Auftragsdatenverarbeitung – die Datenverarbeitung im Auftrag ist ein datenschutzrechtliches Thema

Datenschutz ist Grundrechtsschutz! Unser Datenschutzbeauftragter Rechtsanwalt Sascha Schoor stellt in einem Gastbeitrag die rechtlichen Aspekte dar, die bei der Auftragsdatenverarbeitung zu beachten sind. Als Auftragsdatenverarbeitung wird die Verarbeitung von Daten durch Dritte bezeichnet.

Auftragsdatenverarbeitung unter SchirmEs gibt kaum ein Unternehmen das sämtliche Daten, die im Geschäftsbetrieb anfallen vollständig selbst verarbeitet. Viele Unternehmen bedienen sich externer Dienstleister, die für sie die Datenverarbeitung für einen konkreten Bereich übernehmen. So hat z. B. das Unternehmen für den Bereich der Lohnbuchhaltung ein auf Lohnbuchhaltung spezialisiertes Büro beauftragt, welches nunmehr monatlich die Lohndaten der Mitarbeiter des Unternehmens verarbeitet. Oder es führt Marketingaktionen durch eine externe Agentur durch.

Auftragsdatenverarbeitung

In all diesen Fällen, in denen Datenverarbeitungsprozesse an Dritte ausgelagert werden, spricht man von einer Auftragsdatenverarbeitung. Sowie Daten mit einem Bezug zu natürlichen Personen (personenbezogene Daten) betroffen sind, ist §11 des Bundesdatenschutzgesetzes (BDSG) zu beachten:
Danach ist der Auftrag nicht nur schriftlich zu erteilen, er muss auch bestimmte Regelungen enthalten, die den Missbrauch personenbezogener Daten verhindern sollen. Hierbei listet §11 Abs. 2 BDSG zehn Punkte auf, die im Einzelnen in einer Auftragsdatenverarbeitungsvereinbarung (ADV) von den Parteien festzulegen sind. Hierzu gehört neben der Nennung von Art und Zweck der vorgesehenen Datenverarbeitung insbesondere die Festlegung der technischen und organisatorischen Maßnahmen, die der externe Dienstleister zum Schutz und Sicherung der Daten trifft, die er von dem beauftragenden Unternehmen enthält.

Das BDSG listet die Ziele dieser Maßnahmen in §9 BDSG i. V. m. der Anlage zu §9 Satz 1 auf. Die konkrete Ausgestaltung der zu treffenden Maßnahmen überlässt das Gesetz jedoch den Vertragspartnern. Hier verfügen die Vertragspartner über einen entsprechenden Gestaltungsspielraum, im Rahmen dessen sie den Aufwand für die Umsetzung der Maßnahmen in einem angemessenen Verhältnis zum angestrebten Schutzzweck der zu verarbeitenden Daten setzen können. Des Weiteren sind entsprechende Kontrollrechte des Auftraggebers hierzu und – ganz wichtig! – die Befugnis festzuhalten, dass der Auftraggeber auch direkte Weisung an den Auftragnehmer erteilen kann, wie er die Verarbeitung der Daten vorzunehmen hat.

Was Auftraggeber und externe Dienstleister beachten müssen

Wichtig: Beauftragt ein Unternehmen einen externen Dienstleister mit der Verarbeitung von Daten im Auftrag, so bleibt das beauftragende Unternehmen rechtlich weiter in der Verantwortung der Datenverarbeitungsprozesse. Er kann diese Verantwortung insbesondere nicht mit einer ADV auf den Auftragnehmer abwälzen! Überträgt ein Unternehmen Datenverarbeitungsprozesse auf einen externen Dienstleister, ersetzt eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften nicht die gesetzlich vorgeschriebene ADV.

Fehlt bei einer externen Datenverarbeitung eine entsprechende ADV oder ist diese ungenügend (einzelne Punkte aus §11 Abs. 2 BDSG sind nicht oder nicht hinreichend geregelt), droht dem Auftraggeber (nicht dem Auftragnehmer!) ein Bußgeld von bis zu 50.000€!

