• 0228 955 0220

Auftragsdatenverarbeitung – Bedeutung und Pflichten

© Ela Niedziela/Fotolia
Auftragsdatenverarbeitung

Das „Auftragsdatenverarbeitung“ ist nicht nur ein langes Wort, sondern es ist in der Tat auch noch sehr gehaltvoll. Die sich auf dieses Wort beziehenden gesetzlichen Regelungen greifen auf extrem viele Bereiche zu. Für manch einen ist es oftmals nicht einmal klar, ob er von Vorschriften überhaupt betroffen ist. Die Bedeutung des Begriffes klar definiert. Dennoch kommt es immer wieder zu Missverständnissen, was die daraus resultierenden Pflichten betrifft. Die Auftragsdatenverarbeitung liegt dann vor, wenn ein Auftraggeber einen externen Auftragnehmer mit der Erhebung, Verarbeitung oder Nutzung von Daten beauftragt (§ 3 Abs. 3–5 Bundesdatenschutzgesetz).

Gerade wenn es sich um die Lohnbuchhaltung oder die Personalbeschaffung handelt, haben viele Unternehmen diese Aufgaben ausgelagert, weil die Unternehmen häufig mit dieser Maßnahme Rechtssicherheit erlangen und auch Kosten einsparen wollen. Genau in diesem Moment verarbeiten dann diese Unternehmen die personenbezogenen Daten nicht mehr selber, sondern geben diese Aufgaben an externe Partner weiter.

Viele Bereiche zählen zur Auftragsdatenverarbeitung

Das bedeutet, dass alle Pflichten der Auftragsdatenverarbeitung für viele Bereiche in Kraft treten. Wird beispielsweise eine Marketingagentur beauftragt, Statistiken zu erstellen, etwa für den Versand von Newslettern, oder die Kundenzufriedenheit festzustellen, so verarbeitet diese Agentur die Kundendaten des Unternehmens, von dem sie beauftragt wurde. Gleiches gilt für die ausgelagerte Lohnbuchhaltung oder das Beauftragen eines Callcenters zur Kundenakquise.

An dieser Stelle sind schon einige Unternehmen dem Irrglauben aufgesessen, sie seien nicht von der Verordnung der Auftragsdatenverarbeitung betroffen. Allzu häufig wird dabei übersehen, dass diese Vorschriften aber auch im Rahmen von Prüfungs- und Wartungsverträgen angewendet werden müssen. Diese Vorschrift ist mit dem Zusatz versehen: „Wenn der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“ Und hierdurch wird eine riesige Anzahl an Aufträgen umfasst.

Diese Regel greift in folgenden Fällen

Ein Programmierer soll ein Software-Update für einen Onlineshop-Betreiber installieren. Sollte der Programmierer hierbei auch Zugriff auf die Kundendaten haben, unterliegt dies bereits der Auftragsdatenverarbeitung. Gleiches gilt für einen beauftragten Webdesigner, der für die Erstellung eines Blogs die Zugangsdaten für die Datenbank erhält, auf der sich ebenfalls die Kunden- oder Nutzerdaten befinden. Auch die Wartung eines Servers durch einen IT- Dienstleister kann bereits zur Auftragsdatenverarbeitung zählen, sofern auf dem betroffenen Server Nutzerdaten gespeichert sind.

Selbst die Aktenvernichtung, die ausgelagert ist, wird ebenfalls der Auftragsdatenverarbeitung zugerechnet. Sobald also jemand die Möglichkeit hat, in welcher Form auch immer auf personenbezogene Daten zuzugreifen, unterliegt das bereits den Vorschriften der Auftragsdatenverarbeitung.

Personenbezogenen Daten – was ist das genau?

Auch hier kam es bei Unternehmen schon zu folgenschweren Irrtümern. Denn häufig wird davon ausgegangen, dass hier ausschließlich die persönlichen Daten gemeint sind, zu denen Name, E-Mail-Adresse, die religiöse Zugehörigkeit oder sexuelle Ausrichtung gehören.

Allerdings versteht das Gesetz darunter einen sehr viel umfassenderen Bereich. Hier sind sämtliche Informationen gemeint, mit denen man eine Person zurückverfolgen kann. Sobald ein Login-Name oder ein personenbezogenes Datum mit dem realen Namen verknüpft werden kann, zählt auch das zu den personenbezogen Daten.

Bereits wenn man ein Datum damit verknüpfen kann, dass jemand etwas online angesehen oder gekauft beziehungsweise. einen Kommentar oder eine Bewertung abgegeben hat, oder das Datum im Zusammenhang mit dem Foto einer Person steht oder Ähnliches, wird das ebenfalls den personenbezogenen Daten zugerechnet.

Die schriftliche Vereinbarung

Tatsächlich sehr wichtig ist, dass – wann immer Aufträge mit personenbezogenen Daten in Berührung kommen – es zwingend einer besonderen schriftlichen Vereinbarung zwischen dem Auftraggeber und Auftragnehmer über die Auftragsdatenverarbeitung bedarf. Dies regelt § 11 BDSG.

