Datenschutz in der Praxis – Auftragsdatenverarbeitung nach § 11 BDSG

Laut § 11 BDSG muss zwischen zwei Unternehmen ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden, sobald personenbezogene Daten im Auftrag verarbeitet werden. Unternehmen unterhalten normalerweise eine Vielzahl von Auftragsdaten- verarbeitungsverhältnissen. Insbesondere wohl in den Bereichen Personalverwaltung und IT.

MUSS MAN SO EINEN ‚ADV‘ VERTRAG ABSCHLIESSEN?

Grundsätzlich ist ein solcher Vertrag dann erforderlich, wenn es sich bei der Datenverarbeitung um eine Auftragsdatenverarbeitung (kurz ADV) handelt. Unter Auftragsdatenverarbeitung versteht man dabei die weisungsgebundene Datenverarbeitung durch Externe, bei der jedoch die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber bleibt. Häufig liegt schon dann eine Auftragsdatenverarbeitung vor, wenn ein Unternehmen z. B. für die Datenverarbeitung Kapazitäten externer Rechenzentren nutzt oder die Lohn- und Gehaltsabrechnung an ein anderes Unternehmen outsourct. Wenn also zwischen zwei Unternehmen ein solches Auftragsdatenverarbeitungsverhältnis vorliegt schreibt § 11 BDSG vor, dass ein entsprechender Vertrag zu schließen ist.

MEIN DIENSTLEISTER WILL DAS ABER NICHT

Dann sollten Sie sich am Besten direkt nach einer Alternative umsehen. Denn wenn eine Auftragsdatenverarbeitung entweder gar nicht, nicht richtig, oder nicht vollständig erteilt und vertraglich geregelt wird, kann der Gesetzgeber hier gerne mal nach § 43 Abs. 1 Nr. 2b, Abs. 3 BDSG Bußgelder von bis zu 50.000 EUR verhängen. Auch sollten Sie sich fragen, wie hoch wohl das Datenschutzniveau bei einem Partner ist, der sich entweder noch nie mit der Thematik auseinandergesetzt hat oder trotzdem ablehnt einen solchen Vertrag zu unterzeichnen.

DAS MUSS IN EINEM ‚ADV‘ VERTRAG GEREGELT WERDEN

§ 11 BDSG beschreibt hier in 10 Punkten was grundsätzlich in einem solchen Auftragsdatenverarbeitungsvertrag geregelt werden muss:

1. der Gegenstand und die Dauer des Auftrags,

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

4. die Berichtigung, Löschung und Sperrung von Daten,

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

GILT DAS AUCH FÜR POSTDIENSTLEISTER?

Nein. § 28 Abs. 1 Nr. 1 BDSG besagt, dass die Erhebung, Speicherung, Veränderung und Übermittlung personenbezogener Daten grundsätzlich zulässig ist, „wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist“. Dies ist für Postdienstleister eigentlich immer der Fall. Darüber hinaus schütz dort natürlich auch das Postgeheimnis die personenbezogenen Daten.

MUSTER FÜR ‚ADV‘ VERTRÄGE

Ein sehr gutes Muster für einen ADV Vertrag kann man auf den Seiten der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) herunterladen. Aber auch einige Landesdatenschutzbehörden, wie die Niedersachsens oder Hessens bieten weiterführende Informationen und Musterverträge an.