Auftragsdatenverarbeitung

| 69 Kommentare | Von Dr. Datenschutz
Fachbeitrag

Ob eine Auftragsdatenverarbeitung vorliegt, richtet sich ausschließlich nach rechtlichen Vorgaben und kann nicht – wie teilweise praktiziert – vertraglich festgelegt bzw. ausgeschlossen werden. Auftragsdatenverarbeitung ist die Datenverarbeitung im Auftrag durch einen Dritten, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. Der Auftragnehmer (Dienstleister) wird in diesen Konstellation nur unterstützend tätig und ist bildlich als verlängerter Arm des Auftraggebers anzusehen, also in seinen Befugnissen im Umgang mit den überlassenen Daten erheblich eingeschränkt (§ 11 Abs. 3 S.1 BDSG). Eine Weitergabe von Daten im Rahmen einer Auftragsdatenverarbeitung nach § 11 BDSG stellt keine Übermittlung von Daten gemäß § 3 Abs. 4 Nr. 3 BDSG dar und ist daher unter erleichterten Voraussetzungen möglich.

Wie wird die Auftragsdatenverarbeitung von der Funktionsübertragung abgegrenzt?

Maßgebend für die Einordnung als Auftragsdatenverarbeitung ist, ob der Auftragnehmer bzw. Dienstleister lediglich sog. Hilfstätigkeiten erbringt oder er über einen eigenständigen Entscheidungsspielraum verfügt.

In letzterem Fall erhebt, verarbeitet oder nutzt der Auftragnehmer personenbezogene Daten regelmäßig (auch) für eigene Zwecke und nicht mehr bloß im Auftrag, so dass er Dritter im Sinne des § 3 Abs. 8 S. 2 und 3 ist. Es liegt dann in Abgrenzung zur Auftragsdatenverarbeitung eine Funktionsübertragung vor. Wie die Auftragsdatenverarbeitung von der Funktionsübertragung abgegrenzt wird, erfahren Sie hier.

In welchen Bereichen findet typischerweise eine Auftragsdatenverarbeitung statt?

Klassische Bereiche der Auftragsdatenverarbeitung sind beispielsweise:

  • Ausgelagerte Callcenter
  • Marketingaktionen durch externe Agenturen
  • Dienstleisterverträge zur Datenträgerentsorgung
  • Externe Lohn- bzw. Gehaltsabrechnung
  • Ausgelagerte Rechenzentren

Bei der Auslagerung von IT-Diensten in externe Rechenzentren sind zwei Fälle zu unterscheiden.

Sind Server in einem Rechenzentrum angemietet, ohne dass dieses Rechenzentrum selbst eine Datenverarbeitung vornimmt (sog. Housing), liegt noch keine Auftragsdatenverarbeitung vor. In diesem Fall sorgt das Rechenzentrum nur für die Einsatzbereitschaft, hat aber selbst keinen Zugriff auf personenbezogene Daten.

Anders sieht es jedoch aus, wenn das Rechenzentrum auch weitere Aufgaben übernimmt, z.B. Backups durchführt oder Systeme administriert (sog. Hosting). Sobald das Rechenzentrum im Rahmen des Vertrages auch die Möglichkeit hat, auf personenbezogene Daten zuzugreifen, liegt eine Auftragsdatenverarbeitung vor.

Welche Anforderungen müssen erfüllt werden?

Liegt ein Auftragsdatenverarbeitungsverhältnis vor, ist ein entsprechender Vertrag zu erstellen, dessen Inhalt ausnahmsweise nicht von den Vertragsparteien bestimmbar ist. Der Inhalt wurde bereits vom Gesetzgeber in § 11 BDSG vorgegeben.

Der Vertrag über die Auftragsdatenverarbeitung muss demnach Regelungen zu den 10 in § 11 Abs. 2 S. 2 BDSG festgelegten Punkten enthalten.

Zudem treffen den Auftraggeber Kontroll- und Dokumentationspflichten, beispielsweise hinsichtlich der Einhaltung der technisch-organisatorischen Maßnahmen durch den Auftragnehmer. Diese müssen nicht immer vor Ort überprüft werden. In den meisten Fällen reicht es aus, eine Reihe von Dokumenten zusammenzutragen. Aus diesen muss sich ergeben, dass der Auftragnehmer in der Lage ist die gesetzlichen Anforderungen zu erfüllen. Als Nachweis gelten in der Praxis aussagekräftige Datenschutzzertifizierungen, ein ausgereiftes IT-Sicherheitskonzept, eine schriftliche Auskunft des Auftragnehmers anhand von Fragebögen, der Nachweis von Datenschutzaudits oder das Testat eines Sachverständigen.

Achtung: Bußgeld droht!

Kommt man bei der Einordnung der vertraglichen Beziehung hier zu einem falschen Ergebnis, oder wird der Auftrag etwa nicht in der vorgeschriebenen Weise erteilt, kann dies zu erheblichen Bußgeldern führen, die gemäß § 43 Abs. 1 Nr. 2b BDSG bis zu 50.000,– Euro betragen können.

