Die Auftragsdatenverarbeitung – Besonderheiten des Datenschutzrechts beim Outsourcing

By | 3. März 2016
Top Ser­vice, Top Leis­tung, Top Preis © kebox — Fotolia.com

Um was geht es bei Auftragsdatenverarbeitung?

Ein sper­ri­ger Begriff für einen ein­fa­chen Sach­ver­halt. Auf­trags­da­ten­ver­ar­bei­tung meint das klas­si­sche Out­sour­cing an einen exter­nen Dienst­leis­ter. Nur sind in die­sem spe­zi­el­len Fall per­so­nen­be­zo­ge­ne Daten betrof­fen. Für die­sen Fall hat der Gesetz­ge­ber im Bun­des­da­ten­schutz­ge­setz den § 11 BDSG “Auf­trags­da­ten­ver­ar­bei­tung” vor­ge­se­hen.

Um ein mög­lichst hohes Schutz­ni­veau zu gewähr­leis­ten und das Risi­ko von Daten­pan­nen bei der Aus­la­ge­rung auf Sub­un­ter­neh­mer zu mini­mie­ren, sieht § 11 BDSG Auf­trags­da­ten­ver­ar­bei­tung eini­ge Auf­la­gen vor. Um die Bedeu­tung und Ernst­haf­tig­keit des The­mas zu unter­strei­chen, ste­hen auf eine feh­len­de oder feh­ler­haf­te Umset­zung emp­find­li­che Buß­gel­der bis 50.000 Euro (§ 43 BDSG).

Was fällt alles unter den Begriff Auftragsdatenverarbeitung?

Am ein­fachs­ten läßt sich das an kon­kre­ten Bei­spie­len erklä­ren. Von einer Auf­trags­da­ten­ver­ar­bei­tung spricht man im Fal­le

  • der Nut­zung einer Mai­ling­agen­tur oder eines Let­ter­shops zum Erstel­len und Ver­sand von Anschrei­ben, die an natür­li­che Per­so­nen gerich­tet sind oder
  • der Durch­füh­rung der monat­li­chen Gehalts­ab­rech­nung durch eine exter­ne Lohn- und Gehalts­ab­rech­nungstel­le (nicht Steu­er­be­ra­ter) oder
  • des Ein­sat­zes einer extern gehos­te­ten Soft­ware zur Ver­wal­tung und zum Ver­sand von News­let­tern oder
  • der Beauf­tra­gung eines exter­nen Call­cen­ter oder Office-Ser­vices oder
  • dem teil­wei­sen oder voll­stän­di­gen Aus­la­gern des Rechen­zen­trums oder
  • in vie­len ähn­li­chen ver­gleich­ba­ren Fäl­len – fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten oder gleich uns.

Ger­ne über­se­hen und auch vie­len Dienst­leis­tern, die sol­che Leis­tun­gen anbie­ten, nicht bekannt, ist der Sach­ver­halt aus § 11 Absatz 5 BDSG.

(5) Die Absät­ze 1 bis 4 gel­ten ent­spre­chend, wenn die Prü­fung oder War­tung auto­ma­ti­sier­ter Ver­fah­ren oder von Daten­ver­ar­bei­tungs­an­la­gen durch ande­re Stel­len im Auf­trag vor­ge­nom­men wird und dabei ein Zugriff auf per­so­nen­be­zo­ge­ne Daten nicht aus­ge­schlos­sen wer­den kann.

Damit fal­len wei­te­re Leis­tun­gen wie War­tung / Kon­fi­gu­ra­ti­on / Instal­la­ti­on von Hard- und Soft­ware eben­falls unter die Anwen­dung von § 11 BDSG und sind ent­spre­chend zu regeln. Dabei ist es uner­heb­lich, ob Ihr Dienst­leis­ter das auch so sieht. Sie als Auf­trag­ge­ber sind ver­ant­wort­lich und zah­len am Ende auch das Buß­geld.

Was ist bei einer Auftragsdatenverarbeitung zu tun?

