Auftragsdatenverarbeitung
Auftragsdatenverarbeitung ist die Datenverarbeitung im Auftrag durch einen Dritten, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. Eine Weitergabe von Daten im Rahmen einer Auftragsdatenverarbeitung nach § 11 BDSG stellt keine Übermittlung von Daten gemäß § 3 Abs. 4 Nr. 3 BDSG dar.
Die Anforderungen an die Auftragsdatenverarbeitung sind durch den Gesetzgeber mit der Gesetzesänderung zum 01.09.2009 stark verschärft worden. Der notwendige Inhalt eines Vertrages über die Auftragsdatenverarbeitung ist nunmehr in § 11 BDSG in einem 10-Punkte-Katalog geregelt worden. Zudem sind die Kontroll- und Dokumentationspflichten des Auftraggebers verschärft worden, so dass diesen Kontrollpflichten in Bezug auf die Einhaltung technischer und organisatorischer Maßnahmen durch den Auftragnehmer treffen.
Wann liegt eine Auftragsdatenverarbeitung vor?
Beauftragt ein Unternehmen als verantwortliche Stelle ein anderes Unternehmen, weisungsabhängig und im Auftrag personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen, liegt in der Regel gemäß § 11 BDSG eine Auftragsdatenverarbeitung vor.
Der Auftragnehmer bzw. Dienstleister wird in diesen Fällen nur unterstützend tätig und ist bildlich als verlängerter Arm des Auftraggebers anzusehen, also in seinen Befugnissen im Umgang mit den überlassenen Daten erheblich eingeschränkt (§ 11 Abs. 3 S.1 BDSG).
Wie wird die Auftragsdatenverarbeitung von der Funktionsübertragung abgegrenzt?
Maßgebend für die Einordnung als Auftragsdatenverarbeitung ist, ob der Auftragnehmer bzw. Dienstleister lediglich sog. Hilfstätigkeiten erbringt oder er über einen eigenständigen Entscheidungsspielraum verfügt.
In letzterem Fall erhebt, verarbeitet oder nutzt der Auftragnehmer personenbezogene Daten regelmäßig (auch) für eigene Zwecke und nicht mehr bloß im Auftrag, so dass er Dritter im Sinne des § 3 Abs. 8 S. 2 und 3 ist. Es liegt dann in Abgrenzung zur Auftragsdatenverarbeitung eine Funktionsübertragung vor.
Wie sehen die Verträge aus?
Liegt ein Auftragsdatenverarbeitungsverhältnis vor, ist ein entsprechender Vertrag zu erstellen, dessen Inhalt ausnahmsweise nicht von den Vertragsparteien bestimmbar, sondern bereits vom Gesetzgeber in § 11 BDSG vorgegeben ist. Der Vertrag über die Auftragsdatenverarbeitung muss demnach Regelungen zu den 10 in § 11 Abs. 2 S. 2 BDSG festgelegten Punkten enthalten.
Was sind EU-Standardvertragsklauseln?
Im Zusammenhang mit den EU-Standardvertragsklauseln ist zunächst zu prüfen, ob zumindest faktisch ein Auftragsdatenverarbeitungsverhältnis vorliegt. Nach positiver Klärung dieser Voraussetzung ist bei Beauftragung eines externen Dienstleisters mit Sitz im nicht-europäischen Ausland bzw. im Drittstaat mit niedrigem Datenschutzniveau oder als US-Unternehmen ohne gleichzeitige Safe-Habor-Zertifizierung die Vorgehensweise zu prüfen. Zu beachten ist nämlich, dass es sich nach deutschem Recht dann nicht um eine Auftragsdatenverarbeitung handelt, wenn der Auftragnehmer außerhalb der EU bzw. des EWR tätig ist. Er gilt dann gemäß § 3 Abs. 8 S. 3 BDSG als Dritter. Um dennoch ein angemessenes Datenschutzniveau entsprechend den europäischen Vorgaben herzustellen, bieten unter anderem EU-Standard-Vertragsklauseln eine Lösung.
Über die Autoren:
Unsere Autoren sind spezialisierte Juristen mit Kompetenzen auf den Gebieten Datenschutz, Recht und IT. Jeder Einzelne verfügt über ein umfassendes Erfahrungsspektrum als Externer Datenschutzbeauftragter.
Sie können einen Trackback von Ihrer Seite hierher setzen.