Ob bei Ihnen im Einzelfall eine Auftragsdatenverarbeitung vorliegt, ist eine Frage, die Ihnen am besten der Datenschutzbeauftragte beantworten kann. Zudem gibt es zwar viele Muster, die zur ersten Orientierung dienen können, wenn es um die Beachtung der gesetzlichen Vorgaben geht. Diese ersetzen jedoch keine umfassende Beratung. Vielmehr ist hier stets den Besonderheiten des Einzelfalls durch eine entsprechende Ausgestaltung der Verträge Rechnung zu tragen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Mit dem Code „Webinar2023B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2023.

Über den Autor

Dr. Datenschutz
Dr. Datenschutz

Der Beitrag wurde von Dr. Datenschutz geschrieben. Unsere Mitarbeiter, dies sind in der Regel Juristen mit IT-Kompetenz, veröffentlichen Beiträge unter diesem Pseudonym. mehr →

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

Weitere Beiträge

Auftragsdatenverarbeitung: fünfstelliges Bußgeld verhängt
Auftragsdatenverarbeitung: Weisungs- und Kontrollrechte im Unterauft (...)
Auftragsdatenverarbeitung – Unwissenheit schützt vor Strafe nicht
Gehackt?! Was die IT-Forensik im Ernstfall leisten kann
DSGVO: Mit diesen 5 Schritten sind Unternehmen optimal vorbereitet
Die persönliche Haftung des Datenschutzbeauftragten

69 Kommentare zu diesem Beitrag

  1. Erstreckt sich der Datenschutz auch auf nicht personengebundene Daten, z.B. auf Infrastrukturdaten?

    Was sieht der Datenschutz z.B.: zu georeferenzierte Infrastrukturdaten im Bereich der Wasserversorgung oder anderer wichtiger Versorgungs- und Ensorgungsnetzte vor?

    Danke für die Antwort im Voraus

    • Sehr geehrter Herr Ostermann,

      im BDSG ist meiner Ansicht nach nichts darüber zu finden.
      Aber in einem ADVV, kann man selbstverständlich alles einpflegen was Ihnen wichtig ist.

      mfg

  2. Hallo,
    ein externer Anbieter soll die Eignungstest in einem Unternehmen durchführen und speichert die Werte der Teilnehmer ebenfalls bei sich.

    Auftragsdatenverarbeitung nötig?

    • Bei Eignungstests richtet es sich unter anderem danach, ob das Unternehmen auch das Testverfahren festlegt und der externe Anbieter von den Weisungen im Umgang mit den personenbezogenen Daten abhängig ist. Ist dies der Fall, kann eine Auftragsdatenverarbeitung vorliegen.

  3. Fallen der Paketdienst und die Paketverfolgung ebenfalls unter die Auftragsdatenverarbeitung oder sind diese durch das Postgeheimnis so abgedeckt, dass ein Vertrag zur Auftragsdatenverarbeitung entfällt?

    • Die Übermittlung personenbezogener Daten an eine Paketdienst und auch die Packetverfolgung (z.B. DHL) ist grundsätzlich von § 28 Abs.1 Nr.1 BDSG gedeckt, da die Übermittlung zur Durchführung eines Vertrages erforderlich ist (z.B. Warenbestellungen im Versandhaus). Daneben schützt das Postgeheimnis aus § 39 PostG die personenbezogenen Daten auch während des Postverkehrs.

  4. Gehe ich Recht in der Annahme, dass Anprechpartner beim Kunden / Kontaktperson Einkauf mit Name, Telefonnummer, Email-Adresse nicht ohne deren Einwilligung in ein unsicheres Drittland, beispielsweise zur Datenverarbeitung gegeben werden dürfen?

    • Grundsätzlich hat die Datenübermittlung in unsichere Drittländer zu unterbleiben, vgl. § 4b Abs.2 S.2 BDSG. Jedoch sind in § 4c BDSG bestimmte Ausnahmen geregelt unter denen eine Datenübermittlung in unsichere Drittländer zulässig sein kann. Dies ist u.a. der der Fall, wenn der Betroffene eingewilligt hat oder die Übermittlung dem Abschluss oder der Erfüllung eines Vertrages dient und der Betroffene darüber informiert ist, vgl. § 4c Abs.1 Nr.1-3 BDSG. Soweit ein Vertrag unter Einbeziehung der EU-Standardvertragsklauseln oder Safe Harbor für US-Unternehmen geschlossen wird oder verbindliche Unternehmensregelungen (Binding Corporate Rules) getroffen werden, könnten auch dann personenbezogene Daten in ein unsicheres Drittland übermittelt werden, da somit das erforderliche Schutzniveau geschaffen wird. Dazu kann auch nach einer Genehmigung durch die Aufsichtsbehörde eine Übermittlung stattfinden.

    • ADV sind nicht nur innerhalb Deutschlands, sondern auch bei Datenflüssen innerhalb der EU anwendbar. Wenn also ein Dienstleister in Italien für ein Unternehmen in Deutschland Daten weisungsgebunden verarbeiten soll, ist prinzipiell ein Vertrag nach § 11 BDSG zu schließen, mit allen Konsequenzen. Schwierig kann hierbei sein, dass der Auftragnehmer bei der Verarbeitung bestimmte Grenzen beachten muss und der Auftraggeber den Auftragnehmer kontrollieren können muss.
      Mehr zu internationalem Datenschutz erfahren Sie unter anderem über folgenden Link: https://www.dr-datenschutz.de/internationaler-datenschutz/

  6. Wir sind ein deutsches Unternehmen und wir wollen eine Software zur Verwaltung von Kundendaten bei einem amerikanischen Unternehmen „mieten“, d.h. eine Cloud-Lösung nutzen. Die Rechenzentren stehen in Großbritannien und den USA. Das Unternehmen ist dem Safe Harbor Abkommen beigetreten.
    Müssen wir eine ADV abschließen?

