Auftragsdatenverarbeitung

Aus Datenschutz-Wiki
Zur Navigation springen Zur Suche springen

Auftragsdatenverarbeitung (kurz: ADV), nach § 11 BDSG, war bis Mai 2018 die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle. Im Mai 2018 wurde sie von der Auftragsverarbeitung (AVV) nach Art. 28 DSGVO abgelöst.

§ 11 BDSG beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind.

Pflichten zur Vertragsgestaltung nach § 11 BDSG

  1. Der Auftraggeber bleibt im Falle von ADV voll für die Einhaltung der Bestimmungen des BDSG verantwortlich. Rechte von Betroffenen sind gegen den Auftraggeber geltend zu machen.
  2. Der Auftragnehmer ist Aufgrund der Tauglichkeit der Sicherheitsvorkehrungen zum Schutz personenbezogener Daten auszuwählen
  3. Der Auftrag muss schriftlich erteilt werden, wobei mindestens folgende Gegenstände geregelt sein müssen
    • Gegenstand und Dauer des Auftrages (um was für eine Dienstleitung handelt es sich und wie lange soll die Dienstleistung andauern)
    • Umfang, Art und Zweck der Dienstleistung (Wozu dient die Dienstleistung, welcher Zielerreichung ist sie dienlich, mit welchen Mitteln wird dies erreicht)
    • Art der Daten (welche Daten oder Datenkategorien werden verarbeitet, erhoben oder genutzt)
    • Kreis der Betroffenen (Wessen personenbezogene Daten werden verarbeitet, z.B. Mitarbeiter oder Kunden des Auftraggebers)
    • konkrete Festlegung der zu treffenden technischen und organisatorischen Maßnahmen
    • Sicherstellung, dass gewährleistet ist, dass personenbezogene Daten berichtigt, gelöscht oder gesperrt werden können
    • Pflichten des Auftragnehmers, insbesondere welche Kontrollen er vorzunehmen hat
    • Berechtigung zur Begründung von Unterauftragsverhältnissen
    • Kontrollrechte des Auftraggebers
    • Duldungs- und Mitwirkungspflichten bei diesen Kontrollen
    • Mitteilungspflicht des Auftragnehmers bei Verstößen gegen das BDSG oder den Vertrag
    • Weisungsbefugnisse
    • Verfahrensweise mit Datenträgern und Unterlagen bei Ende der Dienstleistung
  4. Kontrollpflicht des Auftraggebers ggü. dem Auftragnehmer vor Vertragsbeginn und regelmäßig während der Laufzeit des Vertrages bzgl. der technischen und organisatorischen Maßnahmen
  5. Dokumentationspflicht dieser Kontrolle

Beispiele zur Auftragsdatenverarbeitung

  1. Beauftragung eines Callcenters zur Kundenkommunikation
  2. Ablage von personenbezogenen Daten auf extern gehosteten Servern. (Egal ob für Produktivsysteme oder Backups)(Gola/Schomerus verneinen hier ADV, da er Hoster ja nichts mit der eigentlichen DV zu tun hat. Anm. d. A: Der Hoster wird aber für die Wartung der Systeme verantwortlich sein, dabei kann eine Kenntnisnahme nicht ausgeschlossen werden, also doch ADV?)
  3. Wartungsdienstleistungen, bei denen nicht ausgeschlossen werden kann, dass während der Wartung personenbezogene Daten zur Kenntnis gelangen
    • Wartung von IT-Systemen
    • Wartung von TK-Anlagen
  4. Entsorgung von Akten oder Datenträgern durch externe Unternehmen

Keine ADV liegt per Definition beim Postversand oder Bankgeschäften vor.

Abgrenzung zur Funktionsübertragung

Die Abgrenzung zwischen ADV und Funktionsübertragung ist nicht eindeutig zu ziehen. In der Regel kann man sagen, dass die verarbeitende Stelle eine Funktion übernimmt, wenn sie eine "rechtliche Funktion" übernimmt. Eine solche Konstellation ist häufig in Konzernen vorhanden, in welchen die Konzernmutter z.B. die Personalverwaltung zentralisiert. In Fällen von Funktionsübertragung besteht, formal, keine Pflicht einen Vertrag gemäß § 11 BDSG zu schließen. Dies wäre im Beispiel der Konzernmutter auch schlecht durchsetzbar, da die verantwortlichen Mitarbeiter ggü. der Konzernmutter in einer Abhängigkeit stehen. In solchen Fällen kann sich die eigentliche verantwortliche Stelle auf § 28 Abs. 1 Nr. 2 beziehen. Eine zentrale Personalverwaltung im Konzern ist üblich und durchaus im Interesse der verantwortlichen Stelle. Um der Informiertheit des Betroffenen Rechnung zu tragen sollten die Mitarbeiter über die Übermittlung der Daten, etwa im Rahmen des Arbeitsvertrages, in Kenntnis gesetzt werden.

Siehe auch Checkliste Erkennungsmerkmale für Datenverarbeitung im Auftrag/Funktionsübertragung.

Bußgelder

Wer eine ADV auch nur unvollständig im Sinne des § 11 BDSG vergibt oder sich nicht vor Beginn der ADV von den TOMs beim Auftragnehmer überzeugt kann nach § 43 Abs. 1 Nr. 2b mit einem Bußgeld bis 50.000,-€ bestraft werden.

Best Practice

Legitim ist auch die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des BDSG genüge getan ist. Insofern wäre z.B. ein Siegel ISO 9001 nicht im Kontext des Datenschutzes als ausreichend zu erachten, eine Zertifizierung nach ISO 27001, auch wenn eigentlich auf IT-Sicherheit ausgelegt, schon. Ebenfalls möglich wäre es, einen Dritten mit der Prüfung der TOMs beim Auftragnehmer zu beauftragen und dessen Urteil als maßgeblich zu erachten.

  • Im Konzern sollte man sich überlegen ob man mit ADV-Verträgen agiert. In der Regel sind die Kontrollpflichten ggü. der Konzernmutter sowieso nicht durchsetzbar und werden somit wohl eher nichtig. Insofern sollte (und darf) man sich auf die Notwendigkeit der Datenübermittlung berufen. (Anm. d. Autors: Dieser Punkt wird aber als durchaus strittig angesehen.)
  • In Fällen von international verflochtenen Konzernen mit unsicheren Drittländern kann man sich nicht auf die Interessen der verantwortlichen Stelle berufen. Hier sind bei einer Interessenabwägung die schutzwürdigen Interessen der Betroffenen wohl als vorgehend zu betrachten. Eine solche Übermittlung ist wohl nur machbar, wenn zwischen den Konzernteilen Standardvertragsklauseln geschlossen wurden.


Musterverträge

Mustervereinbarung Auftragsdatenverarbeitung

Weitere

  1. Muster der GDD
  2. Englischsprachiges Muster der GDD
  3. Muster von say-ho.com
  4. Muster der Datenschutzaufsichtsbehörde für Hessen

Ein Mustervertrag zu § 11 BDSG ist auch im Anhang zur Kommentierung bei Bergmann/Möhrle/Herb abgedruckt (und findet sich auf deren CD-ROM).


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.