Hauptmenü öffnen

Datenverarbeitung im Auftrag – auch Auftragsdatenverarbeitung (ADV) genannt – bezeichnete in Deutschland die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Dienstleister im Auftrag des Verantwortlichen. Sie war in § 11 des Bundesdatenschutzgesetzes (BDSG) in der Fassung vom 14. August 2009 (BGBl. 2009 I S. 2814) geregelt. Das BDSG in dieser Fassung und damit auch der darin enthaltene § 11 verloren mit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DS-GVO, Verordnung (EU) 2016/679) und des in Artikel 1 des deutschen Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU (DSAnpUG-EU) (BGBl. 2017 I S. 2097) neu gefassten Bundesdatenschutzgesetzes am 25. Mai 2018 ihre Wirksamkeit. Seit diesem Zeitpunkt regelt Art. 28 der DS-GVO die Verarbeitung im Auftrag. (Die Begrifflichkeiten der Auftragsdatenverarbeitung und der Datenverarbeitung im Auftrag finden in der DS-GVO keine Verwendung mehr.) Der § 80 (Verarbeitung von Sozialdaten im Auftrag) des Zehnten Sozialgesetzbuchs wurde entsprechend den Vorgaben des Artikels 28 der DS-GVO durch den deutschen Gesetzgeber angepasst.

Der nachfolgende Text beschreibt die Auftragsdatenverarbeitung, wie sie bis zum 25. Mai 2018 gesetzlich vorgeschrieben und gültig war.

Vorgaben bei der AuftragsdatenverarbeitungBearbeiten

Seit der Novellierung des Bundesdatenschutzgesetzes im Jahr 2009 werden die Voraussetzungen einer Auftragsdatenverarbeitung vom Gesetzgeber in einem Zehn-Punkte-Katalog vorgegeben.[1] Voraussetzung ist ein schriftlicher Vertrag mit folgenden Regelungen:

  • Auftragsgegenstand und Dauer des Auftragsverhältnisses
  • Umfang, Art und Zweck der Datenverarbeitung
  • Technische und organisatorische Maßnahmen des Auftragnehmers
  • Löschung, Berechtigung und Sperrung von personenbezogenen Daten
  • Kontrollrechte des Auftraggebers
  • Eventuelle Befugnis zu Unterauftragsverhältnissen
  • Pflichten des Auftragnehmers (Duldung und Mitwirkung bei Kontrollen)
  • Meldepflicht bei Verstößen gegen das BDSG oder den Vertrag
  • Weisungsbefugnis des Auftraggebers bei datenschutzrelevanten Sachverhalten
  • Rückgabe oder evtl. Löschung der personenbezogenen Daten am Ende des Auftragsverhältnisses (Auftraggeber bleibt Datenherr)

Bevor ein Vertrag zwischen den Parteien geschlossen werden darf, muss sich der Auftraggeber vergewissern, dass der Auftragnehmer die vom Gesetz geforderten technischen und organisatorischen Maßnahmen erfüllen kann.

Je nach Umfang und Art der zu verarbeitenden Daten kann dieser Kontrollpflicht durch eine Überprüfung vor Ort, dem Nachweis aussagekräftige Datenschutzzertifizierungen, einer Begutachtung des IT-Sicherheitskonzepts oder durch eine schriftliche Auskunft des Auftragnehmers nachgekommen werden.[2]

Der Auftraggeber stellt dem Auftragnehmer auf der Grundlage des im Vertrag festgelegten Weitergabe- bzw. Übermittlungsverfahren die zu verarbeitenden personenbezogenen Daten bereit. Gegebenenfalls erhebt der Auftragnehmer die personenbezogenen Daten auch selbst. Dabei muss der Auftragnehmer die zu verarbeitenden personenbezogenen Daten von den Daten trennen, die er für andere Zwecke erhoben hat oder die er für andere Auftraggeber verarbeitet und nutzt. Nach Abschluss der Verarbeitung stellt der Auftragnehmer die Ergebnisse wiederum in einem zuvor festgelegten Verfahren dem Auftraggeber zur Verfügung.

Abgrenzung zur FunktionsübertragungBearbeiten

Aufgrund der unterschiedlichen rechtlichen Konsequenzen ist die Auftragsdatenverarbeitung unbedingt von der Funktionsübertragung zu unterscheiden. Bei der Datenverarbeitung im Auftrag verbleibt die Verantwortung für die ordnungsgemäße Datenverarbeitung sowie deren Haftung weiterhin beim Auftraggeber. Die Weitergabe von personenbezogenen Daten im Zuge einer Datenverarbeitung im Auftrag qualifiziert sich nicht als Übermittlung im datenschutzrechtlichen Sinne.[3] Dies führt zu einer rechtlichen Privilegierung. Der Empfänger ist dabei wie eine ausgelagerte Abteilung des Auftraggebers und daher im gleichen Maße wie dieser zum Umgang mit den personenbezogenen Daten berechtigt.

Im Gegensatz dazu ist bei der Funktionsübertragung der Auftragnehmer selbst verantwortliche Stelle für die verarbeiteten Daten. Eine Weitergabe von personenbezogenen Daten an diesen bedarf deshalb einer Erlaubnisnorm oder einer Einwilligung.

Im Gesetz finden sich keine klaren Vorgaben zur Abgrenzung der Datenverarbeitung im Auftrag von der Funktionsübertragung. In der Praxis dienen die Befugnisse des Auftragnehmers als Unterscheidungskriterium.[4] Von einer Datenverarbeitung im Auftrag ist dabei auszugehen, wenn der Auftragnehmer nur eine Hilfs- und Unterstützungsfunktion einnimmt. Anzeichen dafür sind ein fehlender, eigener Entscheidungsspielraum sowie die Weisungsgebundenheit an den Auftraggeber.

Wird hingegen der gesamte Aufgaben- oder Geschäftsbereich auf den Auftragnehmer übertragen, handelt es sich um eine Funktionsübertragung. Ein Hinweis hierfür sind eigene Entscheidungsbefugnisse sowie ein selbständiges Ermessen bei der Verarbeitung der Daten. Auch ein finanzielles Eigeninteresse an den übertragenen Daten kann ein Indikator für eine Funktionsübertragung sein.

BeispieleBearbeiten

Beispiele für Auftragsdatenverarbeitungs-Verhältnisse sind:

WeblinksBearbeiten

EinzelnachweiseBearbeiten

  1. Thomas Hoeren: Das neue BDSG und die Auftragsdatenverarbeitung DuD 2010, 688–691
  2. Auftragsdatenverarbeitung. Dr. Nils Christian Haag, abgerufen am 19. Juli 2015.
  3. Auftragsdatenverarbeitung und Funktionsübertragung. (Nicht mehr online verfügbar.) Der Landesbeauftragte für den Datenschutz Baden-Württemberg, archiviert vom Original am 24. Juni 2015; abgerufen am 19. Juli 2015.   Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.baden-wuerttemberg.datenschutz.de
  4. Orientierungshilfe Auftragsdatenverarbeitung. Landesbeauftragter für den Datenschutz Niedersachsen, 2. Dezember 2002, abgerufen am 19. Juli 2015.
  Bitte den Hinweis zu Rechtsthemen beachten!