Auftragsdatenverarbeitung – Definition, Beispiele, Massnahmen, Risiken (Update)

By | 16. März 2012

Auf­trags­da­ten­ver­ar­bei­tung, das Aus­la­gern von Daten­ver­ar­bei­tungs­pro­zes­sen durch den Auf­trag­ge­ber auf exter­ne Dienst­leis­ter, ist ein häu­fi­ges Mit­tel zur Kos­ten­sen­kung und der Nut­zung von exter­nem Know How – Stich­wort “Out­sour­cing”. Sind hier­von per­so­nen­be­zo­ge­ne Daten betrof­fen, fin­det § 11 “Erhe­bung, Ver­ar­bei­tung oder Nut­zung per­so­nen­be­zo­ge­ner Daten im Auf­trag” BDSG (Bun­des­da­ten­schutz­ge­setz) Anwen­dung.

Schnell kommt es bei der Ein­schät­zung, ob eine Auf­trags­da­ten­ver­ar­bei­tung vor­liegt, zu Miß­ver­ständ­nis­sen und der Auf­trag­ge­ber läuft Gefahr, gemäß § 43 BDSG mit Geld­bu­ßen bis 50.000 € durch die Daten­schutz­be­hör­den belegt zu wer­den. Von Image­schä­den in der Öffent­lich­keits­wahr­neh­mung nicht zu reden. Eine sorg­fäl­ti­ge Prü­fung durch einen Bera­ter für Daten­schutz oder einen Daten­schutz­be­auf­trag­ten hilft, die­se Risi­ken zu mini­mie­ren und die not­wen­di­gen Rege­lun­gen umzu­set­zen.

 

Fol­gen­de Kri­te­ri­en (Aus­wahl) unter­stüt­zen die Bewer­tung über das Vor­lie­gen einer Auf­trags­da­ten­ver­ar­bei­tung:

  • Dem Auf­trag­neh­mer fehlt die Ent­schei­dungs­be­fug­nis über die über­mit­tel­ten Daten.
  • Dem Auf­trag­neh­mer ist die Nut­zung der über­las­se­nen Daten über den eigent­li­chen Über­las­sungs­zweck hin­aus ver­bo­ten.
  • Der Auf­trag­neh­mer nutzt nur die ihm über­las­se­nen Daten.
  • Die Daten­ver­ar­bei­tung wird nach außen durch den Auf­trag­ge­ber ver­tre­ten.
  • Der Auf­trag­neh­mer steht in kei­ner ver­trag­li­chen Bezie­hung zu den Betrof­fe­nen der per­so­nen­be­zo­ge­nen Daten.

 

Eini­ge prak­ti­sche Bei­spie­le von Auf­trags­da­ten­ver­ar­bei­tung:

  • Out­sour­cing des Rechen­zen­trums (ganz oder teil­wei­se).
  • Mar­ke­ting­ak­tio­nen, Kun­den­um­fra­gen, News­let­ter­ver­sand durch eine exter­ne Agen­tur.
  • Beauf­tra­gung eines Call­cen­ters für Kun­den­sup­port oder Kun­den­ge­win­nung.
  • Papier- und Akten­ver­nich­tung sowie die Ver­nich­tung von Daten­trä­gern.
  • Exter­ne Lohn- und Gehalts­ab­rech­nung.
  • Exter­ne Rech­nungs­be­ar­bei­tung / Buch­hal­tung.
  • Zugriff auf per­so­nen­be­zo­ge­ne Daten vor Ort bei Auf­trag­ge­ber

Oft ver­nach­läs­sigt wird § 11 Absatz 5 des BDSG . Durch die­sen Absatz fin­den die Rege­lun­gen zur Auf­trags­da­ten­ver­ar­bei­tung eben­falls Anwen­dung auf War­tungs- und Prü­fungs­ver­trä­ge, wenn hier­durch der Zugriff auf per­so­nen­be­zo­ge­ne Daten mög­lich ist. Somit ist ein wei­tes Feld an wei­te­ren Leis­tun­gen eben­falls von den Rege­lun­gen des BDSG betrof­fen (Bei­spie­le):

  • War­tung von Ser­vern und Com­pu­tern durch einen exter­nen Dienst­leis­ter (wich­tig: auch Fern­war­tung!)
  • Para­me­tri­sie­rung oder Pfle­ge von Soft­ware (Updates etc.), über die Zugriff auf per­so­nen­be­zo­ge­ne Daten mög­lich ist.
  • Sys­tem­mi­gra­tio­nen.

 

Was heisst das jetzt für Sie als Auf­trag­ge­ber?

  • Liegt eine Auf­trags­da­ten­ver­ar­bei­tung vor, muss die­se schrift­lich gere­gelt wer­den.
  • Sie als Auf­trag­ge­ber müs­sen die im Ver­trag fest­ge­schrie­be­nen Mass­nah­men zum Daten­schutz und zur Daten­si­cher­heit beim Auf­trag­ge­ber in geeig­ne­ter Form kon­trol­lie­ren – im Zwei­fel per­sön­lich vor Ort beim Auf­trag­neh­mer.
  • Für die Ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten sind Sie als Auf­trag­ge­ber ver­ant­wort­lich, nicht der Auf­trag­neh­mer (dies wird oft irr­tüm­lich falsch ein­ge­schätzt).
  • Eine ein­fa­che Erklä­rung des Auf­trag­neh­mers über die Ein­hal­tung der Daten­schutz­vor­schrif­ten ist nicht aus­rei­chend!

 

Was heisst das jetzt für Auf­trag­neh­mer?

