Auftragsdatenverarbeitung – Wann liegt diese vor?

daten 12
Fachbeitrag

Um Kosten zu senken, werden in der heutigen Zeit viele Leistungen an Externe ausgelagert (sog. „Outsourcing“). Beauftragt eine verantwortliche Stelle einen Dritten, weisungsabhängig und im Auftrag personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen, liegt in der Regel gemäß § 11 BDSG eine Auftragsdatenverarbeitung vor.

Dies ist jedoch nicht stets der Fall. Auftragsdatenverarbeitung erfordert nämlich, dass der Auftragnehmer bzw. Dienstleister nur unterstützend tätig wird, also lediglich sog. Hilfsleistungen erbringt. Der Auftragsdatenverarbeiter ist bildlich als verlängerter Arm des Auftraggebers anzusehen, also in seinen Befugnissen im Umgang mit den überlassenen Daten erheblich eingeschränkt (§ 11 Abs. 3 S.1 BDSG).

Klassische Felder der Auftragsdatenverarbeitung sind beispielsweise:

  • Ausgelagertes Callcenter
  • Marketingaktionen durch externe Agenturen
  • Dienstleisterverträge zur Datenträgerentsorgung
  • Externe Lohn- bzw. Gehaltsabrechnung
  • Ausgelagerte Rechenzentren

Haftung des Auftraggebers

Insoweit ist die durch den Auftragnehmer durchgeführte Auftragsdatenverarbeitung auch dem Auftraggeber zuzurechnen, der als verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG auch für Verstöße des Auftragnehmers bzw. des Dienstleisters gegenüber den Betroffenen haftet.

Abgrenzung zur Funktionsübertragung

Die Auftragsdatenverarbeitung ist stets von der sog. Funktionsübertragung abzugrenzen. Wie diese voneinander abgegrenzt werden, erfahren Sie in einem der folgenden Beiträge.

Auftragnehmer in Drittländern

Zu beachten ist weiter, dass Auftragnehmer die außerhalb der EU bzw. des EWR tätig werden, nicht von § 3 Abs. 8 S.3 BDSG erfasst sind und daher als Dritte angesehen werden. Dies hat zur Konsequenz, dass insoweit nie eine Auftragsdatenverarbeitung vorliegen kann.

Bußgeld droht

Ob Auftragsdatenverarbeitung vorliegt, richtet sich ausschließlich nach rechtlichen Vorgaben und kann nicht –wie teilweise praktiziert- vertraglich festgelegt bzw. ausgeschlossen werden. Kommt man bei der Einordnung der vertraglichen Beziehung hier zu einem falschen Ergebnis, kann dies zu erheblichen Bußgeldern führen, die gemäß § 43 Abs. 1 Nr.2b BDSG bis zu 50.000,– Euro betragen können.

Praxishinweis

Um den gesetzlichen Anforderungen zu entsprechen, müssen Verträge zur Auftragsdatenverarbeitung stets die Vorgaben des § 11 BDSG berücksichtigen. Hierzu gibt es viele Muster, die zur ersten Orientierung dienen können, jedoch keine umfassende Beratung ersetzen. Vielmehr ist hier stets den Besonderheiten des Einzelfalls durch eine entsprechende Ausgestaltung der Verträge Rechnung zu tragen.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Erstellung von Verträgen zur Auftragsdatenverarbeitung
  • Durchführung der gesetzlich vorgeschriebenen Dienstleisterkontrolle
  • Dokumentation des laufenden Prozesses, sowie regelmäßige Folgeprüfungen

Informieren Sie sich hier über unser Leistungsspektrum: Auftragsdatenverarbeitung

8 Kommentare zu diesem Beitrag

  1. Hallo,

    ich leite ein Projekt zur Integration der L#G-Abrechnungsprozesse der Schweiz und von Österreich in ein deutsches Shared Service Center. Im Rahmen des Projektes führen wir die Datenmigration durch. Der Datenschutzbeauftragte des Unternehmens vertritt die Auffassung, dass schon alleine die Möglichkeit auf die Daten zugreifen zu können eine Auftragsdatenverarbeitung darstellt. Wie kommentieren Sie diese Rechtsauffassung?

    beste Grüße, Michael

  2. Eine pauschale Antwort lässt sich hier nicht treffen. Läuft die IT über ein ausgelagertes Rechenzentrum in Deutschland und werden hier auch Wartungsarbeiten durchgeführt, wobei der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann (also personenbezogene Daten „nebenher“ zu Kenntnis genommen werden können), greifen über § 11 Abs. 5 BDSG die Vorschriften zur Auftragsdatenverarbeitung, wenn auch keine klassische Auftragsdatenverarbeitung vorliegt!

