Unterschätzte Auftragsdatenverarbeitung

Das Bundesdatenschutzgesetz regelt in § 11 die so genannte Auftragsdatenverarbeitung. Eine solche liegt vor, wenn personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden. Wann genau eine Auftragsdatenverarbeitung vorliegt ist manchmal nicht leicht festzustellen, denn nicht immer, wenn ein Unternehmen sich eines Dritten zur Datenverarbeitung bedient, liegt auch eine Auftragsdatenverarbeitung vor.

Auftragsdatenverarbeitung oder Funktionsübertragung?

Die Auftragsdatenverarbeitung ist insbesondere von der so genannten Funktionsübertragung abzugrenzen. An eine Funktionsübertragung wäre zu denken, wenn die Datenverarbeitung nur eine untergeordnete Rolle bei der jeweiligen Aufgabenübertragung spielt. Bei der Auftragsdatenverarbeitung fungiert der Auftragnehmer lediglich als „verlängerter Arm“ des Auftraggebers. Der Auftragnehmer hat in der Regel keine eigenen Interessen an den Daten, ist weisungsabhängig, hat strikte Vorgaben über die Verarbeitung der Daten, darf und muss von der verantwortlichen Stelle hinsichtlich seines umgesetzten Datenschutzniveaus kontrolliert werden oder verarbeitet ausschließlich Daten, die der Auftraggeber zur Verfügung stellt. Dies sind die wichtigsten, jedoch nur einige der Anhaltspunkte, wann eine Auftragsdatenverarbeitung vorliegt.

Entscheidendes im § 11 BDSG

Gemäß § 11 Abs. 2 S. 2 BDSG ist der Auftrag der Datenverarbeitung schriftlich zu erteilen, wobei  die so genannten „Acht Gebote des Datenschutzes“ Beachtung finden müssen. Im Einzelnen sollten folgende Punkte festgelegt werden:

1. der Gegenstand und die Dauer des Auftrags,

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

4. die Berichtigung, Löschung und Sperrung von Daten,

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Die Praxis als Datenschutzbeauftragter zeigt, dass es im Rahmen der Auftragsdatenverarbeitung viele Missverständnisse gibt. Das Datenschutzniveau einer jeden verantwortlichen Stelle hat sich immer im Rahmen des „Erforderlichen“ zu bewegen. Es liegt auf der Hand, dass das Schutzniveau für so genannte sensible Daten nach § 3 Abs. 9 BDSG sich von dem gewöhnlicher Kundendaten unterscheidet. Auftraggeber, die hier ein derartig hohes Schutzniveau fordern, dass die Grenzen der Praktikabilität und Wirtschaftlichkeit erreicht werden können, gibt es immer wieder. Tatsächlich hat der Auftraggeber den Auftragnehmer entsprechend zu kontrollieren. Anders lässt sich auch die gesetzliche Privilegierung des Auftraggebers nicht rechtfertigen, dass er personenbezogene Daten durch eine eigentlich fremde Stelle im Auftrag verarbeiten darf. Sich taub, blind oder stumm zu stellen, wäre hiermit nicht vereinbar und könnte auch haftungsrechtliche Folgen haben.

Auftragsdatenverarbeitung innerhalb Europas und USA?

Auftragsdatenverarbeitungsverhältnisse innerhalb der Europäischen Union und des Europäischen Wirtschaftsraumes, also noch im Anwendungsbereich der so genannten Datenschutz Richtlinie 95/46/EG können recht unkompliziert vereinbart werden. Auftragsdatenverarbeitung in so genannte Drittländer außerhalb dieses Anwendungsbereiches, dazu gehören auch die USA, bedeuten ganz besondere Voraussetzungen an die Auftragsdatenverarbeitung und insbesondere an die Kontrollpflichten des Auftraggebers. Wir berichteten bereits, dass die deutschen Aufsichtsbehörden das so genannte Safe-Harbor-Abkommen mit den USA infrage stellen, welches Datenübermittlungen in die USA noch privilegiert.

Bei der Vertragsgestaltung der Auftragsdatenverarbeitung ist zudem zu beachten, dass sie zu nächst nur eine besondere datenschutzrechtliche Regelung ist, die sich an einen „richtigen„ Leistungsvertrag orientiert, z.B. an einen Webhosting-Vertrag. Die datenschutzrechtliche Praxis zeigt, dass Parteien, die nicht allzu gut beraten waren, im Rahmen der Auftragsdatenverarbeitung auch datenschutzfremde Aspekte mitregeln. Dies birgt die Gefahr, dass die Auftragsdatenverarbeitung und der entsprechende Hauptleistungsvertrag nicht mehr synchron laufen, wie z.B. Haftungsfragen. Im Sinne einer schönen und klaren Vertragsgestaltung ist dies nicht optimal.

Fragen Sie uns!

Rechtsanwalt Thomas Feil

 
1 Star2 Stars3 Stars4 Stars5 Stars (Noch keine Bewertungen)
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen