Zum Inhalt springen Zur Navigation springen
Auftragsdatenverarbeitung – Unwissenheit schützt vor Strafe nicht

Auftragsdatenverarbeitung – Unwissenheit schützt vor Strafe nicht

Obwohl bereits 2009 die Regelungen zur Auftragsdatenverarbeitung verschärft worden sind und das Gesetz nicht nur klare Vorgaben für die inhaltliche Ausgestaltung sondern auch Bußgelder für die Nicht-Umsetzung vorsieht, wird das Thema in den meisten Unternehmen immer noch stiefmütterlich behandelt. Dies betrifft insbesondere Dienstleister, die bereits im Unternehmen eingesetzt werden.

Was ist Auftragsdatenverarbeitung?

Die Auftragsdatenverarbeitung ist die Verarbeitung von Daten durch einen Dritten, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. Der Auftragnehmer (Dienstleister) wird in dieser Konstellation nur unterstützend tätig und ist bildlich als verlängerter Arm des Auftraggebers anzusehen, also in seinen Befugnissen im Umgang mit den überlassenen Daten erheblich eingeschränkt (§ 11 Abs. 3 S.1 BDSG).

Nicht ganz einfach ist die Abgrenzung der Auftragsdatenverarbeitung von der Funktionsübertragung, die eine Übermittlung im Sinne des Gesetzes darstellt und für die damit stets eine Rechtsgrundlage erforderlich ist (§ 4 Abs. 1 BDSG).

Wer kommt für die Auftragsdatenverarbeitung in Frage?

Es gibt bestimmte Dienstleister, bei denen regelmäßig eine Auftragsdatenverarbeitung anzunehmen ist, dazu gehören etwa

  • Callcenter
  • Datenträgerentsorgung
  • Sicherheitsdienstleister
  • Marketingagenturen

Dazu kommen auch Dienstleister, bei denen jeweils eine Einzelfallbewertung vorzunehmen ist. Zu beachten ist, dass eine Auftragsdatenverarbeitung bereits dann anzunehmen ist, wenn die Möglichkeit des Zugriffs auf personenbezogene Daten nicht ausgeschlossen werden kann (§ 11 Abs. 5 BDSG).

Zu beachten ist, dass auch mit konzernangehörigen Unternehmen der Abschluss eines Vertrages zur Auftragsdatenverarbeitung erforderlich sein kann, da im Datenschutzrecht kein Konzernprivileg existiert.

Woran scheitert es in der Praxis?

Obwohl die gesetzlichen Regelungen recht eindeutig zu sein scheinen, hapert es in der Praxis immer wieder an den gleichen Punkten. Es besteht Unklarheit darüber,

  • welche Dienstleister überhaupt eingesetzt werden
  • ob Verträge mit den eingesetzten Dienstleistern geschlossen wurden (die womöglich sogar den datenschutzrechtlichen Anforderungen genügen)
  • ob die eingesetzten Dienstleister Zugriff auf personenbezogene Daten haben oder dieser zumindest nicht ausgeschlossen werden kann.

Eine zusätzliche Schwierigkeit besteht oft darin, dass Verträge abgeschlossen werden, die nicht auf den Einzelfall und die tatsächlichen Umstände angepasst sind. Dies zeigt sich insbesondere bei der Umsetzung der technisch organisatorischen Maßnahmen – hier werden oft die angebotenen Vordrucke genutzt und unterschrieben. Eine Prüfung, ob der Dienstleister diese Anforderungen überhaupt erfüllen kann, findet nur selten statt. Das gleiche gilt für die gesetzlich vorgegebenen Kontrollen und Dokumentationen – auch wenn diese sogar vertraglich vereinbart sind, werden sie in der Praxis selten bis nie durchgeführt.

Was ist zu tun?

Bevor man einen Vertrag zur Auftragsdatenverarbeitung erstellt, ist es sinnvoll sich einen Überblick über die eingesetzten Dienstleister zu verschaffen. Mit diesen sollte ein Mustervertrag durchgesprochen und entsprechend der tatsächlichen Umsetzung beim Auftragnehmer und den Anforderungen des Auftraggebers individuell angepasst werden. Zu beachten sind außerdem die gesetzlich festgelegten Kontroll- und Dokumentationspflichten. Auch hier sollte individuell geprüft werden, ob Vor-Ort-Kontrollen sinnvoll sind oder ob eine Sichtung von Dokumenten ausreicht.

In jedem Fall ist der Datenschutzbeauftragte mit einzubeziehen – sowohl wenn es um bereits eingesetzte aber auch wenn es um den Einsatz neuer Dienstleister geht.

Lohnt sich der ganze Aufwand überhaupt?

Ein Ignorieren der gesetzlichen Vorgaben lohnt sich aus mehreren Gründen nicht:

  • Zum einen droht bei Nichtumsetzung der gesetzlichen Anforderungen gemäß § 43 Abs. 3 BDSG ein Bußgeld von bis zu 50.000€.
  • Zum anderen bleibt der Auftraggeber für die Daten verantwortlich. Das bedeutet, er bleibt Anspruchsgegner für Auskunftsersuchen nach § 34 BDSG oder Schadensersatzansprüche nach § 7 BDSG und muss auch dafür gerade stehen, wenn der Dienstleister Unfug mit den Daten macht – sie z.B. weiter verkauft, für eigene Zwecke verwendet oder einfach nicht ausreichend gegen unbefugten Zugriff schützt.

Insofern sollte es schon im eigenen Interesse jedes Unternehmens liegen, die eingesetzten Dienstleister ganz genau im Auge zu behalten…

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.