Datenverarbeitung im Auftrag
Datenverarbeitung im Auftrag – auch Auftragsdatenverarbeitung (ADV) genannt – bezeichnete in Deutschland die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Dienstleister im Auftrag des Verantwortlichen. Sie war in § 11 des Bundesdatenschutzgesetzes (BDSG) in der Fassung vom 14. August 2009 (BGBl. 2009 I S. 2814) geregelt. Das BDSG in dieser Fassung und damit auch der darin enthaltene § 11 verloren mit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DS-GVO, Verordnung (EU) 2016/679) und des in Artikel 1 des deutschen Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU (DSAnpUG-EU) (BGBl. 2017 I S. 2097) neu gefassten Bundesdatenschutzgesetzes am 25. Mai 2018 ihre Wirksamkeit. Seit diesem Zeitpunkt regelt Art. 28 der DS-GVO die Verarbeitung im Auftrag. (Die Begrifflichkeiten der Auftragsdatenverarbeitung und der Datenverarbeitung im Auftrag finden in der DS-GVO keine Verwendung mehr.) Der § 80 (Verarbeitung von Sozialdaten im Auftrag) des Zehnten Buches Sozialgesetzbuch wurde entsprechend den Vorgaben des Artikels 28 der DS-GVO durch den deutschen Gesetzgeber angepasst.
Der nachfolgende Text beschreibt die Auftragsdatenverarbeitung, wie sie bis zum 25. Mai 2018 gesetzlich vorgeschrieben und gültig war.
Vorgaben bei der Auftragsdatenverarbeitung
Seit der Novellierung des Bundesdatenschutzgesetzes im Jahr 2009 wurden die Voraussetzungen einer Auftragsdatenverarbeitung vom Gesetzgeber in einem Zehn-Punkte-Katalog vorgegeben.[1] Voraussetzung war ein schriftlicher Vertrag mit folgenden Regelungen:
- Auftragsgegenstand und Dauer des Auftragsverhältnisses
- Umfang, Art und Zweck der Datenverarbeitung
- Technische und organisatorische Maßnahmen des Auftragnehmers
- Löschung, Berechtigung und Sperrung von personenbezogenen Daten
- Kontrollrechte des Auftraggebers
- Eventuelle Befugnis zu Unterauftragsverhältnissen
- Pflichten des Auftragnehmers (Duldung und Mitwirkung bei Kontrollen)
- Meldepflicht bei Verstößen gegen das BDSG oder den Vertrag
- Weisungsbefugnis des Auftraggebers bei datenschutzrelevanten Sachverhalten
- Rückgabe oder evtl. Löschung der personenbezogenen Daten am Ende des Auftragsverhältnisses (Auftraggeber bleibt Datenherr)
Bevor ein Vertrag zwischen den Parteien geschlossen werden durfte, musste sich der Auftraggeber vergewissern, dass der Auftragnehmer die vom Gesetz geforderten technischen und organisatorischen Maßnahmen erfüllen konnte.
Je nach Umfang und Art der zu verarbeitenden Daten konnte dieser Kontrollpflicht durch eine Überprüfung vor Ort, den Nachweis aussagekräftiger Datenschutzzertifizierungen, eine Begutachtung des IT-Sicherheitskonzepts oder durch eine schriftliche Auskunft des Auftragnehmers nachgekommen werden.[2]
Der Auftraggeber stellte dem Auftragnehmer auf der Grundlage des im Vertrag festgelegten Weitergabe- bzw. Übermittlungsverfahrens die zu verarbeitenden personenbezogenen Daten bereit. Gegebenenfalls erhob der Auftragnehmer die personenbezogenen Daten auch selbst. Dabei musste der Auftragnehmer die zu verarbeitenden personenbezogenen Daten von den Daten trennen, die er für andere Zwecke erhob oder die er für andere Auftraggeber verarbeitete und nutzte. Nach Abschluss der Verarbeitung stellte der Auftragnehmer die Ergebnisse wiederum in einem zuvor festgelegten Verfahren dem Auftraggeber zur Verfügung.
