Datenschutz: Die Auftragsdatenverarbeitung (§ 11 BDSG)

Die Auftragsdatenverarbeitung ist in § 11 BDSG geregelt. Voraussetzung ist,

  • dass personenbezogene Daten
  • im Auftrag der verantwortlichen Stelle
  • durch eine andere Stelle erhoben, verarbeitet oder genutzt werden sollen.

Nach der Grundkonzeption liegt eine Auftragsdatenverarbeitung nur dann vor, wenn der Auftragnehmer weisungsgebunden (ohne eigenen Wertungs- und Entscheidungsspielraum) für den Auftraggeber tätig wird. Ist dies nicht der Fall, liegt eine Datenübermittlung an einen Dritten vor (Funktionsübertragung), so dass der Auftragnehmer selbst zur verantwortlichen Stelle wird. Entscheidend ist (wie immer) nicht der Wortlaut einer Vereinbarung, sondern der tatsächliche Inhalt des Auftrags bzw. wie dieser gelebt wird.

Zudem ist streitig, ob weitere Anforderungen hinzutreten müssen:
Nach der sog. „Funktionsübertragungstheorie“ kommt es auf die reine „Hilfsfunktion“ des Auftragnehmers an.
Nach der Vertragstheorie kommt es auf die vom Auftragnehmer übernommene Aufgabe an, d.h. auch hier auf die Weisungsgebundenheit. Es kommt somit nicht auf das an, was delegiert wird, sondern auf das wie.

Fälle der Auftragsdatenverarbeitung sind z.B. Marketingmaßnahmen, wenn diese streng von dem Auftraggeber vorgegeben werden, aber auch das klassische IT – Outsourcing, wenn zumindest der IT – Dienstleister an die Vorgaben des Auftraggebers gebunden bleibt.

Auch die Auftragsdatenverarbeitung im Konzern ist möglich, so lange keine Anhaltspunkte dafür vorhanden sind, dass sich die beauftragte Ober- oder Muttergesellschaft nicht an die erteilten Weisungen hält (so z.B. bei einer konzernweiten Personaldatenbank).

Quasi als Rechtsfolge bleibt bei der Auftragsdatenverarbeitung der Auftraggeber gem. §§ 11 Abs.1 S.1, 3 Abs. 7 BDSG allein für die Einhaltung der jeweils einschlägigen datenschutzrechtlichen Anforderungen verantwortlich.

Dies umfasst

  • die Zulässigkeit der Erhebung, Verarbeitung, Nutzung der Daten nach allgemeinen und bereichsspezifischen Vorschriften
  • die Wahrung der Rechte des Betroffenen sowie
  • die Haftung gegenüber den Betroffenen.

Der Auftraggeber ist verpflichtet, den Auftragnehmer sorgfältig auszuwählen und zu überwachen.

§ 11 Abs. 2 S. 2 BDSG enthält eine nicht abschließende Liste von Punkten, die der Auftrag enthalten muss:

  • den Gegenstand und die Dauer des Auftrags,
  • den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Die Form des Auftrags ist die Schriftform.

Dem Auftragnehmer obliegen folgende Verpflichtungen:

  • Weisungsgebundenheit
  • Hinweispflichten bei Rechtsverstößen

Für die IT – Branche ist § 11 Abs. 5 BDSG interessant (Prüfung und Wartung von DV – Anlagen). Immer dann, wenn seitens externer Dienstleister bei der Systembetreuung die Möglichkeit eines Zugriffs auf personenbezogene Daten besteht, ist § 11 Abs. 5 BDSG anwendbar. Dies ist z.B. auch bei der Fernwartung (Remote-Access) zu beachten.

Falls Sie Fragen im Rahmen der Auftragsdatenverarbeitung haben oder Hilfestellung bei der Formulierung einer schriftlichen Vereinbarung benötigen, stehe ich Ihnen gerne zur Verfügung.