Auftragsdatenverarbeitung: Unterschied zwischen den Versionen

Aus Datenschutz-Wiki
Wechseln zu: Navigation, Suche
K (Best Practice: wikilink korrigiert)
K (Verweis)
 
(20 dazwischenliegende Versionen von 8 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Auftragsdatenverarbeitung (kurz: ADV), im Sinne des BDSG, ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der [[verantwortliche Stelle| verantwortlichen Stelle]].  
+
'''Auftragsdatenverarbeitung''' (kurz: '''ADV'''), nach {{bdsgl|11}} [[BDSG]], war bis Mai 2018 die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der [[verantwortliche Stelle|verantwortlichen Stelle]]. Im Mai 2018 wurde sie von der [[Auftragsverarbeitung]] (AVV) nach Art. 28 DSGVO abgelöst.
[http://www.gesetze-im-internet.de/bdsg_1990/__11.html §11 BDSG] beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind.
 
  
==Pflichten zur Vertragsgestaltung nach §11 BDSG==
+
{{bdsgl|11}} BDSG beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind.
 +
 
 +
== Pflichten zur Vertragsgestaltung nach § 11 BDSG ==
 
# Der Auftraggeber bleibt im Falle von ADV voll für die Einhaltung der Bestimmungen des BDSG verantwortlich. Rechte von Betroffenen sind gegen den Auftraggeber geltend zu machen.
 
# Der Auftraggeber bleibt im Falle von ADV voll für die Einhaltung der Bestimmungen des BDSG verantwortlich. Rechte von Betroffenen sind gegen den Auftraggeber geltend zu machen.
 
# Der Auftragnehmer ist Aufgrund der Tauglichkeit der [[technische und organisatorische Maßnahmen| Sicherheitsvorkehrungen zum Schutz personenbezogener Daten]] auszuwählen
 
# Der Auftragnehmer ist Aufgrund der Tauglichkeit der [[technische und organisatorische Maßnahmen| Sicherheitsvorkehrungen zum Schutz personenbezogener Daten]] auszuwählen
Zeile 21: Zeile 22:
 
# Kontrollpflicht des Auftraggebers ggü. dem Auftragnehmer vor Vertragsbeginn und regelmäßig während der Laufzeit des Vertrages bzgl. der technischen und organisatorischen Maßnahmen
 
# Kontrollpflicht des Auftraggebers ggü. dem Auftragnehmer vor Vertragsbeginn und regelmäßig während der Laufzeit des Vertrages bzgl. der technischen und organisatorischen Maßnahmen
 
# Dokumentationspflicht dieser Kontrolle
 
# Dokumentationspflicht dieser Kontrolle
 
 
  
 
==Beispiele zur Auftragsdatenverarbeitung==
 
==Beispiele zur Auftragsdatenverarbeitung==
Zeile 31: Zeile 30:
 
#*Wartung von TK-Anlagen
 
#*Wartung von TK-Anlagen
 
#Entsorgung von Akten oder Datenträgern durch externe Unternehmen
 
#Entsorgung von Akten oder Datenträgern durch externe Unternehmen
 
  
 
'''Keine ADV''' liegt per Definition beim Postversand oder Bankgeschäften vor.
 
'''Keine ADV''' liegt per Definition beim Postversand oder Bankgeschäften vor.
  
==Abgrenzung zur Funktionsübertragung==
+
== Abgrenzung zur Funktionsübertragung ==
 
 
 
Die Abgrenzung zwischen ADV und Funktionsübertragung ist nicht eindeutig zu ziehen.
 
Die Abgrenzung zwischen ADV und Funktionsübertragung ist nicht eindeutig zu ziehen.
 
In der Regel kann man sagen, dass die verarbeitende Stelle eine Funktion übernimmt, wenn sie
 
In der Regel kann man sagen, dass die verarbeitende Stelle eine Funktion übernimmt, wenn sie
eine "rechtliche Funktion" übernimmt.  
+
eine "rechtliche Funktion" übernimmt. Eine solche Konstellation ist häufig in Konzernen vorhanden, in welchen die Konzernmutter z.B. die Personalverwaltung zentralisiert.
Eine solche Konstellation ist häufig in Konzernen vorhanden, in welchen die Konzernmutter z.B.
+
In Fällen von Funktionsübertragung besteht, formal, keine Pflicht einen Vertrag gemäß {{bdsg|11}} BDSG zu schließen.
die Personalverwaltung zentralisiert.
 
In Fällen von Funktionsübertragung besteht, formal, keine Pflicht einen Vertrag gemäß §11 BDSG zu schließen.
 
