Auftragsdatenverarbeitung Mustervertrag | §11 BDSG

dokumente 03
Fachbeitrag

Werden personenbezogene Daten im Auftrag verarbeitet, muss vom beauftragenden Unternehmen nach § 11 BDSG ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden. In der Regel unterhalten Unternehmen eine Vielzahl von Auftragsdatenverarbeitungsverhältnissen, insbesondere in den Bereichen IT und Personalverwaltung.

Wozu brauche ich einen Vertrag zur Auftragsdatenverarbeitung?

Ein Vertrag, der die sog. Auftragsdatenverarbeitung regelt, ist natürlich nur dann erforderlich, wenn es sich der Natur der Datenverarbeitung nach um eine Auftragsdatenverarbeitung handelt. Unter Auftragsdatenverarbeitung versteht man die weisungsgebundene Datenverarbeitung durch Externe, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. In der Regel unterhalten Unternehmen eine Vielzahl von Auftragsdatenverarbeitungsverhältnissen, insbesondere in den Bereichen IT und Personalverwaltung. So liegt häufig bereits eine Auftragsdatenverarbeitung vor, wenn Unternehmen z.B. für ihre Datenverarbeitung Kapazitäten externer Rechenzentren nutzen oder die Lohn- und Gehaltsabrechnung durch andere Unternehmen durchführen lassen. Liegt eine Auftragsdatenverarbeitung vor, ist zwischen den Parteien vor Beginn der Auftragsdatenverarbeitung ein entsprechender Vertrag zu schließen.

Was, wenn ich keinen Vertrag abgeschlossen habe?

Die Anforderungen an die Auftragsdatenverarbeitung sind durch den Gesetzgeber im Rahmen einer Novellierung des Bundesdatenschutzgesetzes 2009 massiv verschärft worden. Wird ein Auftrag zur Auftragsdatenverarbeitung u.a. nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt, stellt dies eine Ordnungswidrigkeit dar, die mit einem Bußgeld von bis zu 50.000,- Euro geahndet werden kann (§ 43 Abs. 1 Nr. 2b, Abs. 3 BDSG)

Wie sehen Verträge zur Auftragsdatenverarbeitung aus?

Hat man also nun festgestellt, dass tatsächlich ein Auftragsdatenverarbeitungsverhältnis vorliegt, so kann man den Inhalt dieses Vertrages nicht etwa selbst bestimmen. Ausnahmsweise hat sich der Gesetzgeber hier mal in die Privatautonomie der Vertragsparteien eingemischt und einen Mindest-Vertragsinhalt in § 11 BDSG vorgegeben. Demgemäß muss ein Vertrag zur Auftragsdatenverarbeitung Festlegungen zu folgenden 10 Punkten enthalten:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Hier finden Sie eine Auswahl von Musterverträgen zur Auftragsdatenverarbeitung, die im Internet zu finden sind:

Die Musterverträge sind auf die Gegebenheiten des jeweiligen Auftragsdatenverarbeitsverhältnisses anzupassen und sollten nicht ohne vorherige Prüfung übernommen werden.

Was ist bei technischen und organisatorischen Maßnahmen zu beachten?

Besonders schwierig ist es, die zu treffenden technischen und organisatorischen Maßnahmen (Nr. 3) zu bestimmen. Hier reicht leider kein allgemeiner Satz, dass diese eingehalten werden. Vielmehr ist auf jeden der in Anlage zu § 9 Satz 1 BDSG genannten Punkte einzugehen. Zu beachten ist allerdings auch hier, dass nicht immer sämtliche getroffenen Maßnahmen gegenüber dem Auftraggeber offenbart werden können. Denn immerhin muss auch die eigene Daten- und Informationssicherheit noch gewährleistet bleiben.

Welche besonderen Problemfelder gibt es?

Leider wäre es zu einfach, wenn die oben genannten 10 Punkte immer gelten würden, doch tatsächlich können sie nicht immer strikt und vollumfänglich umgesetzt werden. Denn in vielen Fällen weicht die Praxis von den zugrundeliegenden Vorstellungen des Gesetzgebers ab. Ein Beispiel hierfür ist etwa der externe IT-Dienstleister, der nur In-House arbeitet und für den daher nur wenige der gesetzlich vorgeschriebenen Punkte tatsächlich zutreffend sind.

Ein weiteres Problem in der Praxis ist außerdem, wenn der Auftragnehmer im datenschutzrechtlichen Sinne zufällig der Mutterkonzern des Auftraggebers ist. Hier ist es in der Praxis oft sehr schwierig, den Mutterkonzern auf die Einhaltung bestimmter datenschutzrechtlicher Maßnahmen zu verpflichten oder diesem gar zu erklären, dass er abhängig von den Weisungen des Tochterunternehmens ist. Ärger ist hier meist vorprogrammiert.

