Auftragsdatenverarbeitung

Der Begriff einer „Auftragsdatenverarbeitung“ stammt aus dem Datenschutztecht und bezieht sich auf die in § 11 BDSG festgelegten Anforderungen zur Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag einer verantwortlichen Stelle.

Gemeint ist damit, dass man den Umgang mit personenbezogenen Daten auf einen Dritten (Dienstleister) übertragen kann, jedoch weiterhin für die Daten verantwortlich bleibt.

Die Eigenschaft der Auftragsdatenverarbeitung trifft daher nicht nur Dienstleister, denen man die personenbezogenen Daten zur Bearbeitung eines Auftrags anvertraut, sondern auch solche, die andere Verarbeitungsschritte damit durchführen. Darunter fällt z.B. auch das Löschen (oder Entsorgen) von personenbezogenen Daten.

Weitere Beispiele für Auftragsdatenverarbeitungen:

  • Outsourcing des IT-Betriebs (z.B. Hosting, Rechenzentrum)
  • Datenträgervernichtung durch Dienstleister
  • Aktenvernichtung oder Aktenentsorgung durch Dienstleister
  • Reinigungsdienstleister leer Papierkörbe mit personenbezogenen Daten (die vorher nicht geschreddert wurden)
  • Lohnbuchhaltung durch Steuerbüro
  • Fernwartung der IT-Systeme durch Systemhaus
  • Versand und Druck von Werbebriefen durch Lettershop
  • Newsletterversand durch Marketingagentur

Anforderungen des Gesetzgebers, welche in §11 BDSG zur Auftragsdatenverarbeitung wie folgt definiert sind:

(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
[…]