 
Dies wäre im Beispiel der Konzernmutter auch schlecht durchsetzbar, da die verantwortlichen Mitarbeiter ggü. der Konzernmutter
 
Dies wäre im Beispiel der Konzernmutter auch schlecht durchsetzbar, da die verantwortlichen Mitarbeiter ggü. der Konzernmutter
 
in einer Abhängigkeit stehen.  
 
in einer Abhängigkeit stehen.  
In solchen Fällen kann sich die eigentliche verantwortliche Stelle auf §28 Absatz 1 Nr. 2 beziehen. Eine zentrale
+
In solchen Fällen kann sich die eigentliche verantwortliche Stelle auf {{bdsgl|28|1||2}} beziehen. Eine zentrale Personalverwaltung im Konzern ist üblich und durchaus im Interesse der verantwortlichen Stelle. Um der Informiertheit des Betroffenen Rechnung zu tragen sollten die Mitarbeiter über die Übermittlung der Daten, etwa im Rahmen des Arbeitsvertrages, in Kenntnis gesetzt werden.
Personalverwaltung im Konzern ist üblich und durchaus im Interesse der verantwortlichen Stelle.
 
Um der Informiertheit des Betroffenen Rechnung zu tragen sollten die Mitarbeiter über die Übermittlung der Daten, etwa im Rahmen
 
des Arbeitsvertrages, in Kenntnis gesetzt werden.
 
  
 +
Siehe auch [[Checkliste Datenverarbeitung im Auftrag#Datenverarbeitung im Auftrag oder Funktions.C3.BCbertragung|Checkliste Erkennungsmerkmale für Datenverarbeitung im Auftrag/Funktionsübertragung]].
  
==Bußgelder==
+
== Bußgelder ==
Wer eine ADV auch nur unvollständig im Sinne des §11 BDSG vergibt oder sich nicht vor Beginn der ADV von den TOMs beim Auftragnehmer überzeugt kann nach §43 Absatz 1 Nummer 2b mit einem Bußgeld bis 50.000,-€ bestraft werden.
+
Wer eine ADV auch nur unvollständig im Sinne des {{bdsg|11}} BDSG vergibt oder sich nicht vor Beginn der ADV von den TOMs beim Auftragnehmer überzeugt kann nach {{bdsgl|43|1||2b}} mit einem [[Bußgeld]] bis 50.000,-€ bestraft werden.
  
 
==Best Practice==
 
==Best Practice==
  
* Die Prüfung der TOMs '''vor''' Auftragsvergabe muss nicht persönlich und nicht vor Ort durchgeführt werden.
+
* Die Prüfung der [[technische und organisatorische Maßnahmen|technischen und organisatorischen Maßnahmen]] (TOMs) '''vor''' Auftragsvergabe muss nicht persönlich und nicht vor Ort durchgeführt werden.
 
Legitim ist auch die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des BDSG genüge getan ist.
 
Legitim ist auch die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des BDSG genüge getan ist.
Insofern wäre z.B. ein Siegel ISO 9001 nicht im Kontext des Datenschutzes als ausreichend zu erachten, eine Zertifizierung nach [[ISO 27001]], auch wenn eigentlich auf IT-Sicherheit ausgelegt, schon.  
+
Insofern wäre z.B. ein Siegel [http://de.wikipedia.org/wiki/ISO_9001 ISO 9001] nicht im Kontext des Datenschutzes als ausreichend zu erachten, eine Zertifizierung nach [http://de.wikipedia.org/wiki/ISO/IEC_27001 ISO 27001], auch wenn eigentlich auf IT-Sicherheit ausgelegt, schon.  
 
Ebenfalls möglich wäre es, einen Dritten mit der Prüfung der TOMs beim Auftragnehmer zu beauftragen und dessen Urteil als maßgeblich zu erachten.
 
Ebenfalls möglich wäre es, einen Dritten mit der Prüfung der TOMs beim Auftragnehmer zu beauftragen und dessen Urteil als maßgeblich zu erachten.
  
 
* Im Konzern sollte man sich überlegen ob man mit ADV-Verträgen agiert. In der Regel sind die Kontrollpflichten ggü. der Konzernmutter sowieso nicht durchsetzbar und werden somit wohl eher nichtig. Insofern sollte (und darf) man sich auf die Notwendigkeit der Datenübermittlung berufen. (Anm. d. Autors: Dieser Punkt wird aber als durchaus strittig angesehen.)
 
* Im Konzern sollte man sich überlegen ob man mit ADV-Verträgen agiert. In der Regel sind die Kontrollpflichten ggü. der Konzernmutter sowieso nicht durchsetzbar und werden somit wohl eher nichtig. Insofern sollte (und darf) man sich auf die Notwendigkeit der Datenübermittlung berufen. (Anm. d. Autors: Dieser Punkt wird aber als durchaus strittig angesehen.)
  
