Um Kosten zu senken, werden in der heutigen Zeit viele Leistungen an Externe ausgelagert (sog. „Outsourcing“). Beauftragt eine verantwortliche Stelle einen Dritten, weisungsabhängig und im Auftrag personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen, liegt in der Regel gemäß § 11 BDSG eine Auftragsdatenverarbeitung vor.
Dies ist jedoch nicht stets der Fall. Auftragsdatenverarbeitung erfordert nämlich, dass der Auftragnehmer bzw. Dienstleister nur unterstützend tätig wird, also lediglich sog. Hilfsleistungen erbringt. Der Auftragsdatenverarbeiter ist bildlich als verlängerter Arm des Auftraggebers anzusehen, also in seinen Befugnissen im Umgang mit den überlassenen Daten erheblich eingeschränkt (§ 11 Abs. 3 S.1 BDSG).
Klassische Felder der Auftragsdatenverarbeitung sind beispielsweise:
- Ausgelagertes Callcenter
- Marketingaktionen durch externe Agenturen
- Dienstleisterverträge zur Datenträgerentsorgung
- Externe Lohn- bzw. Gehaltsabrechnung
- Ausgelagerte Rechenzentren
Der Inhalt im Überblick
Haftung des Auftraggebers
Insoweit ist die durch den Auftragnehmer durchgeführte Auftragsdatenverarbeitung auch dem Auftraggeber zuzurechnen, der als verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG auch für Verstöße des Auftragnehmers bzw. des Dienstleisters gegenüber den Betroffenen haftet.
Abgrenzung zur Funktionsübertragung
Die Auftragsdatenverarbeitung ist stets von der sog. Funktionsübertragung abzugrenzen. Wie diese voneinander abgegrenzt werden, erfahren Sie in einem der folgenden Beiträge.
Auftragnehmer in Drittländern
Zu beachten ist weiter, dass Auftragnehmer die außerhalb der EU bzw. des EWR tätig werden, nicht von § 3 Abs. 8 S.3 BDSG erfasst sind und daher als Dritte angesehen werden. Dies hat zur Konsequenz, dass insoweit nie eine Auftragsdatenverarbeitung vorliegen kann.
Bußgeld droht
Ob Auftragsdatenverarbeitung vorliegt, richtet sich ausschließlich nach rechtlichen Vorgaben und kann nicht –wie teilweise praktiziert- vertraglich festgelegt bzw. ausgeschlossen werden. Kommt man bei der Einordnung der vertraglichen Beziehung hier zu einem falschen Ergebnis, kann dies zu erheblichen Bußgeldern führen, die gemäß § 43 Abs. 1 Nr.2b BDSG bis zu 50.000,– Euro betragen können.
Praxishinweis
Um den gesetzlichen Anforderungen zu entsprechen, müssen Verträge zur Auftragsdatenverarbeitung stets die Vorgaben des § 11 BDSG berücksichtigen. Hierzu gibt es viele Muster, die zur ersten Orientierung dienen können, jedoch keine umfassende Beratung ersetzen. Vielmehr ist hier stets den Besonderheiten des Einzelfalls durch eine entsprechende Ausgestaltung der Verträge Rechnung zu tragen.
Hallo,
ich leite ein Projekt zur Integration der L#G-Abrechnungsprozesse der Schweiz und von Österreich in ein deutsches Shared Service Center. Im Rahmen des Projektes führen wir die Datenmigration durch. Der Datenschutzbeauftragte des Unternehmens vertritt die Auffassung, dass schon alleine die Möglichkeit auf die Daten zugreifen zu können eine Auftragsdatenverarbeitung darstellt. Wie kommentieren Sie diese Rechtsauffassung?
beste Grüße, Michael
Eine pauschale Antwort lässt sich hier nicht treffen. Läuft die IT über ein ausgelagertes Rechenzentrum in Deutschland und werden hier auch Wartungsarbeiten durchgeführt, wobei der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann (also personenbezogene Daten „nebenher“ zu Kenntnis genommen werden können), greifen über § 11 Abs. 5 BDSG die Vorschriften zur Auftragsdatenverarbeitung, wenn auch keine klassische Auftragsdatenverarbeitung vorliegt!
Hallo,
mich interessiert die Frage, ob im folgend beschriebenen Fall auch eine Auftragsdatenverarbeitung vorliegt.
Wir sind Lieferant einer Suchtechnologie, Kunde ist eine große Versicherung:
– alle Tätigkeiten werden ausschließlich in den hoch gesicherten Räumen (Rechenzentrum) einer großen deutschen Versicherung erbracht.
– wir installieren unsere Technologie ausschließlich unter Aufsicht der Versicherung unter den dortigen datenschutzrechtlichen Bestimmungen im geschützen und abgeschlossenen Rechenzentrum der Versicherung.
– Bei der Konfiguration, bzw. bei der anschließenden Optimierung sehen wir u.U. einzelne personenbezogene Daten, können diese aber nicht aufschreiben, kopieren oder sonst wie aus dem gesicherten Bereich entnehmen. Es ist nur eine optische „In-Augenschein-Nahme“ möglich. Dies unter Aufsicht des dortigen Datenschutzbeauftragten.
– Die Software zur Suche in den personenbezogenen Daten der Versicherung wird nicht durch uns betrieben, sondern durch die Versicherung. Wir installieren dort nur das System und sind dann wieder weg. Haben also außerhalb der Räumlichkeiten der Versicherung keinerlei Zugriff oder Kontakt zu den personenbezogenen Daten. Schon garnicht in unseren Geschäftsräumen.