Abgrenzung zur Funktionsübertragung
Aufgrund der unterschiedlichen rechtlichen Konsequenzen war die Auftragsdatenverarbeitung unbedingt von der Funktionsübertragung zu unterscheiden. Bei der Datenverarbeitung im Auftrag verblieb die Verantwortung und Haftung für die ordnungsgemäße Datenverarbeitung weiterhin beim Auftraggeber. Die Weitergabe von personenbezogenen Daten im Zuge einer Datenverarbeitung im Auftrag qualifizierte sich nicht als Übermittlung im datenschutzrechtlichen Sinne.[3] Dies führte zu einer rechtlichen Privilegierung: Der Empfänger war dabei wie eine ausgelagerte Abteilung des Auftraggebers gestellt und daher im gleichen Maße wie dieser zum Umgang mit den personenbezogenen Daten berechtigt.
Im Gegensatz dazu war bei der Funktionsübertragung der Auftragnehmer selbst verantwortliche Stelle für die verarbeiteten Daten. Eine Weitergabe von personenbezogenen Daten an diesen bedurfte deshalb einer Erlaubnisnorm oder einer Einwilligung.
Im Gesetz fanden sich keine klaren Vorgaben zur Abgrenzung der Datenverarbeitung im Auftrag von der Funktionsübertragung. In der Praxis dienten die Befugnisse des Auftragnehmers als Unterscheidungskriterium.[4] Von einer Datenverarbeitung im Auftrag war dabei auszugehen, wenn der Auftragnehmer nur eine Hilfs- und Unterstützungsfunktion einnahm. Anzeichen dafür waren ein fehlender, eigener Entscheidungsspielraum sowie die Weisungsgebundenheit an den Auftraggeber.
Wurde hingegen der gesamte Aufgaben- oder Geschäftsbereich auf den Auftragnehmer übertragen, so handelte es sich um eine Funktionsübertragung. Ein Hinweis hierfür waren eigene Entscheidungsbefugnisse sowie ein selbständiges Ermessen bei der Verarbeitung der Daten. Auch ein finanzielles Eigeninteresse an den übertragenen Daten konnte ein Indikator für eine Funktionsübertragung sein.
Beispiele
Beispiele für Auftragsdatenverarbeitungs-Verhältnisse waren:
- Verträge über die Auslagerung der Lohnbuchhaltung und Gehaltsabrechnung
- Verträge mit Archivierungs-Dienstleistern
- Verträge mit Aktenvernichtungs-Dienstleistern
- Verträge mit Callcentern oder Direktmarketing-Agenturen (Mailings, Newsletter-Versand, Lettershops)
- Verträge mit Unternehmen, die HR-Systeme oder Kundenverwaltungs-Systeme (CRM) anbieten
- Verträge mit externen Beratern und Wartungsfirmen
- andere Verträge über die Zurverfügungstellung von IT-Ressourcen (z. B. Application Service Providing, Cloud Computing, Software as a Service, Online-Speicherplatz, Payment Service Provider).
Weblinks
Einzelnachweise
- Thomas Hoeren: Das neue BDSG und die Auftragsdatenverarbeitung DuD 2010, 688–691
- Auftragsdatenverarbeitung. Dr. Nils Christian Haag, abgerufen am 19. Juli 2015.
- Auftragsdatenverarbeitung und Funktionsübertragung. (Nicht mehr online verfügbar.) Der Landesbeauftragte für den Datenschutz Baden-Württemberg, archiviert vom Original am 24. Juni 2015; abgerufen am 19. Juli 2015.
- Orientierungshilfe Auftragsdatenverarbeitung. Landesbeauftragter für den Datenschutz Niedersachsen, 2. Dezember 2002, abgerufen am 19. Juli 2015.