* In Fällen von International verflochteten Konzernen mit [[unsichere Drittländer|unsicheren Drittländern]] kann man sich '''nicht''' auf die Interessen der verantwortlichen Stelle berufen. Hier sind bei einer Interessenabwägung die schutzwürdigen Interessen der Betroffenen wohl als vorgehend zu betrachten. Eine solche Übermittlung ist wohl nur machbar, wenn zwischen den Konzernteilen [[Standardvertragsklauseln]] geschlossen wurden.
+
* In Fällen von international verflochtenen Konzernen mit [[unsichere Drittländer|unsicheren Drittländern]] kann man sich '''nicht''' auf die Interessen der verantwortlichen Stelle berufen. Hier sind bei einer Interessenabwägung die schutzwürdigen Interessen der Betroffenen wohl als vorgehend zu betrachten. Eine solche Übermittlung ist wohl nur machbar, wenn zwischen den Konzernteilen [[Safe Harbor#Garantien|Standardvertragsklauseln]] geschlossen wurden.
 +
 
  
 
==Musterverträge==
 
==Musterverträge==
# [https://www.gdd.de/nachrichten/arbeitshilfen/Mustervereinbarung%20a7%2011%20BDSG_final1.doc Muster der] [[GDD]]  
+
[[Mustervereinbarung Auftragsdatenverarbeitung]]
 +
 
 +
====Weitere====
 +
# [https://www.gdd.de/nachrichten/arbeitshilfen/Mustervereinbarung%20a7%2011%20BDSG_final1.doc Muster der GDD]  
 +
# [https://www.gdd.de/nachrichten/news/englischsprachige-muster-zur-auftragsdatenverarbeitung/ Englischsprachiges Muster der GDD]
 
# [http://www.say-ho.com/auftragsdatenverarbeitung/ Muster von say-ho.com]  
 
# [http://www.say-ho.com/auftragsdatenverarbeitung/ Muster von say-ho.com]  
# [http://www.hessen.de/irj/RPDA_Internet?cid=cc0eeb29fc27e29efe4d7d34acc1e89e Muster der Datenschutzaufsichtsbehörde für Hessen]
+
# [http://www.datenschutz.hessen.de/ft-auftragsdatenverarbeit.htm Muster der Datenschutzaufsichtsbehörde für Hessen]
 +
 
 +
Ein Mustervertrag zu {{bdsg|11}} BDSG ist auch im Anhang zur Kommentierung bei Bergmann/Möhrle/Herb abgedruckt (und findet sich auf deren CD-ROM).
 +
[[Kategorie:Themen]]<noinclude>
 +
{{BfDI-Content}}</noinclude>

Aktuelle Version vom 8. November 2019, 12:25 Uhr

Auftragsdatenverarbeitung (kurz: ADV), nach § 11 BDSG, war bis Mai 2018 die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle. Im Mai 2018 wurde sie von der Auftragsverarbeitung (AVV) nach Art. 28 DSGVO abgelöst.

§ 11 BDSG beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind.

Pflichten zur Vertragsgestaltung nach § 11 BDSG

  1. Der Auftraggeber bleibt im Falle von ADV voll für die Einhaltung der Bestimmungen des BDSG verantwortlich. Rechte von Betroffenen sind gegen den Auftraggeber geltend zu machen.
  2. Der Auftragnehmer ist Aufgrund der Tauglichkeit der Sicherheitsvorkehrungen zum Schutz personenbezogener Daten auszuwählen
  3. Der Auftrag muss schriftlich erteilt werden, wobei mindestens folgende Gegenstände geregelt sein müssen
    • Gegenstand und Dauer des Auftrages (um was für eine Dienstleitung handelt es sich und wie lange soll die Dienstleistung andauern)
    • Umfang, Art und Zweck der Dienstleistung (Wozu dient die Dienstleistung, welcher Zielerreichung ist sie dienlich, mit welchen Mitteln wird dies erreicht)
    • Art der Daten (welche Daten oder Datenkategorien werden verarbeitet, erhoben oder genutzt)
    • Kreis der Betroffenen (Wessen personenbezogene Daten werden verarbeitet, z.B. Mitarbeiter oder Kunden des Auftraggebers)
    • konkrete Festlegung der zu treffenden technischen und organisatorischen Maßnahmen
    • Sicherstellung, dass gewährleistet ist, dass personenbezogene Daten berichtigt, gelöscht oder gesperrt werden können
    • Pflichten des Auftragnehmers, insbesondere welche Kontrollen er vorzunehmen hat
    • Berechtigung zur Begründung von Unterauftragsverhältnissen
    • Kontrollrechte des Auftraggebers
    • Duldungs- und Mitwirkungspflichten bei diesen Kontrollen
    • Mitteilungspflicht des Auftragnehmers bei Verstößen gegen das BDSG oder den Vertrag
    • Weisungsbefugnisse
    • Verfahrensweise mit Datenträgern und Unterlagen bei Ende der Dienstleistung
  4. Kontrollpflicht des Auftraggebers ggü. dem Auftragnehmer vor Vertragsbeginn und regelmäßig während der Laufzeit des Vertrages bzgl. der technischen und organisatorischen Maßnahmen
  5. Dokumentationspflicht dieser Kontrolle

