Auftragsdatenverarbeitung

Angesichts der immensen wirtschaftlichen Bedeutung von Outsourcing und der im Regelfall damit verbundenen Datenverarbeitung im Auftrag, soll im folgenden Beitrag die Auftragsdatenverarbeitung nach § 11 des Bundesdatenschutzgesetzes (BDSG) überblicksweise skizziert werden.

Outsourcing prägt heute in weiten Teilen das Alltagsgeschehen in fast allen Unternehmen. Aus Kosten- oder Know-How-Gründen werden immer mehr einzelne Prozesse und teilweise auch ganze Aufgabenbereiche werden auf externe Dienstleister ausgelagert, z.B. auf Callcenter zur Kundenbetreuung, externe Agenturen zur Durchführung von Marketingaktionen oder externe Lohnbuchhaltungen. Insbesondere im IT-Bereich nehmen beispielsweise durch Einschaltung externer Wartungsdienstleister und Rechenzentren sowie der wachsenden Nutzung von Cloudservices (z.B.SaaS) Auslagerungen an Dritte rasant zu. Da mit der Aufgabenübertragung regelmäßig auch eine Übermittlung/Transfer von personenbezogenen Daten etwa der Kunden oder Mitarbeiter des auslagernden Unternehmens verbunden ist, entsteht in datenschutzrechtlicher Hinsicht ein dringlicher Regelungsbedarf hinsichtlich der Fragen, welches Unternehmen für den Schutz der verarbeiteten Daten verantwortlich ist und welche Maßnahmen hierfür erforderlich sind. In diesem Kontext relevant dabei in vielen Fällen die sogenannte Auftragsdatenverarbeitung (ADV), deren Grundzüge der folgende Beitrag aufzeigen soll.

Was ist Auftragsdatenverarbeitung

Die in § 11 des Bundesdatenschutzgesetzes (BDSG) niedergelegte Datenverarbeitung im Auftrag regelt den – regelmäßig auch in den beschriebenen Outsourcing Konstellationen vorliegenden – Fall, dass personenbezogene Daten für einen Auftraggeber durch eine andere Stelle im Rahmen eines Auftragsverhältnisses erhoben, verarbeitet oder genutzt werden. Ausschließlich verantwortlich für die datenschutzrechtlich ordnungsgemäße Verarbeitung und zuständig für die Rechte der Betroffenen bleibt dabei allein der Auftraggeber. Infolge der Regelung wird also der anlässlich der outgesourcten Aufgabe mit der Datenverarbeitung befasste Auftragnehmer nicht selbst als datenschutzrechtlich verantwortliche Stelle, sondern lediglich als ein bildlich gesprochen „verlängerter Arm“ und damit Teil des Auftraggebers angesehen. Auf diese Weise werden insbesondere die betroffenen Inhaber der jeweiligen Daten vor einem Überwälzen der Verantwortlichkeit auf ihnen u.U. unbekannte Drittdienstleister geschützt.

Inhalte eines Auftragsdatenverarbeitungs-Vertrages

Um die so skizzierte Datenschutzverantwortung und damit die Rechtmäßigkeit einer solchen Auftragsdatenverarbeitung sicherzustellen, sind bestimmte Voraussetzungen einzuhalten. Bereits im Vorfeld der Beauftragung muss der Auftraggeber den Auftragnehmer im Hinblick auf datenschutzrelevante Aspekte sorgfältig überprüfen und auswählen. Darüber hinaus ist zwingend ein schriftlicher Vertrag über die Auftragsdatenverarbeitung mit den in § 11 Abs.2 Satz 2 BDSG genannten Inhalten abzuschließen. Zu regeln sind neben näheren Angaben zum Auftrag, den verarbeiteten Daten sowie dem Umgang mit denselben insbesondere weitreichende Kontrollrechte und Weisungsbefugnisse des Auftraggebers gegenüber dem Auftragnehmer. Ebenso die von letzterem zu treffenden technischen und organisatorischen Sicherheitsmaßnahmen sowie Regeln für die Einschaltung von Subunternehmern sind als Vertragspunkte aufzunehmen.

Abgrenzung zur Funktionsübertragung

Zu beachten ist insoweit jedoch, dass das Vorliegen einer Auftragsdatenverarbeitung nicht allein durch den Abschluss eines entsprechenden Vertrages durch die beteiligten Parteien willkürlich herbeigeführt werden kann. Ausgehend vom individuellen Sachverhalt ist vielmehr entscheidend, dass der für die jeweilige Dienstleistung bzw. Datenverarbeitung eingeschaltete Auftragnehmer tatsächlich nur unterstützend tätig wird, also gegenüber dem Auftraggeber lediglich Hilfstätigkeiten ohne eigenen Entscheidungsspielraum hinsichtlich der verarbeiteten Daten erbringt. Denn andernfalls liegt keine Auftragsdatenverarbeitung, sondern eine sogenannte Funktionsübertragung auf den Auftragnehmer mit der Folge vor, dass dieser selbst als datenschutzrechtlich verantwortliche Stelle anzusehen ist.

Keine ADV bei Datentransfer in Drittstaaten

Auch ein Transfer der zu verarbeitenden Daten an Auftragnehmer, deren Sitz sich außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraumes (EWR) befindet, kommt im Rahmen der Auftragsdatenverarbeitung nicht in Betracht. Denn im Falle eines solchen Drittstaatentransfers ist nach § 3 Abs.8 Satz 3 BDSG der Auftragnehmer ebenfalls zwingend selbst als verantwortliche Stelle einzuordnen und eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG liegt nicht vor. Ein Outsourcing auf den ausländischen Dienstanbieter wäre hier nur bei Umsetzung weiterer datenschutzrechtlicher Maßnahmen, wie etwa EU-Standardvertragsklauseln, Binding Corporate Rules, oder ggf. einer Safe-Harbour-Zertifizierung möglich.

Beratung im Einzelfall erforderlich

Vor diesem Kontext wird deutlich, dass die rechtskonforme Umsetzung von Outsourcing Konstellationen datenschutzrechtlich an eine Vielzahl von Hürden geknüpft ist. Zwar existieren als Hilfestellung für Unternehmen bei der Erfüllung dieser Anforderungen eine Vielzahl von frei verwendbaren Vertragsmustern. Da diese jedoch für die im Einzelfall vorliegenden Umstände zu ergänzen und gegebenenfalls anzupassen sind, empfiehlt sich im Regelfall die Beratung durch einen spezialisierten Rechtsanwalt oder externen Datenschutzbeauftragten.

_________________________________________________________________________________________________

Sie haben Fragen rund um das Thema IT-Recht, Lizenzen und Datenschutz? Wir helfen Ihnen gerne!

Das Expertenteam um Rechtsanwalt Christian Solmecke steht Ihnen gerne Rede und Antwort für Ihre Fragen.

Rufen Sie uns an 0221 / 951 563 0 (Beratung bundesweit).
_________________________________________________________________________________________________

Hier gelangen Sie zurück zur Übersichtseite IT-Recht

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (2 Bewertungen, Durchschnitt: 5,00 von 5)

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×