Um sicher zu sein, dass Sie sämtliche Auftragsdatenverarbeitungsprozesse in Ihrem Unternehmen erkannt haben, führen Sie ein Audit durch einen Experten durch. Das kann Ihr Datenschutzbeauftragter sein, das kann auch ein externer Berater für Datenschutz sein. Oder hätten Sie gewusst, dass z. B. schon die Wartung Ihrer Datenverarbeitungsanlage durch einen externen Dienstleister Auftragsdatenverarbeitung i. S. des §11 BDSG darstellt?

Zukunftsorientierte Auftragnehmer haben ein intelligentes Datenschutzkonzept implementiert und bieten von sich aus ihren Kunden eine vorformulierte ADV an. So wird auch das Datenschutzkonzept zu einem sehr wirkungsvollem Detail, mit dem sich Unternehmen positiv vom Wettbewerb abheben und ihre Auftraggeber von ihrer Leistungsfähigkeit und Professionalität überzeugen können.

Vita unseres Gastautors

Rechtsanwalt Sascha Schoor hat sein Jurastudium in Würzburg abgeschlossen und sein Referendariat in Brandenburg absolviert, bevor er im Jahr 2000 zur Rechtsanwaltschaft zugelassen wurde. Anschließend ließ er sich bei der Steuer- und Wirtschaftsakademie in Berlin zum Diplom Wirtschaftsjurist (SWA) ausbilden. Als solcher beriet er fortan deutschlandweit internationale Konzerne in IT-rechtlichen Angelegenheiten und spezialisierte sich zunehmend im IT-Vertragsrecht.
Konsequenterweise hat er sich 2011 zum Datenschutzbeauftragten TÜV-zertifizieren lassen, um das vollständige Spektrum des IT-Vertragsrechts anbieten zu können.

Rechtsanwalt Sascha Schoor ist zwischenzeitlich von mehreren Unternehmen als Datenschutzbeauftragter bestellt worden. Sitz seiner Kanzlei „Schoor & Poppe Intervokat Rechtsanwälte“ ist Berlin. Er unterhält den Blog www.power-datenschutz.de und twittert auf www.twitter.com/intervokat.

, , ,


Weitere Artikel zum Thema lesen

Sicherer Systemzugriff

IT Security

Sicherer Systemzugriff für Aushilfen

Beim Einsatz von externen Mitarbeitern, können Unternehmen schnell Gefahr laufen, das eigene Sicherheitskonzept zu verletzen, sofern sie nicht angestellten Personen Zugriff auf das Firmennetzwerk...

weiter lesen

ISO 27001 Zertifizierung – bester Schutz für IT

Biz & Trends, Cloud, Hosting, IT Security

ISO 27001 Zertifizierung – bester Schutz für IT

Aufgrund der Komplexität von Informationstechnik und der Nachfrage nach Zertifizierungen sind in den letzten Jahren zahlreiche Anleitungen, Standards und nationale Normen zur IT-Sicherheit entstanden....

weiter lesen

Intrusion Detection System – System und Netzwerke richtig absichern

Cloud, Hosting, IT Security, IT-News

Intrusion Detection System – System und Netzwerke richtig absichern

Bei der Entwicklung von Webseiten ist die Absicherung des Systems vor Hacking-Attacken wichtig. So unterstützt ein Intrusion Detection System die frühzeitige Erkennung von Angriffen...

weiter lesen


Neueste Nachrichten von ADACOR

IT Security

Hintergründe und aktuelle Informationen zur WannaCry-Attacke

Zum Heulen - wie die bislang größte Malware-Attacke ihren Ausgang nahm und welche Gegenmaßnahmen möglich sind.

weiter lesen

Hosting

Pflege und Aufbau eines Datennetzwerks im Rechenzentrum

Konzeptionelle Vorarbeit inklusive der Planung von Redundanzen beim Aufbau eines Datennetzwerks spart im Betrieb Zeit und Kosten.

weiter lesen

Vulnerability Management

Hosting

Mit Vulnerability Management Sicherheitslücken schließen

Durch regelmäßiges Scannen werden Schwachstellen in Systemen und Applikationen erkannt und beseitigt.

weiter lesen

Diese Seite verwendet Cookies, welche uns helfen, unsere Services anzubieten und zu verbessern.
Erfahren Sie mehr über unsere Cookie-Richtlinien. Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung von Cookies einverstanden.