Auftragsdatenverarbeitung Inhalt und formale Anforderungen

Hat eine andere Stelle wie z.B. ein Dienstleister in irgendeiner Form Zugang zu den bei einem Unternehmen gespeicherten personenbezogenen Daten und werden diese im Auftrag für das Unternehmen verarbeitet, so liegt eine sogenannte Auftragsdatenverarbeitung vor. Das Unternehmen ist hierbei Auftraggeber und der Dienstleister Auftragnehmer im datenschutzrechtluchen Sinne.

Kennzeichnend für eine solche Auftragsdatenverarbeitung ist, dass es sich um die Erfüllung eigener Pflichten des Auftragsgebers handelt und der Auftragnehmer vollumfänglich den Weisungen des Auftraggebers unterliegt. Eine solche Konstellation ist z.B. gegeben, wenn ein IT-Dienstleister die Systeme wartet und hierbei Zugang zu den gespeicherten Daten hat bzw. die Möglichkeit eines Zugriffs besteht.

Beispiele für eine Auftragsdatenverarbeitung sind:

  • Beauftragung eines Callcenters
  • Verarbeitung von Daten auf externen Servern oder die Datenerfassung über bereitgestellte externe Rechnerleistung
  • Wartungsdienstleistungen für IT- und TK-Anlagen
  • Entsorgung von Akten oder Datenträgern durch Entsorgungsunternehmen
  • Datenverarbeitung im Rahmen eines umfassenden Hardware- und Softwarekonzeptes
  • individuelle Entwicklung und Implementierung komplexer automatisierter Datenverarbeitungsverfahren

Sofern es sich faktisch um eine Auftragsdatenverarbeitung handelt, muss der Auftrageber zwingend die Vorgaben des § 11 BDSG beachten. Nur wenn diese eingehalten sind, liegt auch eine formal korrekte und vom Gesetzgeber privilegierte Auftragsdatenverarbeitung vor. In Bezug auf die formalen Anforderungen ist insbesondere auf das Schriftformerfordernis und den Verweis auf § 9 BDSG und der dazugehörigen Anlage hinzuweisen.

Der Auftragnehmer hat seinen Auftragnehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. § 11 BDSG will durch diese Anforderung sicherstellen, dass die für den Auftraggeber als im Sinne des Bundesdatenschutzgesetzes verantwortliche Stelle geltenden Anforderungen an den Datenschutz und die Datensicherheit bei der Einschaltung einer anderen Stelle ebenfalls eingehalten werden.

Die Auslagerung von Tätigkeiten bzw. das Vorliegen von Auftragsdatenverarbeitungsverhältnissen birgt auch Risiken:

  • Das Missbrauchspotenzial ist erhöht
  • Kontrollen werden durch die Auslagerung erschwert
  • Informationen über die Kernbereiche des Unternehmens oder Betriebsgeheimnisse können nach außen dringen

Wir unterstützen Sie bei der Erarbeitung datenschutzgerechter Lösungen sowie bei der konkreten Umsetzung.

Beratung anfordern

Wir beraten Sie gerne - persönlich und individuell

+49 (0)6232 100119-44