Gibt es Gestaltungsspielräume?

Trotz Vorgaben des Vertragsinhaltes durch den Gesetzgeber bleibt die genaue Ausgestaltung der Verträge einzelfallabhängig. Insbesondere verbleiben gewisse Gestaltungsspielräume, die zugunsten des jeweiligen Auftraggebers oder Auftragnehmers ausgeschöpft werden können.

6 Kommentare zu diesem Beitrag

  1. Hallo und herzlichen Dank für diesen informativen Artikel.

    Ich hätte allerdings noch eine Frage dazu. Wie verhält es sich mit Autorespondern aus dem Ausland. Zum Beispiel habe ich eine englische Auftragsdatenverarbeitung mit einem großen Autoresponder aus einem EU-Land (Polen) abgeschlossen. Ist das dann in Deutschland auch rechtskräftig? Eine andere Möglichkeit als eine schriftliche Vereinbarung gibt es ja in solchen Fällen gar nicht. Und persönlich überprüfen geht hier auch nichts, bei anderen übrigens ebenfalls nicht. Wie kann man sich da absichern?

    • Mit einem polnischen Dienstleister (für Autoreply) kann man genauso wie mit einem deutschen Dienstleister personenbezogene Daten austauschen, weil Polen Mitgliedstaat der EU ist. Mit dem Dienstleister müsste ein Zusatzvertrag nach § 11 Bundesdatenschutzgesetz abgeschlossen werden, wie es im Blogartikel ausgeführt wird. Solche Verträge werden häufig in englischer Sprache verfasst und sind natürlich auch und gerade in Deutschland wirksam.

      Da es in solchen Konstellationen häufig zu aufwendig ist, die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten vor Ort zu überprüfen, sollte der Dienstleister die Maßnahmen schriftlich zusammenfassen. Es ist ohnehin gesetzlich vorgeschrieben, dass die Sicherheitsmaßnahmen in einem Dokument aufgeführt werden, das als Anlage Bestandteil des Zusatzvertrags wird.

  2. Bzgl. einer evtl. Bestrafung würde mich sehr interessieren, ob dies nur den Auftraggeber betrifft. Kann hier auch der Auftragnehmer zur Rechenschaft gezogen werden, wenn er vom AG keinen ADV Vertrag erhalten hat? Besten Dank für die Auskunft.

    • Uns sind nur Fälle bekannt, in denen Bußgelder gegen den Auftraggeber verhängt worden sind. Das Bayrische Landesamt für Datenschutzaufsicht hat z.B. diesen Sommer ein Bußgeld in fünfstelliger Höher gegen ein Unternehmen festgesetzt, dass einen unvollständige (und damit unwirksame) Vereinbarung zur Auftragsdatenverarbeitung mit einem Dienstleister abgeschlossen hat:
      Auftragsdatenverarbeitung: fünfstelliges Bußgeld verhängt

      Das heißt aber nicht, dass Auftragnehmer grundsätzlich vor Strafe gefeit sind. Wenn Sie ohne wirksame vertragliche Grundlage personenbezogenen Daten von Auftraggebern erhalten und verarbeiten, verstoßen sie ebenfalls gegen Datenschutzrecht. Wer vorsätzlich oder fahrlässig unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, kann gemäß § 43 Abs. 2 Nr. 1 Bundesdatenschutzgesetz mit einem Bußgeld bis zu 300.000 Euro belegt werden.

  3. Eine weitere Frage in diesem Zusammenhang. Hat bei einer Auftragsverarbeitung in der Schweiz (Muttergesellschaft), die deutsche Tochtergesellschaft einen Datenschutzbeauftragten zu stellen? Wenn ja, hat dieser nur ein quasi Outsourcingcontrolling der gemäß Vertrag definierten Auftragsverarbeitung vorzunehmen oder gehen die Pflichten weiter?

    • Eine deutsche, rechtlich selbständige Gesellschaft hat immer dann einen Datenschutzbeauftragten zu bestellen, wenn die Voraussetzungen des § 4f Abs. 1 BDSG erfüllt sind (nicht-öffentliche Stellen, die mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen). Dies ist unabhängig davon, wo die Muttergesellschaft ihren Sitz hat. Die Pflichten des BDSG sind dementsprechend einzuhalten. Für eine eindeutige Aussage, welche Pflichten im Einzelnen bestehen, wären weitere Informationen zu den Tätigkeiten des deutschen Unternehmens erforderlich.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.