Beispiele zur Auftragsdatenverarbeitung

  1. Beauftragung eines Callcenters zur Kundenkommunikation
  2. Ablage von personenbezogenen Daten auf extern gehosteten Servern. (Egal ob für Produktivsysteme oder Backups)(Gola/Schomerus verneinen hier ADV, da er Hoster ja nichts mit der eigentlichen DV zu tun hat. Anm. d. A: Der Hoster wird aber für die Wartung der Systeme verantwortlich sein, dabei kann eine Kenntnisnahme nicht ausgeschlossen werden, also doch ADV?)
  3. Wartungsdienstleistungen, bei denen nicht ausgeschlossen werden kann, dass während der Wartung personenbezogene Daten zur Kenntnis gelangen
    • Wartung von IT-Systemen
    • Wartung von TK-Anlagen
  4. Entsorgung von Akten oder Datenträgern durch externe Unternehmen

Keine ADV liegt per Definition beim Postversand oder Bankgeschäften vor.

Abgrenzung zur Funktionsübertragung

Die Abgrenzung zwischen ADV und Funktionsübertragung ist nicht eindeutig zu ziehen. In der Regel kann man sagen, dass die verarbeitende Stelle eine Funktion übernimmt, wenn sie eine "rechtliche Funktion" übernimmt. Eine solche Konstellation ist häufig in Konzernen vorhanden, in welchen die Konzernmutter z.B. die Personalverwaltung zentralisiert. In Fällen von Funktionsübertragung besteht, formal, keine Pflicht einen Vertrag gemäß § 11 BDSG zu schließen. Dies wäre im Beispiel der Konzernmutter auch schlecht durchsetzbar, da die verantwortlichen Mitarbeiter ggü. der Konzernmutter in einer Abhängigkeit stehen. In solchen Fällen kann sich die eigentliche verantwortliche Stelle auf § 28 Abs. 1 Nr. 2 beziehen. Eine zentrale Personalverwaltung im Konzern ist üblich und durchaus im Interesse der verantwortlichen Stelle. Um der Informiertheit des Betroffenen Rechnung zu tragen sollten die Mitarbeiter über die Übermittlung der Daten, etwa im Rahmen des Arbeitsvertrages, in Kenntnis gesetzt werden.

Siehe auch Checkliste Erkennungsmerkmale für Datenverarbeitung im Auftrag/Funktionsübertragung.

Bußgelder

Wer eine ADV auch nur unvollständig im Sinne des § 11 BDSG vergibt oder sich nicht vor Beginn der ADV von den TOMs beim Auftragnehmer überzeugt kann nach § 43 Abs. 1 Nr. 2b mit einem Bußgeld bis 50.000,-€ bestraft werden.

Best Practice

Legitim ist auch die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des BDSG genüge getan ist. Insofern wäre z.B. ein Siegel ISO 9001 nicht im Kontext des Datenschutzes als ausreichend zu erachten, eine Zertifizierung nach ISO 27001, auch wenn eigentlich auf IT-Sicherheit ausgelegt, schon. Ebenfalls möglich wäre es, einen Dritten mit der Prüfung der TOMs beim Auftragnehmer zu beauftragen und dessen Urteil als maßgeblich zu erachten.

  • Im Konzern sollte man sich überlegen ob man mit ADV-Verträgen agiert. In der Regel sind die Kontrollpflichten ggü. der Konzernmutter sowieso nicht durchsetzbar und werden somit wohl eher nichtig. Insofern sollte (und darf) man sich auf die Notwendigkeit der Datenübermittlung berufen. (Anm. d. Autors: Dieser Punkt wird aber als durchaus strittig angesehen.)
  • In Fällen von international verflochtenen Konzernen mit unsicheren Drittländern kann man sich nicht auf die Interessen der verantwortlichen Stelle berufen. Hier sind bei einer Interessenabwägung die schutzwürdigen Interessen der Betroffenen wohl als vorgehend zu betrachten. Eine solche Übermittlung ist wohl nur machbar, wenn zwischen den Konzernteilen Standardvertragsklauseln geschlossen wurden.


Musterverträge

Mustervereinbarung Auftragsdatenverarbeitung

Weitere

  1. Muster der GDD
  2. Englischsprachiges Muster der GDD
  3. Muster von say-ho.com
  4. Muster der Datenschutzaufsichtsbehörde für Hessen

Ein Mustervertrag zu § 11 BDSG ist auch im Anhang zur Kommentierung bei Bergmann/Möhrle/Herb abgedruckt (und findet sich auf deren CD-ROM).


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.