    • Wenn das Unternehmen zusichern würde, dass die Datenverarbeitung ausschließlich in Großbritannien vorgenommen wird, kann ein Vertrag zur ADV abgeschlossen werden. Findet die Datenverarbeitung außerhalb der EU statt, ist § 11 BDSG nicht anwendbar und eine gesetzliche Ermächtigungsgrundlage für den Datentransfer (z. B. § 28 oder § 32 BDSG) notwendig.
      Zusätzlich muss ein angemessenes Datenschutzniveau in Drittstaaten, zu denen die USA zählen, nachgewiesen werden. Dies ist z. B. durch Safe-Harbor-Zertifizierungen möglich. Diese sind seit der NSA-Affäre verstärkt durch die Datenschutzbehörden kritisiert worden, da es sich lediglich um eine Selbstverpflichtung der Unternehmen handelt. Aus diesem Grund sind EU-Standardklauseln zu bevorzugen. Siehe auch: Internationaler Datenschutz

  7. Ich überlege ob es sinnvoll ist eine ADV mit einem Logistikdienstleister abzuschließen, der große Mengen Akten mit personenbezogenen Informationen zwischen Unternehmens-Standorten transportiert.

    Die Akten sind theoretisch für den Fahrer leicht zugänglich, daher denke ich sollten wir uns absichern. Ist dies sinnvoll?

    Gruß

    UserOne

    • Der Abschluss eines Vertrags zur Auftragsdatenverarbeitung ist in diesem Fall nicht nur sinnvoll, sondern zwingend notwendig, um ein mögliches Bußgeld zu vermeiden. Weitere Informationen zu Detailfragen des Vertrags und den erforderlichen technischen und organisatorischen Maßnahmen erhalten Sie von Ihrem Datenschutzbeauftragten.

  8. Hallo,
    muss ich auch mit einem externen IT-Dienstleister z.B. Administrator oder IT-Sicherheitsberater, der mein Firmen Netzwerk verwaltet ein ADV abschließen?
    Kleine Firma < 10 Mitarbeitern, kein eigenes IT Personal, deswegen wird alles von externen Admin verwaltet. Es existiert eine Verschwiegenheitserklärung.

    Frage Nr. 2.:
    Der Administrator bittet uns an unsere Server extern auszulagern, die würden dann in einem Rechenzentrum von Anbieter "Hetzner" gehostet.
    Muss man ADV nun mit "Hetzner" und mit unserem Admin abgeschlossen werden oder nur mit "Hetzner"?

    Vielen Dank

  9. Hallo zusammen.

    Liegt bei einem Strom-/Gasversorger eine Auftragsdatenverarbeitung vor, wenn Kunden über Vergleichsportale vermittelt werden? Die Vergleichsportale erheben personenbezogene Daten und leiten diese an das Unternehmen weiter. Daraufhin werden die Kunden mit Strom/Gas beliefert.

    Muss ein ADVV zwischen Versorger und Vergleichsportal geschlossen werden?

    Vielen Dank für eine kleine Hilfestellung.

  10. Hallo,

    ich bin auf der Suche nach ein „Vorab“-Checkliste für eine Auftragsdatenverarbeitung, d.h. an welchen Kriterien mache ich fest, dass es eine ADV ist oder nicht. Es gibt ja nur die Stichworte Erhebung, Verarbeitung oder Nutzung personenbezogener
    Daten. Im Internet gibt es nur Checklisten für „danach“, d.h. wenn ich bereits festgelegt habe, dass es eine ADV ist.

    Über eine kurzfristige Antwort bedanke ich mich im Voraus.

  11. Hallo, ein Softwareanbieter wird unsere Mitarbeiter zu einer Software schulen. Dafür sollen Daten (Name, Mailadresse) unserer Mitarbeiter zur Organisation der Schulung an den Anbieter übermittelt werden. Ich wurde nun gefragt, ob ein ADV-Vertrag erforderlich ist. M.E. nicht, da es sich nicht um eine regelmäßig wiederkeherende Verarbeitung pb. Daten handelt. Also ich finde, dass der ADV-Vertrag zu streng ausgelegt wäre. Allerdings feht mir die richtige Begründung. Können Sie mir dazu weiterhelfen?

    • In Ihrem Falle dürfte der Abschluss eines ADV-Vertrages erforderlich sein. Es spielt bei der Bewertung keine Rolle, ob es sich um eine regelmäßig wiederkehrende Verarbeitung personenbezogener Daten handelt. Eine Datenverarbeitung im Auftrag wird in der Regel auch bei einmaliger Datenverarbeitung vorliegen, wenn die weiteren Voraussetzungen gegeben sind.

  12. Ich will Fahrzeugdaten mittels Auswertung von Fahrtenbüchern oder durch zeitweisem Einbau von GPS-Datenloggern erfassen und auswerten. Diese fahrzeugbezogenen Daten könnten durch den Auftraggeber anhand des Kennzeichens ggf. den Personen zugeordnet werden (Fahrzeug M-XY 123 fuhr am 1.4. von München nach Nürnberg, Person Mustermann hatte am 1.4. das Fahrzeug). Brauche ich einen ADV-Vertrag wenn nur die Fahrzeugdaten aber nicht die Personendaten bei mir vorliegen?

