Auftragsdatenverarbeitung - ein wichtiges Element im Datenschutz

Auftragsdatenverarbeitung

Zahlreiche Unternehmen lassen personenbezogene Daten von externen Partnern verarbeiten (Outsourcing). Über solch einen Auftrag muss zwingend ein Vertrag geschlossen werden, der detailliert ausformuliert ist und unter anderem Verantwortlichkeiten klar definiert.

Die Auftragsdatenverarbeitung ist im BDSG in §11 beschrieben. Eine Datenverarbeitung im Auftrag ist, wenn sich die verantwortliche Stelle einer Stelle bedient, die für diese im Auftrag und weisungsabhängig personenbezogene Daten erhebt, verarbeitet, nutzt oder löscht. Im Klartext bedeutet das, immer wenn ein Unternehmen personenbezogene Daten von einem externen Dienstleister erheben, verarbeiten oder nutzen lässt, handelt es sich um die sogenannte Auftragsdatenverarbeitung. Als Beispiele sind hier z.B Lohnbüros, Rechenzentrumsdienstleistungen, IT-Dienstleistungen, Callcenter oder Datenerfassungsbüros zu nennen. Auch Funktionen die auf vielen Webseiten genutzt werden wie die Einbindung von Google Analytics sind als Auftragsdatenverarbeitung anzusehen.

Sie sind dazu verpflichtet mit jedem Ihrer Dienstleister, der für Sie personenbezogene Daten erhebt, verarbeitet und nutzt einen Vertrag zur Auftragsdatenverarbeitung abzuschließen BEVOR Sie die Dienstleistung in Anspruch nehmen.

Mit jedem Dienstleister – auch im Fall von Google Analytics mit Google – muss zwingend ein entsprechender Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden.  Dieser Vertrag muss geschlossen werden bevor die Dienstleistung in Anspruch genommen wird. Ohne einen solchen Vertrag bedeutet die Zusammenarbeit einen erheblichen Verstoß gegen die in Europa gültigen Datenschutzbestimmungen. Die Aufsichtsbehörden der einzelnen Länder führen mittlerweise zahlreiche Kontrollen durch. Fehler, die in Zusammenhang mit der auftragsmäßigen Verarbeitung personenbezogener Daten stehen werden mit hohen Geldstrafen von bis zu 50.000 Euro geahndet.

Die Haftung gegenüber dem Betroffenen bleibt bei der Auftragsdatenverarbeitung weiterhin beim Auftraggeber, dass heisst bei einem Datenschutz-Problem muss der Auftraggeber den Betroffenen darüber informieren und ihm gegenüber haften.

Auch nach der neuen Datenschutzgrundverordnung die am 25.05.2018 in Kraft tritt müssen Sie entsprechende Verträge zur Auftragsdatenverarbeitung abschliessen. Hierbei sind einige Änderungen zu beachten. Weitere Informationen zum ADV in der DSGVO.

So kompliziert sich das anhört, so einfach kann der gesetzlichen Verpflichtung durch entsprechenede Verträge mit Ihren Dienstleistern nachgegangen werden. Wir unterstützen Sie gerne bei  einer Vertragerstellung, sollte Ihr Dienstleister nicht bereits einen entsprechenden Vertrag haben. Überprüfen Sie schnellstmöglich, ob Sie auf der sicheren Seite sind! Im Fall von Google Analytics finden Sie hier den Vertrag zur Auftragsdatenverarbeitung. Diesen Vertrag laden Sie herunter, tragen Ihre Daten ein und schicken ihn an die entsprechende Stelle nach Dublin. Sobald Ihnen dieser wieder zurückgeschickt wird können Sie mit der Datenerhebung starten. Sollten Sie bereits Google Analytics nutzen, ohne einen entsprechenden Vertrag, erheben Sie die Daten nach geltendem Recht unzulässig.


Mirko Tasch - Datenschutz-Auditor

Mirko Tasch – Datenschutz-Auditor

Kontaktieren Sie uns, sollten Sie Fragen zu diesem Thema haben. Unser Experte zu ADVs, Herr Mirko Tasch, unterstützt Sie gerne bei Fragen zur Auftragsdatenverarbeitung und bei der Erstellung passender Verträge. Auch bei geplanten Audits bei Ihren Dienstleistern stehen wir Ihnen zur Seite.

Zum Kontaktformular


Details, die im Vertrag zur Auftagsdatenverarbeitung geregelt sein sollten

Die Auswahl eines Auftragnehmers ist lt. §11 Abs. 2 sorgfältig auszuwählen hinsichtlich der technischen und organisatorischen Maßnahmen. Der Auftrag ist dabei schriftlich zu erteilen, die folgenden Bestandteile sollten enthalten sein:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer espeicherter Daten nach Beendigung des Auftrags.

Beispiele für eine Auftragsdatenverarbeitung:

  • Lohnbüros
  • Rechenzentrum-Dienstleister
  • IT-Dienstleister
  • Nutzung von Google Analytics
  • Sekretariats-Service
  • Callcenter

Funktionsübertragung

Jedoch ist nicht jeder Dienstleister der personenbezogene Daten verarbeitet ein Geschäftspartner mit dem man einen Vertrag zur Auftragsdatenverarbeitung abschliessen muss. Es gibt hier den Fall der Funktionsübertragung, wo der Auftragnehmer nicht nur personenbezogene Daten weisungsabhängig verarbeitet, sondern die übergebenden Daten zur Erfüllung weiterer eigener Aufgaben oder Funktionen benötigt. Dabei handelt es sich dann nicht um eine Auftragsdatenverarbeitung, sondern um eine Übermittlung an “Dritte”. Als Beispiele sind hier Inkasso-Unternehmen nennen oder die komplette Übertragung der gesamten Personalverwaltung. Es findet bei der Funktionsübertragung auch die Übertragung der Haftung gegenüber dem Dateneigentümer statt.

Man muss dementsprechend kein Vertrag zur Auftragsdatenverarbeitung abschliessen, jedoch kann man einen Vertrag zur Funktionsübertragung mit dem Dienstleister abschliessen, der einen ähnlichen Aufbau wie ein ADV besitzt.

Beispiele für eine Funktionsübertragung:

  • Inkasso-Unternehmen
  • Outsourcing der Personalverwaltung

Keine Auftragsdatenverarbeitung

Werden Tätigkeiten durch externe Stellen in Anspruch genommen, die nicht die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zum Gegenstand haben, liegt keine Auftragsdatenverarbeitung vor.

Selbst dann nicht, wenn ein Kontakt mit personenbezogenen Daten bei der Auftragserfüllung unvermeidlich ist oder zumindest nicht ausgeschlossen werden kann. Es muss allerdings klar erkennbar sein, dass der Umgang mit personenbezogenen Daten nicht Kernaufgabe der Leistungserbringung ist.

Nicht unter Auftragsdatenverarbeitung fallen somit in der Regel Dienstleistungen wie Gebäudereinigungen, Objektbewachungsdienste sowie Einsätze von Handwerksunternehmen.

Aber auch Transportleistungen von Post-, Kurier- und Speditionsdiensten sind nicht als Auftragsdatenverarbeitung zu bewerten, ebenso wenig Bank- oder Telekommunikationsdienstleistungen.


Gerne unterstützen wir Sie beim Thema ADV wenn Sie Fragen haben oder einen entsprechenden ADV für Ihre Kunden aufsetzen wollen oder müssen.

Zum Kontaktformular