  3. Hallo,
    mich interessiert die Frage, ob im folgend beschriebenen Fall auch eine Auftragsdatenverarbeitung vorliegt.
    Wir sind Lieferant einer Suchtechnologie, Kunde ist eine große Versicherung:
    – alle Tätigkeiten werden ausschließlich in den hoch gesicherten Räumen (Rechenzentrum) einer großen deutschen Versicherung erbracht.
    – wir installieren unsere Technologie ausschließlich unter Aufsicht der Versicherung unter den dortigen datenschutzrechtlichen Bestimmungen im geschützen und abgeschlossenen Rechenzentrum der Versicherung.
    – Bei der Konfiguration, bzw. bei der anschließenden Optimierung sehen wir u.U. einzelne personenbezogene Daten, können diese aber nicht aufschreiben, kopieren oder sonst wie aus dem gesicherten Bereich entnehmen. Es ist nur eine optische „In-Augenschein-Nahme“ möglich. Dies unter Aufsicht des dortigen Datenschutzbeauftragten.
    – Die Software zur Suche in den personenbezogenen Daten der Versicherung wird nicht durch uns betrieben, sondern durch die Versicherung. Wir installieren dort nur das System und sind dann wieder weg. Haben also außerhalb der Räumlichkeiten der Versicherung keinerlei Zugriff oder Kontakt zu den personenbezogenen Daten. Schon garnicht in unseren Geschäftsräumen.

    Reicht im oben beschriebenen Fall eine Vertraulichkeitsvereinbarung mit uns als Firma und gerne auch nochmals mit den jeweiligen Mitarbeitern nicht auch aus? Die Mitarbeiter sind ohnehin bereits vertraglich verpflichtet, alle ihnen zur Kenntnis gelangten Daten absolut vertraulich zu behandeln.
    Ich frage, weil man uns zwingen möchte, die ganzen baulichen Maßnahmen wie Drehkreuze und Zutrittskontrolle etc. in unseren Geschäftsräumen umzusetzen, obwohl wir hier überhaupt keinen Kontakt mit den Daten haben und haben können.
    Bin für jede Hilfe dankbar,
    Viele Grüße
    Niko

  4. @ Niko:

    Grundsätzlich sind die Vorgaben für eine Auftragsdatenverabeitung gemäß § 11 Abs. 5 BDSG auch dann zu erfüllen, wenn „die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann“.
    Ob die von Ihnen vorgenommen Tätigkeiten tatsächlich dem Anwendungsbereich des § 11 BDSG unterliegen, bedarf einer Einzelfallprüfung. Bitte haben Sie Verständnis dafür, dass wir im Rahmen dieses Blogs keine Rechtsberatung vornehmen können.

  5. Hallo,
    mich interessiert die rechtliche Grundlage zur folgender Situation. Der Service Provider hat Sitz in Deutschland, jedoch werden für die Datenverarbeitung Leistungen eines US-amerikanischen Unternehmens bezogen. Dieser hat jedoch Rechenzentren in Europa. Somit könnte die Datenverarbeitung weiterhin im europäischen Raum bleiben.
    Liegt hier eine Auftragsdatenverarbeitung vor oder ist diese durch den Sitz des Subunternehmens in der USA ausgeschlossen?

    Vielen Dank

    • Diese ist durch den Sitz des Subunternehmens in der USA ausgeschlossen.

      Entscheidend ist die Übermittlung in die USA. Gemeint ist hiermit die Bekanntgabe der Daten durch Weitergabe an einen Dritten (hier den Dienstleister), auf die tatsächliche Kenntnisnahme kommt es nicht an. Die Bekanntgabe ist bereits erfolgt, wenn die bloße Möglichkeit zur Kenntnisnahme besteht.

  6. Guten Tag, mich interessiert folgender Fall:
    Marktführer M für Belieferung von Getränken für zentralisierte Gastronomie (Hotels,Caterer) soll nun seine Kunden auch mit Produkten eines Getränkeherstellers beliefern, der dies bislang selber macht. Es handelt sich also um eine Transportleistung. Dazu werden Kundendaten abgeglichen (Kunden sind alle bei M im System). Wenn nun Einzelunternehmen auf der Kundenliste sein sollten (max 3% der Kunden) handelt es sich dann um personenbezogene Daten, die eine ADV rechtfertigen? Es werden nur Lieferadressen abgeglichen. Vielen Dank.

    • Personenbezogene Daten sind gemäß § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Soweit jemand als Dienstleister die Möglichkeit des Zugriffs auf solche hat, ist mit diesem ein ADV abzuschließen. Nach Ihrer Schilderung befinden sich nicht nur ausschließlich Unternehmensnamen auf der Liste, sondern auch Namen einzelner Mitarbeiter und ein Personenbezug ist daher vorhanden. Nicht in den Geltungsbereich des BDSG fallen hingegen Daten über juristische Personen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.