Rechtliche Konsequenzen der Datenverarbeitung im Auftrag

Datenschutz ist Grundrechtsschutz

| Autor / Redakteur: Sascha Schoor / Stephan Augsten

Will man die Datenverarbeitung auslagern, ist man auch weiterhin für den Schutz der Kunden- oder Mitarbeiterdaten verantwortlich.
Will man die Datenverarbeitung auslagern, ist man auch weiterhin für den Schutz der Kunden- oder Mitarbeiterdaten verantwortlich. (Bild: Archiv)

Es gibt kaum ein Unternehmen, das sämtliche Daten, die im Geschäftsbetrieb anfallen, vollständig selbst verarbeitet. Viele Unternehmen bedienen sich externer Dienstleister, die für sie die Datenverarbeitung für einen konkreten Bereich übernehmen. Doch was ist bei der Auftragsdatenverarbeitung zu beachten?

Manch ein Unternehmen beauftragt für den Bereich der Lohnbuchhaltung ein Buchhaltungsbüro, welches monatlich die Lohndaten der Mitarbeiter erarbeitet. Oder es lässt Marketingaktionen von einer externen Werbeagentur durchführen. In allen Fällen, in denen Datenverarbeitungsprozesse an Dritte ausgelagert werden, spricht man von einer Auftragsdatenverarbeitung.

Sobald Daten mit einem Bezug zu natürlichen Personen (personenbezogene Daten) betroffen sind, ist § 11 des Bundesdatenschutzgesetzes (BDSG) zu beachten: Danach ist der Auftrag nicht nur schriftlich zu erteilen, er muss auch bestimmte Regelungen enthalten, die den Missbrauch personenbezogener Daten verhindern sollen. Dafür listet § 11 Abs. 2 BDSG zehn Punkte auf, die im Einzelnen in einer Auftragsdatenverarbeitungsvereinbarung (ADV) von den Parteien festzulegen sind.

Hierzu gehört neben der Nennung von Art und Zweck der vorgesehenen Datenverarbeitung insbesondere die Festlegung der technischen und organisatorischen Maßnahmen, die der externe Dienstleister zum Schutz und Sicherung der Daten trifft, die er von dem beauftragenden Unternehmen enthält. Das BDSG listet die Ziele dieser Maßnahmen in § 9 BDSG i. V. m. der Anlage zu § 9 Satz 1 auf. Die konkrete Ausgestaltung der zu treffenden Maßnahmen überlässt das Gesetz jedoch den Vertragspartnern.

Diese erhalten damit einen Gestaltungsspielraum, im Rahmen dessen sie den Aufwand für die Umsetzung der Maßnahmen in einem angemessenen Verhältnis zum angestrebten Schutzzweck der zu verarbeitenden Daten setzen können. Des Weiteren sind entsprechende Kontrollrechte des Auftraggebers hierzu und – ganz wichtig – die Befugnis festzuhalten, dass der Auftraggeber direkte Weisung an den Auftragnehmer erteilen kann, wie er die Verarbeitung der Daten vorzunehmen hat.

Was Auftraggeber und externe Dienstleister beachten müssen

Wichtig: Beauftragt ein Unternehmen einen externen Dienstleister mit der Verarbeitung von Daten im Auftrag, so bleibt das beauftragende Unternehmen rechtlich weiter in der Verantwortung der Datenverarbeitungsprozesse. Es kann diese Verantwortung nicht mit einer ADV auf den Auftragnehmer abwälzen.

Überträgt ein Unternehmen Datenverarbeitungsprozesse auf einen externen Dienstleister, ersetzt eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften nicht die gesetzlich vorgeschriebene ADV. Fehlt bei einer externen Datenverarbeitung eine entsprechende ADV oder ist diese ungenügend (einzelne Punkte aus § 11 Abs. 2 BDSG sind nicht oder nicht hinreichend geregelt), droht dem Auftraggeber (nicht dem Auftragnehmer) ein Bußgeld von bis zu 50.000 Euro.

Um sicher zu sein, dass in einem Unternehmen sämtliche Auftragsdatenverarbeitungsprozesse erkannt wurden, sollte ein Experte ein Audit durchführen. Das kann der unternehmenseigene Datenschutzbeauftragte oder ein externer Berater für Datenschutz sein. Denn wer sonst im Unternehmen weiß schon, dass z. B. die Wartung der Datenverarbeitungsanlage durch einen externen Dienstleister bereits Auftragsdatenverarbeitung i. S. des § 11 BDSG darstellt?

Serviceorientierte Auftragnehmer haben ein intelligentes Datenschutzkonzept implementiert und bieten von sich aus ihren Kunden eine vorformulierte ADV an. So wird das Datenschutzkonzept zu einem wirkungsvollen Detail, mit dem sich Unternehmen positiv vom Wettbewerb abheben und ihre Auftraggeber von ihrer Leistungsfähigkeit und Professionalität überzeugen können.

Über den Autor

Sascha Schoor ist Rechtsanwalt und wurde bereits von mehreren Unternehmen, unter anderem der ADACOR Hosting, als Datenschutzbeauftragter bestellt. Sitz seiner Kanzlei „Schoor & Poppe Intervokat Rechtsanwälte“ ist Berlin. Er unterhält ein Datenschutz-Blog und ist auch auf Twitter präsent.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42753120 / Compliance und Datenschutz )