    • Sofern Sie Daten, die einen Personenbezug zulassen, an einen Dritten übermitteln ist zu untersuchen, ob der Dritte diese im Rahmen einer Auftragsdatenverarbeitung oder einer Funktionsübertragung verarbeitet. Wenn Sie die Daten für sich selbst erheben, sind Sie die verantwortliche Stelle, der Dritte, der diese Daten verarbeitet ist dann ggf. Auftragnehmer. Oder sind Sie vielmehr der Auftragnehmer und erheben Daten für den, wie Sie selbst sagen „Auftraggeber“?

      Dieses Verhältnis sollte in einem ersten Schritt geklärt werden. Erst danach kann festgestellt werden, hinsichtlich welcher Daten und Übermittlung eine ADV vorliegt bzw. notwendig ist und wer in diesem Verhältnis Auftraggeber und Auftragnehmer ist.

  13. ich habe ein Rechenzentrum das auf meine personenbezogenen Daten Zugriff hat, dafür habe ich auch einen Vertrag zur ADV, wenn der selbe Dienstleister nun auch noch ein Ticketsystem mit betreut brauche ich dazu dann einen weiteren Vertrag? Oder kann man das eventuell mit einen Hauptvertrag abhandeln, wo dann pro Leistung eine Art Anhang oder Serviceschein dazu kommt?

    • Da wir die der ADV zugrundeliegenden Verträge nicht kennen, erschwert dies die Beantwortung Ihrer Frage. Grundsätzlich brauchen Sie auch für den neuen Service „Ticketsytem“ einer eigenständigen ADV gem. § 11 BDSG. Die können Sie dann als Anlage zum Hauptvertrag nehmen. Wichtig ist, dass sie für den Vertragsgegenstand „Ticketsystem“ abgeschlossen ist. Sie können auch grundsätzlich in der ADV auf den Vertragsgegenstand des Hauptvertrages (oder der Verträge bzw. Aufträge) verweisen. Alternativ könnten Sie einen ADV-Rahmenvertrag erstellen, wobei die einzelnen Aufträge bzw. Verträge dann als Anlage „Konkretisierung des Auftragsgenstandes“ hinzugefügt werden. In diese Anlage müssen folgende Informationen aufgenommen werden: der Auftragsgegenstand, die Art der Daten sowie die betroffenen Personengruppen.

  14. Wir, eine GmbH wurden vor einigen Monaten von einem US-Investor aufgekauft. Dieser möchte nun in unserem Unternehmen und auch weltweit eine Whistleblower Software etablieren. Sitz des Herstellers/Callcenter/Webserver sind die USA. Auf seiner Website erklärt der Hersteller dass er „Safe Harbour“ Conform arbeitet und Auswertungen oder Berichte nur an die „zuständige Person“ des Unternehmens weiterleitet. Wie können wir sicherstellen dass die Daten konform unserer DS Gesetze verarbeitet werden? Safe Harbour ist doch sicherlich kein Gütesiegel dafür?! Wer ist für einen evtl. ADV unser Ansprechpartner? Ist es die amerikanische GF unseres Unternehmens oder der Whistleblower Hotline Betreiber?

    • Der Europäische Gerichtshof (EuGH) hat am 06.10.2015 die sogenannte Safe-Harbor-Regelung für ungültig erklärt. Deswegen kann sich der Dienstleister nicht auf Safe Harbor berufen, wenn er personenbezogene Daten aus Deutschland verarbeitet. Als Alternativen kommen prinzipiell drei Lösungen in Betracht: EU-Standardverträge, Binding Corporate Rules, Einwilligung (Näheres finden Sie in unserem Artikel). Um beurteilen zu können, wer Ihr Ansprechpartner ist, sind weitere Informationen notwendig: insbesondere die genauen Rechtsverhältnisse, wer ist die verantwortliche Stelle usw. Wenn kein betrieblicher Datenschutzbeauftragter bestellt ist, der Ihre Fragen beantworten kann, können Sie sich auch an die zuständige Aufsichtsbehörde wenden, die Sie hier finden können.

  15. Habe von Praxis Röntgenbilder abholen lassen. Leider haben wir einen Auftragsdatenverarbeitung Vertrag nicht vereinbart. Nun kommt raus,dass die beauftragte Recycling Firma hat kein Auftragsdatenverarbeitung § 11 BDSG
    Bundesdatenschutzgesetz (BDSG) Vertrag . Habe schon Brief zur Stellungsname erhalten. Eine Frage : werde ich wegen 109 kg. ausgetüttete Röntgenbilder, das heißt die Röntgenbilder ohne Namen und Adressen bestraft?