Reicht im oben beschriebenen Fall eine Vertraulichkeitsvereinbarung mit uns als Firma und gerne auch nochmals mit den jeweiligen Mitarbeitern nicht auch aus? Die Mitarbeiter sind ohnehin bereits vertraglich verpflichtet, alle ihnen zur Kenntnis gelangten Daten absolut vertraulich zu behandeln.
Ich frage, weil man uns zwingen möchte, die ganzen baulichen Maßnahmen wie Drehkreuze und Zutrittskontrolle etc. in unseren Geschäftsräumen umzusetzen, obwohl wir hier überhaupt keinen Kontakt mit den Daten haben und haben können.
Bin für jede Hilfe dankbar,
Viele Grüße
Niko
@ Niko:
Grundsätzlich sind die Vorgaben für eine Auftragsdatenverabeitung gemäß § 11 Abs. 5 BDSG auch dann zu erfüllen, wenn „die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann“.
Ob die von Ihnen vorgenommen Tätigkeiten tatsächlich dem Anwendungsbereich des § 11 BDSG unterliegen, bedarf einer Einzelfallprüfung. Bitte haben Sie Verständnis dafür, dass wir im Rahmen dieses Blogs keine Rechtsberatung vornehmen können.
Hallo,
mich interessiert die rechtliche Grundlage zur folgender Situation. Der Service Provider hat Sitz in Deutschland, jedoch werden für die Datenverarbeitung Leistungen eines US-amerikanischen Unternehmens bezogen. Dieser hat jedoch Rechenzentren in Europa. Somit könnte die Datenverarbeitung weiterhin im europäischen Raum bleiben.
Liegt hier eine Auftragsdatenverarbeitung vor oder ist diese durch den Sitz des Subunternehmens in der USA ausgeschlossen?
Vielen Dank
Diese ist durch den Sitz des Subunternehmens in der USA ausgeschlossen.
Entscheidend ist die Übermittlung in die USA. Gemeint ist hiermit die Bekanntgabe der Daten durch Weitergabe an einen Dritten (hier den Dienstleister), auf die tatsächliche Kenntnisnahme kommt es nicht an. Die Bekanntgabe ist bereits erfolgt, wenn die bloße Möglichkeit zur Kenntnisnahme besteht.
Guten Tag, mich interessiert folgender Fall:
Marktführer M für Belieferung von Getränken für zentralisierte Gastronomie (Hotels,Caterer) soll nun seine Kunden auch mit Produkten eines Getränkeherstellers beliefern, der dies bislang selber macht. Es handelt sich also um eine Transportleistung. Dazu werden Kundendaten abgeglichen (Kunden sind alle bei M im System). Wenn nun Einzelunternehmen auf der Kundenliste sein sollten (max 3% der Kunden) handelt es sich dann um personenbezogene Daten, die eine ADV rechtfertigen? Es werden nur Lieferadressen abgeglichen. Vielen Dank.
Personenbezogene Daten sind gemäß § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Soweit jemand als Dienstleister die Möglichkeit des Zugriffs auf solche hat, ist mit diesem ein ADV abzuschließen. Nach Ihrer Schilderung befinden sich nicht nur ausschließlich Unternehmensnamen auf der Liste, sondern auch Namen einzelner Mitarbeiter und ein Personenbezug ist daher vorhanden. Nicht in den Geltungsbereich des BDSG fallen hingegen Daten über juristische Personen.
Guten Tag.
Folgener Fall: Gesprächsdaten zwischen zwei Telefonierern werden erfasst (z.B. Länge des Telefonats), jedoch keine Gesprächsinhalte. Als personenbezogenes Datum wird lediglich der Username, den der User zur Anmeldung im Netz verwendet, erfasst. Die Daten werden in einem RZ in Irland (AWS) verarbeitet, aufbereitet (i.d.R. graphisch) und an den Admin zurückgespielt.
Sofern der Username nicht selbst gewählt wird und keinen Rückschluss auf eine natürlich Person zulässt, der Username also für irgendeine Stelle auflösbar ist, handelt es sich dabei um ein personenbezogenes Datum, dass für Auswertungszwecke von einem anderen Unternehmen verarbeitet wird.
Guten Tag, wir sind ein Hersteller für Industrieware. Dabei arbeiten wir mit Händlern zusammen und versenden aus unserem Hause an deren Kunden direkt. Muss ich im ADV, den wir für die Händler aufsetzen nun die von uns ausgewählten Speditionen bei den Subunternehmern nennen, und damit auch prüfen, oder kann ich, da sie nicht als Auftragsdatenverarbeiter zählen, nicht aufführen?
Wenn der Versand zur Durchführung eines Vertrages mit der betroffenen Person (Kunde) erforderlich ist (sog. Dropshipping), liegt keine Auftragsdatenverarbeitung vor. Aus diesem Grund müssen Versandhändler mit Versandunternehmen keinen Auftragsverarbeitungsvertrag abschließen. Da Speditionen und Versandunternehmer keine Subunternehmer im Rahmen des Auftragsverhältnisses sind, müssen Sie sie nicht als solche im Auftragsverarbeitungsvertrag aufführen.
Auch bei einem Vertrag eines Händlers mit seinem Lieferanten liegt regelmäßig keine Auftragsverarbeitungsverhältnis vor, da das wesentliche Element des Vertrags/der Dienstleistung zwischen beiden meist nicht die Verarbeitung personenbezogener
Daten allein für Zwecke des Händlers ist. Dies sollte jedoch im Einzelfall geprüft werden.