Auftragsdatenverarbeitung – Wann liegt diese vor?
Freitag, 7. Januar 2011, 8:53 Uhr
Um Kosten zu senken, werden in der heutigen Zeit viele Leistungen an Externe ausgelagert (sog. „Outsourcing“). Beauftragt eine verantwortliche Stelle einen Dritten, weisungsabhängig und im Auftrag personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen, liegt in der Regel gemäß § 11 BDSG eine Auftragsdatenverarbeitung vor.
Dies ist jedoch nicht stets der Fall. Auftragsdatenverarbeitung erfordert nämlich, dass der Auftragnehmer bzw. Dienstleister nur unterstützend tätig wird, also lediglich sog. Hilfsleistungen erbringt. Der Auftragsdatenverarbeiter ist bildlich als verlängerter Arm des Auftraggebers anzusehen, also in seinen Befugnissen im Umgang mit den überlassenen Daten erheblich eingeschränkt (§ 11 Abs. 3 S.1 BDSG).
Klassische Felder der Auftragsdatenverarbeitung sind beispielsweise:
- Ausgelagertes Callcenter
- Marketingaktionen durch externe Agenturen
- Dienstleisterverträge zur Datenträgerentsorgung
- Externe Lohn- bzw. Gehaltsabrechnung
- Ausgelagerte Rechenzentren
Haftung des Auftraggebers
Insoweit ist die durch den Auftragnehmer durchgeführte Auftragsdatenverarbeitung auch dem Auftraggeber zuzurechnen, der als verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG auch für Verstöße des Auftragnehmers bzw. des Dienstleisters gegenüber den Betroffenen haftet.
Abgrenzung zur Funktionsübertragung
Die Auftragsdatenverarbeitung ist stets von der sog. Funktionsübertragung abzugrenzen. Wie diese voneinander abgegrenzt werden, erfahren Sie in einem der folgenden Beiträge.
Auftragnehmer in Drittländern
Zu beachten ist weiter, dass Auftragnehmer die außerhalb der EU bzw. des EWR tätig werden, nicht von § 3 Abs. 8 S.3 BDSG erfasst sind und daher als Dritte angesehen werden. Dies hat zur Konsequenz, dass insoweit nie eine Auftragsdatenverarbeitung vorliegen kann.
Bußgeld droht
Ob Auftragsdatenverarbeitung vorliegt, richtet sich ausschließlich nach rechtlichen Vorgaben und kann nicht –wie teilweise praktiziert- vertraglich festgelegt bzw. ausgeschlossen werden. Kommt man bei der Einordnung der vertraglichen Beziehung hier zu einem falschen Ergebnis, kann dies zu erheblichen Bußgeldern führen, die gemäß § 43 Abs. 1 Nr.2b BDSG bis zu 50.000,– Euro betragen können.
Praxishinweis
Um den gesetzlichen Anforderungen zu entsprechen, müssen Verträge zur Auftragsdatenverarbeitung stets die Vorgaben des § 11 BDSG berücksichtigen. Hierzu gibt es viele Muster, die zur ersten Orientierung dienen können, jedoch keine umfassende Beratung ersetzen. Vielmehr ist hier stets den Besonderheiten des Einzelfalls durch eine entsprechende Ausgestaltung der Verträge Rechnung zu tragen.
Über die Autoren:
Unsere Autoren sind spezialisierte Juristen mit Kompetenzen auf den Gebieten Datenschutz, Recht und IT. Jeder Einzelne verfügt über ein umfassendes Erfahrungsspektrum als Externer Datenschutzbeauftragter.
Sie können einen Trackback von Ihrer Seite hierher setzen.
Michael schreibt:
14. Januar 2011 um 18:35
Hallo,
ich leite ein Projekt zur Integration der L#G-Abrechnungsprozesse der Schweiz und von Österreich in ein deutsches Shared Service Center. Im Rahmen des Projektes führen wir die Datenmigration durch. Der Datenschutzbeauftragte des Unternehmens vertritt die Auffassung, dass schon alleine die Möglichkeit auf die Daten zugreifen zu können eine Auftragsdatenverarbeitung darstellt. Wie kommentieren Sie diese Rechtsauffassung?
beste Grüße, Michael
Dr. Datenschutz schreibt:
18. Januar 2011 um 10:39
Eine pauschale Antwort lässt sich hier nicht treffen. Läuft die IT über ein ausgelagertes Rechenzentrum in Deutschland und werden hier auch Wartungsarbeiten durchgeführt, wobei der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann (also personenbezogene Daten „nebenher“ zu Kenntnis genommen werden können), greifen über § 11 Abs. 5 BDSG die Vorschriften zur Auftragsdatenverarbeitung, wenn auch keine klassische Auftragsdatenverarbeitung vorliegt!