    • Zunächst ist zutreffend beschrieben, dass die Datenverarbeitung durch einen Dienstleister (hier die Vernichtung von Röntgenbildern) den Abschluss eines Auftragsdatenverarbeitungsvertrags im Sinne des § 11 BDSG voraussetzt. Die Praxis hat sich als verantwortliche Stelle für den Datenschutz um den Vertragsabschluss zu kümmern. Vor dem Vertragsabschluss muss sich die Praxis beim Dienstleister von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen. Tut sie das nicht oder schließt sie keinen Auftragsdatenverarbeitungsvertrag ab, begeht sie eine Ordnungswidrigkeit, die von der Aufsichtsbehörde mit einem Bußgeld In Höhe von bis zu 50.000 Euro geahndet werden kann. Die konkrete Höhe liegt im Ermessen der Behörde und hängt von den Umständen des Einzelfalls ab. Auch ohne Name und Adresse sind die Röntgenbilder Gesundheitsdaten, die als sensible Daten besonders geschützt sind. Eine konkrete Rechtsberatung im Einzelfall ist über dieses Forum leider nicht möglich. Auf Grund des höheren Risikos für nicht unerhebliche Verletzungen des Persönlichkeitsrechts der betroffenen Patienten ist aber nicht auszuschließen, dass die Aufsichtsbehörde ein eher höheres Bußgeld festlegen könnte. Nach dem theoretischen Sachverhalt ist hingegen ein strafbares Verhalten nicht erkennbar.

      • Ich kann nicht nachvollziehen, wieso Röntgenbilder ohne Namen oder Adresse geschützte Daten sind. Hier ist doch kein konkreter Bezug zu einer betreffenden natürlichen Person erkennbar.

  16. Wie sieht das ganze bei Agenturen aus, die Facebook (Fanseiten) Seiten für Unternehmen betreuen. Kundendaten erhält so eine Agentur zwar nicht direkt, aber indirekt durch die Facebook Kommentare von anderen Kunden, die teilweise gelöscht werden müssen, wenn diese diffamieren oder rechtspopulistisch sind. Ist das ein „Verarbeiten“ der Agentur im Auftrag des Auftraggebers? Wenn der Vertrag alles streng vorgibt wäre hier ja eigentlich ein ADV notwendig, aber irgendwie sieht das ganze dann mit den TOMs iSd § 9 BDSG und Anlage und Facebook irgendwie komisch aus. Welche Rolle spielt hier Facebook in dieser Konstellation? Auch Auftragnehmer?

    • Unternehmen sind bei Facebook genauso Nutzer wie eine natürliche Person die ein Facebook-Profil erstellt hat. Facebook stellt den Nutzern lediglich die Plattform zur Verfügung und räumt ihnen keinen Zugriff auf die Datenverarbeitung ein. Auch das VG Schleswig: (Az. 8 A 37/12, 8 A 14/12, 8 A 218/11) hat entschieden, dass ein Facebook Nutzer nicht für die Datenverarbeitung durch den Dienstanbieter Facebook verantwortlich gemacht werden kann. In Ihrer Konstellation hat daher weder das Unternehmen noch die Agentur Zugriff auf personenbezogene Daten der Facebook-Nutzer.

  17. Benötige ich auch einen Auftragsdatenverarbeitungsvertrag, wenn ich als Unternehmer meinem Kunden (Verbraucher) eine Cloud zur Verfügung stelle, in der dieser personenbezogene Daten speichern kann?

    • Auch natürliche Personen können verantwortliche Stellen im Sinne des Bundesdatenschutzgesetz sein, so dass dann theoretisch auch ein Vertrag zur Auftragsdatenverarbeitung abzuschließen wäre. Das BDSG findet allerdings keine Anwendung, wenn die Erhebung, Verarbeitung oder Nutzung ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. Damit grenzt das Gesetz einen Bereich persönlicher Lebensführung von der beruflichen oder geschäftlichen Sphäre ab. In der Regel dürfte daher mit Verbrauchern kein ADV-Vertrag abzuschließen sein, es sei denn die Tätigkeit liegt außerhalb dieses persönlichen oder familiären Bereichs.

  18. Hallo, wie sind denn bei einem Paketdienstleister gespeicherte Firmenadressdaten einzustufen? Für die vereinfachte Abwicklung stellt der Paketdienstleister einen Online-Zugang bereit, dort können Kundenadressen (in unserem Fall von Firmen-Kunden) abgespeichert und bei Bedarf zur Erstellung eines Versandetiketts wieder aufgerufen werden. Handelt es sich hierbei um ADV und ist ein Vertrag notwendig?

    • Zunächst sollten Sie genau prüfen, ob die von Ihnen an den Paketdienstleister übermittelten Daten überhaupt von datenschutzrechtlichen Vorschriften geschützt werden. Bei reinen Firmendaten ist dies nämlich nicht der Fall.

      Sofern Ihre Daten auf dem Server des Paketdienstleisters gespeichert und zum Abruf bereitgehalten werden, handelt es sich dabei um eine Auftragsdatenverarbeitung. Sind Ihre Daten datenschutzrechtlich geschützt, ist der Abschluss einer ADV erforderlich.

  19. Hallo,
    man fidnet überall nur die Aussage das ein ADV-Vertrag bei Vertragsabschluss mit erstellt werden muss. Was ist wenn der Vertragsabschluss schon mehr als 6 Monate besteht und schon mehrere Aufträge für den Kunde bearbeitet wurden? Darf der Kunde einen ADV-Vertrag dann noch nachträglich verlangen bzw. vorlegen und auf die Unterzeichnung verweisen, da er sonst den Vertrag als nicht rechtens Ansieht? Und wenn ja, muss man auf alle Punkte die der Auftraggeber fordert eingehen (Bußgelder, Umbau der Infrastruktur, usw.)?