Schritt 1: Iden­ti­fi­zie­ren

§ 11 BDSG schreibt vor, dass bereits vor Beginn der Zusam­men­ar­beit ein Dienst­leis­ter auf sein Schutz­ni­veau hin geprüft und mit der pas­sen­den Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung schrift­lich ver­ein­bart wer­den muss. Soll­ten Sie mit dem Dienst­leis­ter bereits zusam­men­ar­bei­ten, dann ist schnel­les Han­deln ange­bracht.

Schritt 2: Prü­fen

Sind alle exter­nen Dienst­leis­ter, die unter § 11 BDSG fal­len, iden­ti­fi­ziert oder bereits bekannt, kommt Schritt 2. Es gilt nun das vor­han­de­ne Schutz­ni­veau des Dienst­leis­ters zu prü­fen. Die soge­nann­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men müs­sen aktu­ell und dem not­wen­di­gen Schutz­be­darf für die betrof­fe­nen Daten ent­spre­chen. Bei Lücken sind die­se durch den Dienst­leis­ter zu schlie­ßen oder bei Bedarf ein alter­na­ti­ver Dienst­leis­ter aus­zu­wäh­len. Die Prü­fung sowie des­sen Ergeb­nis sind zu doku­men­tie­ren, damit die­se spä­ter belegt wer­den kön­nen.

Schritt 3: Ver­ein­ba­ren

Alle von § 11 BDSG betrof­fe­nen Dienst­leis­ter sind bekannt. Das Schutz­ni­veau ist geprüft und aus­rei­chend vor­han­den. Nun kommt Schritt 3 der Auf­trags­da­ten­ver­ar­bei­tung: die schrift­li­che Vereinbarung.Hier kann viel falsch gemacht wer­den. Über­se­hen Sie einen Rege­lungs­punkt, den das BDSG oder eines der Lan­des­da­ten­schutz­ge­set­ze vor­sieht, spricht man von einer feh­ler­haf­ten Auf­trags­da­ten­ver­ar­bei­tung. Die­se ist nach § 43 Absatz 1 BDSG für Unter­neh­men mit einem Buß­geld bis 50.000 Euro risi­ko­be­haf­tet. Auch die Nut­zung der zahl­rei­chen im Inter­net auf­find­ba­ren Vor­la­gen zur Auf­trags­da­ten­ver­ar­bei­tung kön­nen davor nicht bewah­ren. Vie­le die­ser Vor­la­gen sind ver­al­tet (Novel­le in 2009), unvoll­stän­dig oder mit Vor­schrif­ten ver­se­hen, die gegen ande­re Rech­te ver­sto­ßen.

Schritt 4: Nach­prü­fen

Iden­ti­fi­ka­ti­on der Dienst­leis­ter voll­stän­dig. Prü­fen des Schutz­ni­veaus erfolgt und doku­men­tiert. Not­wen­di­ge Ver­ein­ba­rung schrift­lich mit dem Dienst­leis­ter geschlos­sen.

Falsch liegt, wer meint, der Vor­gang sei nun abge­schlos­sen. In regel­mä­ßi­gen Abstän­den müs­sen Sie sich jetzt von dem Erhalt oder der Ver­bes­se­rung des Schutz­ni­veaus Ihres Dienst­leis­ters über­zeu­gen. Die Prü­fung muss eben­falls wie­der nach­voll­zieh­bar und beleg­bar doku­men­tiert wer­den.

Schritt 5: Über­le­gen, ob Sie sich das wirk­lich alles selbst antun wol­len

Wenn Sie sich weder mit den Risi­ken noch dem Zeit­auf­wand für das The­ma Auf­trags­da­ten­ver­ar­bei­tung aus­ein­an­der­set­zen wol­len, dann las­sen Sie uns das über­neh­men. Wie das geht? Ganz ein­fach – spre­chen Sie uns an oder infor­mie­ren Sie sich unter http://www.hilfe-auftragsdatenverarbeitung.de über unse­re Dienst­leis­tun­gen rund um die Auf­trags­da­ten­ver­ar­bei­tung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

5 + 2 =