umfang der Weisungsbefugnisse
  • Rückgabe und Löschung der Daten nach Auftragsbeendigung

Fehlt eine der Voraussetzungen, so ist der Vertrag nicht ordnungsgemäß erfolgt. Die Erweiterung des Vertragsinhalts um weitere Punkte bleibt dagegen möglich.

Pflichten des Auftraggebers

Den Auftraggeber trifft die Kontroll- und Dokumen-tationspflicht über die Einhaltung der technischen und organisatorischen Maßnahmen nach § 9 BDSG, die er vor Beginn und dann regelmäßig durchzuführen hat. Dabei hat er die Auswahl des Auftragnehmers sorgfältig zu treffen, § 11 I 1 BDSG. Bei Rechtsverletzungen hat er die Konsequenzen aus §§ 6, 7, 8 BDSG zu tragen, § 11 I 1 BDSG.

Ort der Kontrolle                                                     

Hier stellt sich natürlich die Frage, wie und vor allem wo die Kontrollen auszuführen sind. Aus dem Gesetzestext lassen sich keine Hinweise auf die Erforderlichkeit eine Vor-Ort-Kontrolle entnehmen. Der Auftraggeber kann seiner Kontrollpflichten daher auch auf andere Weise nachgehen (Gola/Schomerus/ Gola/Klug/Körffer, BDSG, § 11 Rn. 21), z.B. durch Einschaltung von Sachverständigen, Fragebögen, durch Anforderungen von Prüfergebnissen oder anerkannten Zertifikaten wie ISO 27001 (Spindler/Schuster/ Nink/Spindler, BDSG, § 11 Rn. 22). Bei der Prüfung der schriftlichen Dokumente und Zertifikate ist darauf zu achten, dass auch tatsächlich die vertraglich vereinbarten technischen und organisatorischen Maßnahmen abgebildet werden.

Welche Folgen ergeben sich?

Die Verantwortung über die ordnungsgemäße Durchführung liegt beim Auftraggeber. Da der Auftragnehmer an dessen Weisungen gebunden, § 11 III 1 BDSG und deshalb kein Dritter ist, findet auch keine Datenverarbeitung oder -übermittlung i.S.d § 3 IV Nr. 3, VIII 3 BDSG statt. Es bedarf folglich keiner Einwilligung des Betroffenen, was die Weitergabe der Daten erheblich erleichtert. Jedoch müssen die Voraussetzungen des § 11 II 1, 2 BDSG streng beachtet werden.

Bei Verstößen kann mit Bußgeldern bis hin zu 50.000,- € gerechnet werden, § 43 I Nr. 2b BDSG.

 

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Externer Datenschutzbeauftragter

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.