    • Grundsätzlich sollten Sie den ADV-Vertrag zeitgleich mit dem Hauptvertrag abschließen. Wurde bereits ein Hauptvertrag geschlossen, ist es möglich, die ADV zu einem späteren Zeitpunkt in einem Ergänzungsvertrag zu regeln. Eine nachträglich abgeschlossene Vereinbarung zur ADV ist besser als keine Vereinbarung.

      Aus Gründen der Compliance sollten Sie als Kunde auf Abschluss einer Vereinbarung zur ADV bestehen, falls eine solche erforderlich ist. Inwieweit Sie dabei auf die Forderungen Ihres Vertragspartners eingehen müssen, ist eine Frage Ihrer Verhandlungsposition.

      • Nochmal Hallo,
        das ein ADV Vorteile hat ist mir klar, aber in diesem Fall nur für den Kunde. Wenn der Kunde im Nachgang auf einen ADV besteht und man sich nicht einig wird über die Konditionen von diesem, ist dies somit als Vertragsbruch durch den Auftragnehmer zu sehen? Was kann im schlimmsten Fall für den Auftragnehmer durch den Kunde passieren? Zum Beispiel eine Meldung an den Landesdatenschutzbeauftragten oder ähnliches?

        • Dass in bestimmten Fällen eine Vereinbarung über die Auftragsdatenverarbeitung abgeschlossen werden muss, ergibt sich aus § 11 BDSG. Verstoßen Sie gegen diese Pflicht, könnte ein böswilliger Vertragspartner, Kunde oder Wettbewerber dies bei der Aufsichtsbehörde melden.

  20. Ist eine Vereinbarung zur Auftragsdatenverarbeitung nötig, wenn eine externer MA unterstützend in unserem Helpdesk tätig ist. Der MA kann personenbezogene Daten einsehen, anlegen und ggf ändern. Bislang wurde in diesen Fällen im Vertrag eine Geheimhaltung vereinbart.

  21. Hallo in die Runde,
    muss eine ADV immer unterschrieben werden? Im BDSG §11 steht „Der Auftrag ist schriftlich zu erteilen….“. Ich kann dies ja in Form einer Anlage zum Lieferantenvertrag schriftlich erteilen. Wird der Lieferantenvertrag unterschrieben, werden auch die entsprechenden Anlagen (also auch Anlage XY ADV) als gültig erklärt, und ich muss die ADV selbst nicht unterschreiben lassen.

    • Aus Beweisgründen sollten auch die Anlagen zu einem Hauptvertrag von den Parteien unterschrieben werden. So vermeiden Sie, dass der Vertragspartner später abstreitet, Kenntnis von einer Anlage dieses Inhalts gehabt zu haben.

  22. Guten Tag, als Softwarehaus halten wir regelmäßig für Softwareentwicklung und -wartung Kopien von Kundendatenbanken vor oder arbeiten auf Systemen des Kunden. Auch vergeben wir an externe Mitarbeiter (natürliche Person oder kleine Firmen) Unteraufträge, die im Projektgeschäft unsere Kunden betreuen. Aus diesem Zusammenhang heraus ergibt sich für mich folgende Fragestellung zur ADV:
    a) Sind wir ggü. unseren Kunden Auftragnehmer?
    b) Sind unsere externen MA Auftragnehmer im Sinne ADV?

    Vielen Dank für eine kurze Aussage.
    (PS: Den bDSB kann ich nicht fragen, das bin ich selbst ;-)

    • Die Einordnung als Auftragsdatenverarbeiter ist stets im Einzelfall zu beurteilen. Anhaltspunkte, die für eine Auftragsdatenverarbeitung sprechen, sind unter anderem die Weisungsgebundenheit, die klare Definition der ausgelagerten Tätigkeit und der fehlende Gestaltungsspielraum. Allen voran ist jedoch die Frage zu beantworten, ob durch Sie oder Ihren Dienstleister personenbezogene Daten verarbeitet werden. Dieses wird insbesondere im Bereich der Softwarewartung auf Kundensystemen angenommen, wenn Sie in diesem Zusammenhang Zugriff auf darin verarbeitete personenbezogene Daten haben könnten. Soweit Sie sich externer Mitarbeiter bedienen, würde ich deren Stellung als Subauftragnehmer von der vertraglichen Ausgestaltung des Arbeitsvertrages abhängig machen. Erfolgt hier eine nahezu vollständige Eingliederung in die betriebliche Organisation Ihres Unternehmen, spricht dies eher gegen ein Subauftragnehmerverhältnis. Dieses ist allerdings, wie eingangs gesagt, im Einzelfall näher zu beurteilen.

  23. Hallo, zwischen dem Auftraggeber (Unternehmen) und dem Auftragsverarbeiter (Cloud Anbieter) wird eine ADV geschlossen. Der Vertrag zwischen dem Unternehmen und seinen Kunden, bedarf einer zusätzlichen Legitimationsgrundlage? Oder schließt das Unternehmen eine ADV mit den Kunden?