  • Als Auf­trag­neh­mer haben Sie sich eben­falls den Rege­lun­gen des BDSG zu unter­wer­fen und ste­hen in der Pflicht, Ihren Auf­trag­ge­ber bei der Umset­zung zu unter­stüt­zen.
  • Zukunfts­ori­en­tier­te Unter­neh­men haben ein stich­hal­ti­ges Daten­schutz­kon­zept samt einer vor­for­mu­lier­ten Ver­ein­ba­rung gem. § 11 BDSG bereits in der Schub­la­de und gehen damit aktiv auf ihre Bestands­kun­den zu. Ein klei­nes, aber sehr wir­kungs­vol­les Detail, um sich posi­tiv vom Wett­be­werb abzu­he­ben und ihren Auf­trag­ge­ber  von ihrer Leis­tungs­fä­hig­keit zu über­zeu­gen.
  • Wenig hilf­reich: den Auf­trag­ge­ber vor die Wahl stel­len – ent­we­der ohne die­se Ver­ein­ba­rung samt Kon­troll­rech­te zusam­men­zu­ar­bei­ten oder es eben sein zu las­sen. Außer Sie sind sich sicher, Ihrem Auf­trag­ge­ber ist Ihre Dienst­leis­tung oder Ihr Pro­dukt ohne Rege­lun­gen zur Auf­trags­da­ten­ver­ar­bei­tung ein Buß­geld in Höhe von 50.000 EUR wert.

 

Mit Bedacht soll­ten Mus­ter­ver­trä­ge aus dem Inter­net ein­ge­setzt wer­den. Teil­wei­se ent­spre­chen die­se nicht den aktu­el­len Rege­lun­gen aus den letz­ten Novel­lie­run­gen des Bun­des­da­ten­schutz­ge­setz. Die­se kön­nen zwar sinn­vol­le Ansatz­punk­te lie­fern, erset­zen jedoch weder die indi­vi­du­ell not­wen­di­ge Anpas­sung auf die vor­lie­gen­de Auf­trags­da­ten­ver­ar­bei­tung noch die recht­lich siche­re Ein­schät­zung, wel­che Maß­nah­men hier­zu not­wen­dig sind.

Daher kann zur Ver­mei­dung von Buß­gel­dern und Image­schä­den nur jedem Unter­neh­men und Unter­neh­mer gera­ten wer­den, einen Bera­ter für Daten­schutz oder Daten­schutz­be­auf­trag­ten hin­zu­zu­zie­hen. Die­ser stellt die kor­rek­te Umset­zung sicher und haf­tet im Zwei­fel für mög­li­che Ver­säum­nis­se aus sei­ner Tätig­keit.

 

Hilf­rei­che Links und Tipps zur Auf­trags­da­ten­ver­ar­bei­tung im Inter­net:

 

Flyer Datenschutz, Datensicherheit und Datenschutzbeauftragter a.s.k. Datenschutz
Fly­er Daten­schutz, Daten­si­cher­heit und Daten­schutz­be­auf­trag­ter a.s.k. Daten­schutz
ask Daten­schutz Daten­si­cher­heit Daten­schutz­be­auf­trag­ter V1_2.pdf
Ver­si­on: 1.2
323.2 KiB
5324 Down­loads
Details…

4 thoughts on “Auftragsdatenverarbeitung – Definition, Beispiele, Massnahmen, Risiken (Update)

  1. Pingback: Fünfstelliges Bußgeld wegen fehlerhafter Auftragsdatenverarbeitung | Externer Datenschutzbeauftragter (BDSG)

  2. Simon Tann

    Ist denn auch das klas­si­sche Back-up eine durch eine exter­ne Fir­ma ADV bzw. ande­re klas­si­sche Sys­tem­hau­s­tä­tig­kei­ten?

    Hier wer­den Daten weder genutzt noch ver­ar­bei­tet.
    Wobei die Abspei­che­rung auf Fest­plat­ten der exter­nen Fir­ma schon eine Ver­ar­bei­tung ist, oder?

    Also ja?

    Gruß
    Simon

    Reply
    1. Sascha Kuhrau Post author

      Hal­lo!

      In dem genann­ten Fall ist es voll­kom­men uner­heb­lich, ob der Dienst­leis­ter – das Sys­tem­haus – die Daten im umgangs­sprach­li­chen Sin­ne wei­ter “ver­ar­bei­tet”.

      Wich­tig ist, was sich hin­ter dem daten­schutz­recht­li­chen Begriff der Ver­ar­bei­tung ver­birgt. In Arti­kel 2 der EU Daten­schutz­richt­li­nie wird die­se fol­gen­der­ma­ßen defi­niert: “… jede® mit oder ohne Hil­fe auto­ma­ti­sier­ter Ver­fah­ren aus­ge­führ­te® Vor­gang oder jede Vor­gangs­rei­he im Zusam­men­hang mit per­so­nen­be­zo­ge­nen Daten wie das Erhe­ben, das Spei­chern, die Orga­ni­sa­ti­on, die Auf­be­wah­rung, die Anpas­sung oder Ver­än­de­rung, das Aus­le­sen, das Abfra­gen, die Benut­zung, die Wei­ter­ga­be durch Über­mitt­lung, Ver­brei­tung oder jede ande­re Form der Bereit­stel­lung, die Kom­bi­na­ti­on oder die Ver­knüp­fung sowie das Sper­ren, Löschen oder Ver­nich­ten.”

      Sobald das exter­ne Back­up also per­so­nen­be­zo­ge­ne Daten ent­hält, fin­den die Rege­lun­gen gem. § 11 BDSG Auf­trags­da­ten­ver­ar­bei­tung Anwen­dung.

      Reply

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

32 − = 26