Auftragsdatenverarbeitung

Aus Datenschutz-Wiki
Wechseln zu: Navigation, Suche

Auftragsdatenverarbeitung (kurz: ADV), im Sinne des BDSG, ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle. §11 BDSG beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind.

Pflichten zur Vertragsgestaltung nach §11 BDSG

  1. Der Auftraggeber bleibt im Falle von ADV voll für die Einhaltung der Bestimmungen des BDSG verantwortlich. Rechte von Betroffenen sind gegen den Auftraggeber geltend zu machen.
  2. Der Auftragnehmer ist Aufgrund der Tauglichkeit der Sicherheitsvorkehrungen zum Schutz personenbezogener Daten auszuwählen
  3. Der Auftrag muss schriftlich erteilt werden, wobei mindestens folgende Gegenstände geregelt sein müssen
    • Gegenstand und Dauer des Auftrages (um was für eine Dienstleitung handelt es sich und wie lange soll die Dienstleistung andauern)
    • Umfang, Art und Zweck der Dienstleistung (Wozu dient die Dienstleistung, welcher Zielerreichung ist sie dienlich, mit welchen Mitteln wird dies erreicht)
    • Art der Daten (welche Daten oder Datenkategorien werden verarbeitet, erhoben oder genutzt)
    • Kreis der Betroffenen (Wessen personenbezogene Daten werden verarbeitet, z.B. Mitarbeiter oder Kunden des Auftraggebers)
    • konkrete Festlegung der zu treffenden technischen und organisatorischen Maßnahmen
    • Sicherstellung, dass gewährleistet ist, dass personenbezogene Daten berichtigt, gelöscht oder gesperrt werden können
    • Pflichten des Auftragnehmers, insbesondere welche Kontrollen er vorzunehmen hat
    • Berechtigung zur Begründung von Unterauftragsverhältnissen
    • Kontrollrechte des Auftraggebers
    • Duldungs- und Mitwirkungspflichten bei diesen Kontrollen
    • Mitteilungspflicht des Auftragnehmers bei Verstößen gegen das BDSG oder den Vertrag
    • Weisungsbefugnisse
    • Verfahrensweise mit Datenträgern und Unterlagen bei Ende der Dienstleistung
  4. Kontrollpflicht des Auftraggebers ggü. dem Auftragnehmer vor Vertragsbeginn und regelmäßig während der Laufzeit des Vertrages bzgl. der technischen und organisatorischen Maßnahmen
  5. Dokumentationspflicht dieser Kontrolle


Beispiele zur Auftragsdatenverarbeitung

  1. Beauftragung eines Callcenters zur Kundenkommunikation
  2. Ablage von personenbezogenen Daten auf extern gehosteten Servern. (Egal ob für Produktivsysteme oder Backups)
  3. Wartungsdienstleistungen, bei denen nicht ausgeschlossen werden kann, dass während der Wartung personenbezogene Daten zur Kenntnis gelangen
    • Wartung von IT-Systemen
    • Wartung von TK-Anlagen
  4. Entsorgung von Akten oder Datenträgern durch externe Unternehmen


Keine ADV liegt per Definition beim Postversand oder Bankgeschäften vor.

Abgrenzung zur Funktionsübertragung

Platzhalter

Bußgelder

Platzhalter

Musterverträge

  1. Muster der GDD
  2. Muster von say-ho.com
  3. Muster der Datenschutzaufsichtsbehörde für Hessen