    • Ob ein Auftragsdatenverarbeitungsvertrag zwischen dem Unternehmen und seinen Kunden geschlossen werden muss, beurteilt sich nach der Art der Leistung die zwischen Unternehmen und Kunden geschlossen wurde, d.h. ob der Kunde dem Unternehmen personenbezogene Daten überträgt. In diesem Fall wird das Unternehmen in der Regel selbst nur Auftragnehmer im Auftragsdatenverarbeitungsverhältnis sein. Die Pflicht die Datenflüsse abzusichern obliegt gesetzlich dem Kunden (Auftraggeber). Allerdings sollte man bei kundenfreundlichem Vorgehen auch als Auftragnehmer den Kunden auf dessen Pflichten hinweisen.

  24. Guten Tag, wir als Schweizer Firma lassen unser ERP-System i.S. einer Auftragsdatenverarbeitung (ausgelagertes RZ) von einem Dienstleister in Deutschland betreiben. Unsere deutsche Schwesterfirma (d.h. gleicher Eigentümer wie die Schweizer Firma) arbeitet auf demselben System. Ein Dientsleistungsvertrag besteht aber nur zwischen unserer Schweizer Firma und dem deutschen Outsourcing-Dienstleister. Entsteht dadurch für unsere deutsche Schwesterfirma eine Kontroll- und Dokumentationspflicht gegenüber dem deutschen Dienstleister oder eine Vertragspflicht gegenüber unserer Schweizer Firma?

    • Eine abschließende rechtliche Einschätzung ist im Rahmen dieses Forums leider nicht möglich. Generell kann jedoch gesagt werden, dass die Frage, ob ein Auftragsdatenverarbeitungsverhältnis vorliegt sich, nicht nach der zivilrechtlichen Vertragsgestaltung richten muss. Datenschutzrechtlich kommt es vielmehr darauf an, ob ein Dienstleister Daten einer verantwortlichen Stelle in Form einer Auftragsdatenverarbeitung verarbeitet. Ob zivilrechtlich ein unmittelbares Vertragsverhältnis zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) besteht, ist nachrangig.

      Konkret ist es daher durchaus vorstellbar, dass zwischen dem Outsourcing-Dienstleister und der deutschen Schwestergesellschaft – faktisch – ein Auftragsdatenverarbeitungsverhältnis besteht. Wenn es solches besteht, sind die Voraussetzungen des § 11 BDSG gegeben und grundsätzlich müssen dann auch Kontroll- und Dokumentationspflichten erfüllt werden.

  25. Hallo,
    ist bei Auslagerung von Daten an ein Rechenzentrum, das auch das Backup der Daten durchführt auch dann eine ADV abzuschließen, wenn die Daten komplett verschlüsselt auf den Servern liegen und somit eigentlich für den RZ-Betreiber nicht zugänglich sind?

    • Wenn eine starke Verschlüsselung eingesetzt wird und der Schlüssel im Unternehmen geheim gehalten wird, dann kann man durchaus argumentieren, dass die Daten ihren Personenbezug verlieren. Es müsste dann ausgeschlossen sein, dass das Rechenzentrum Kenntnisse von Daten erhält bzw. erhalten kann.

  26. Hallo, macht es Sinn als Auftragnehmer, auf einen Vertrag zur Auftragsdatenverarbeitung hinzuwirken, oder liegt dies in der Pflicht des Auftraggebers? Welche Konsequenzen könnten dem Auftragnehmer drohen, wenn ein solcher Vertrag nicht vorliegt und dennoch für den Auftraggeber pers. bez. Daten verarbeitet werden?

    • Grundsätzlich ist es die Pflicht des Auftraggebers auf den Abschluss eines ADV-Vertrages hinzuwirken. Er ist verantwortliche Stelle für die Datenverarbeitung. Probleme für den Auftragnehmer können z.B. im Spannungsfeld Auftragsdatenverarbeitung/Funktionsübertragung entstehen. Vertragliche Regelungen sind hier auch für den Auftragnehmer vorteilhaft, damit Klarheit hinsichtlich der Verantwortlichkeit für die Datenverarbeitungen herrscht.

  27. Hallo!
    gilt eigentlich für Bankdaten oder besonders sensible Gesundheitsdaten etwas anderes als das hier Geschriebene? Wenn z.B. eine Bank meine persönlichen Daten in die USA zur Weiterverarbeitung schickt, ist das noch zulässig? Reichen da diese EU-Standardverträge oder „Binding Corporate Rules“ oder das sich der Empfänger der Daten per „privacy shield“ verifizieren lässt? Oder gibts da irgendwo was Spezielles für Banken? Ich kann leider nichts finden!

    Vielen Dank für die Info.

  28. Hallo,
    entbindet ein Zertifikat vom Abschluss eines Zusatzvertrages ADV?
    Muss ich mit einem Dienstleister zur Aktenvernichtung einen Zusatzvertrag abschließen, obwohl dieser nach DIN 66399 zertifiziert wurde?

    • Eine Zertifizierung (wie nach DIN 66399) entbindet nicht von der Pflicht, bei Vorliegen der Voraussetzungen einen Vertrag über die Auftragsdatenverarbeitung abzuschließen. Der schriftliche Vertrag ist rechtliche Grundlage der Auftragsdatenverarbeitung, wohingegen die Zertifizierung lediglich dazu dient, den Prüfungsaufwand beim Auftraggeber zu reduzieren. Den Auftraggeber treffen im Rahmen einer Auftragsdatenverarbeitung nämlich erhebliche Auswahl- und Kontrollpflichten. Nach § 11 Abs. 2 S. 1 BDSG hat er den Auftragnehmer unter besonderer Berücksichtigung der Eignung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Darüber hinaus muss der Auftraggeber gemäß § 11 Abs. 2 S. 4 BDSG kontrollieren, ob der Auftragnehmer die getroffenen technischen und organisatorischen Maßnahmen einhält. Die regelmäßige Abfrage gültiger externer Zertifikate kann in diesem Zusammenhang ein angemessenes und ausreichendes Mittel der Auswahl sowie Kontrolle sein.