Inhalt der Auftragsdatenverarbeitung laut § 11 Abs. 2 BDSG enthalten

In einer entsprechenden Vereinbarung gilt es, die folgenden wichtigen Dinge zu erfassen:

Gegenstand und Dauer des Auftrages müssen bestimmt sein. Ebenso Art, Zweck und Umfang der Erhebung der Daten sowie deren Verarbeitung und Nutzung. Auch die Art der Daten sowie der Kreis der Betroffenen müssen definiert sein. Es muss klar abgegrenzt sein, welche technischen und organisatorischen Maßnahmen für die Verarbeitung der nach § 9 definierten Daten getroffen werden. Ebenso bedarf es der Bestimmung, wie mit der Berichtigung von Daten bzw. deren Löschung oder Sperrung zu verfahren ist. Weiterer Regelung bedarf es hinsichtlich der nach § 11 Abs. 4 bestehenden Pflichten und Kontrollen seitens des Auftragnehmers. Bedarf es der Begründung eines Unterauftragsverhältnisses, so ist auch eine diesbezügliche Berechtigung zu regeln.

Für all diese Regelungen hat der Auftraggeber entsprechende Kontrollrechte, die ebenfalls in der Vereinbarung festzuhalten sind. Bei evtl. Kontrollen bestehen aufseiten des Auftragnehmers entsprechende Pflichten hinsichtlich der Duldung und Mitwirkung. Nicht zuletzt wird in dieser Vereinbarung auch zu regeln sein, wie sich der Auftragnehmer bei Verstößen durch ihn oder bei ihm beschäftigte Personen zu verhalten hat. Weiter zu vereinbarende Punkte wären noch ein Umfang der Weisungsbefugnisse des Auftraggebers in Bezug auf den Auftragnehmer sowie eine Rückgabe von überlassenen Datenträgern nach Erledigung eines Auftrages und die Löschung von beim Auftragnehmer gespeicherten Daten.

Standardvereinbarung – ja oder nein?

Ganz wichtig ist, dass hier keine Standardvereinbarung verwendet werden darf, denn das Gesetz schreibt für jeden Auftrag eine gesonderte Vereinbarung vor. Dies betrifft, welche Arbeiten genau durchgeführt werden und welchen Zeitraum sie in Anspruch nehmen. Wichtig ist ebenfalls, dass eine schriftliche Vereinbarung allein nicht ausreicht, denn die Gesetzgebung verpflichtet ebenfalls dazu, zu überprüfen, ob die datenschutzrechtlichen Vorgaben auch erfüllt werden.

Diese Überprüfung kann unter anderem durch eine Vor-Ort-Kontrolle oder auch die Beauftragung eines Sachverständigen erfolgen. Ebenso ist es möglich, auf eine schriftliche Beschreibung zurückzugreifen. Welches Prüfverfahren hier seine Anwendung findet, hängt aber vom Einzelfall ab. Handelt es sich beispielsweise um den Zugriff auf tausende von Kundendaten, werden Vor-Ort-Kontrollen regelmäßig stattfinden müssen.

Handelt es sich aber zum Beispiel um die Wartung eines kleinen Onlineshops mit wenigen hundert Kunden, so reicht in der Regel die schriftliche Beschreibung aus. Für alle Kontrollen gilt aber, dass deren Ergebnisse zu dokumentieren sind.

Wer ist für die Auftragsdatenverarbeitung verantwortlich?

Häufig wird angenommen, dass nach Abschluss des Vertrages nur noch der Auftragnehmer für die Datensicherheit verantwortlich ist. Das ist allerdings ein Trugschluss, denn der Auftraggeber bleibt der Hauptverantwortliche für die Sicherheit der Daten. Schließlich bleibt er für die Überwachung des Auftragnehmers verantwortlich. Zusätzlich ist er in der Pflicht, bei Erklärungen die ihm verdächtig erscheinen, einzuschreiten. Allerdings ist ebenso der Auftragnehmer verpflichtet, für die Sicherheit der Daten zu sorgen. Darüber hinaus hat er den Auftraggeber bei einer gefährdeten Datensicherheit unverzüglich zu informieren.

Fazit

Die Anforderungen, die die Auftragsdatenverarbeitung mit sich bringt, sind recht komplex und dazu noch vom Einzelfall abhängig. Hier gibt es nur zwei Möglichkeiten. Entweder man befasst sich sehr intensiv mit dem Thema oder greift auf die Unterstützung durch eine qualifizierte Person zurück. Zu diesem Personenkreis zählen natürlich die Datenschutzbeauftragten oder Anwälte, deren Fachgebiet das Datenschutzrecht ist.


Das könnte Sie auch interessieren: Datenschutzbeauftragter – Aufgaben und Pflichten

* Selbstverständlich können Sie den 150 Euro Gutschein sowie eBooks und Leitfäden auch unabhängig von einer Newsletter-Anmeldung anfordern. Schreiben Sie uns dazu bitte eine kurze E-Mail mit Link zu dieser Seite.

Copyright © 2019 [r]evolution. Impressum | Datenschutz