  29. Hallo,
    liegt eine Auftragsdatenverarbeitung vor, wenn in einer auf dedizierten Servern gehosteten Datenbank ausschließlich Rechnungsadresse und Kontaktperson eines Auftraggebers gespeichert wird und keine weiteren Daten gespeichert und bearbeitet werden? Die Server stehen in Frankreich, Zugriff habe nur ich selbst (Einzelunternehmer) und der Auftraggeber (GmbH).

    • In diesem Fall kann sowohl im Verhältnis zum Rechenzentrum als auch im Verhältnis zum Auftraggeber eine Auftragsdatenverarbeitung vorliegen. Ob dies der Fall ist hängt jedoch maßgeblich von der konkreten Ausgestaltung der jeweiligen Vertragsverhältnisse ab. Eine abschließende Beantwortung dieser Frage ist anhand der vorliegenden Informationen leider nicht möglich. Wir können an dieser Stelle nur raten, sich mit dieser Frage und den entsprechenden Unterlagen direkt an einen Rechtsanwalt zu wenden.

  30. Hallo, muss, wenn ein Unternehmen (A) Daten (z.B. Bankdaten) an eine Softwarefirma (B) weitergibt, die sich auf Kunden-/Mitgliederverwaltung spezialisiert hat, dieses Unternehmen den Kunden (C) darüber bei Vertragsabschluss zwischen A und C darauf hinweisen? Hat der Kunde das Recht, einer Weitergabe seiner Daten im Rahmen von §11 BDSG zu widersprechen?
    Vielen Dank für die Antwort.

    • Grundsätzlich müssen im Rahmen der Hinweispflicht lediglich Angaben zu Empfängerkategorien, also keine konkreten Informationen gemacht werden. Dies aber auch nur dann, wenn die betroffene Person nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss.

      Inwiefern eine Hinweispflicht besteht, kann daher nicht schematisch, sondern lediglich branchenabhängig beurteilt werden, wobei jeweils die Umstände des Einzelfalles zu berücksichtigen sind

      Sofern es sich bei der „Weitergabe“ um eine Auftragsdatenverarbeitung nach § 11 BDSG handelt (was bei einer bloßen Verwaltung der Daten ohne weitere Rechte nahe liegt), ist in der Literatur umstritten, ob überhaupt eine Unterrichtungspflicht besteht. Schließlich ist die Weitergabe an einen Auftragsdatenverarbeiter datenschutzrechtlich nicht als Übermittlung im Sinne des BDSG zu werten, weil der Auftragsdatenverarbeiter nicht als Dritter zu qualifizieren ist.

  32. Hallo, was passiert, wenn der Auftragnehmer (Auftragsdatenverarbeiter) vom Auftraggeber keine Auftragsdatenverarbeitungsvereinbarung erhält? Ist der Auftragnehmer damit im Falle einer Datenpanne nicht haftbar zu machen?
    Vielen Dank im Voraus für die Antwort.

    • Eine Vorschrift wie in § 11 Abs. 1 Satz 1 BDSG alte Fassung, nach der nur der Auftraggeber für die Einhaltung der gesetzlichen und datenschutzrechtlichen Vorschriften verantwortlich war, findet sich in der DSGVO nicht mehr. Zudem können Bußgelder gemäß Art. 83 Abs. 4 lit. a DSGVO auch gegenüber dem Auftragsnehmer verhängt werden, wenn ein erforderlicher Auftragsverarbeitungsvertrag (Art. 28 DSGVO) nicht oder nicht richtig geschlossen wird. Auftragnehmer müssen sich daher auch selbst um den Abschluss eines AV-Vertrages bemühen bzw. den Vertragsabschluss von ihrem Auftraggeber einfordern.

  33. Hallo,
    unser Dienstleister für die Entsorgung der Papiermüllcontainer hält einen ADV für nicht notwendig. Was kann man in einem solchen Fall tun?

    • In einer Papierentsorgungstonne liegen die Daten nur äußerlich unstrukturiert vor. Allerdings sind diverse Dokumente eine strukturierte Datenverarbeitung in sich. So fallen zum Beispiel Telefonlisten unter die DSGVO, da man hier eine Struktur von personenbezogenen Daten hat.
      Da weder Sie, noch der Auftragsverarbeiter ausschließen kann, dass solche Dateisysteme in der Tonne vorhanden sind, ist hier ein Auftragsverarbeitungsvertrag notwendig. Siehe diesbezüglich Erwägungsgrund 15 „Technologieneutralität“.

      Wenn sich dieser Entsorger weigert, einen Auftragsverarbeitungsvertrag abzuschließen, sollten Sie sich natürlich die Frage stellen, ob Sie hier den richtigen Dienstleister haben. Das spricht nicht für sein Verständnis von der Materie. Viele seiner Konkurrenten bieten einen Auftragsverarbeitungsvertrag automatisch mit dem Dienstleistungsvertrag an.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.