auftragsdatenverarbeitungAuftragsdatenverarbeitung liegt regelmäßig dann vor, wenn Dritte in einen Datenverarbeitungsvorgang eingeschaltet werden (z.B. beim Outsourcing). Diese Dritte sind sorgfältig auszuwählen. Der Auftrag ist dem Dritten zwingend schriftlich zu erteilen. Er muss eine Vielzahl gesetzlich genau vorgegebener Angaben beinhalten. Verstöße gegen die zwingenden gesetzlichen Vorschriften können zu Bußgeldern führen.

Begriff und Grundsätze der Auftragsdatenverarbeitung

Eine Auftragsdatenverarbeitung liegt vor, wenn personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden, § 11 Abs. 1 Bundesdatenschutzgesetz (BDSG).

Beispiel: Ein Arzt beauftragt eine Abrechnungsunternehmen mit dem Inkasso und übermittelt diesem hierzu Patientendaten.

Es wird also ein Dritter für den Auftraggeber tätig. Der Dritte verarbeitet die ihm überlassenen Daten im vereinbarten Umfang. Damit überhaupt eine Auftragsdatenverarbeitung vorliegt, muss der Dritte unselbstständig handeln. Sind ihm die Aufgaben zur selbstständigen Erledigung übertragen, handelt der Dritte nicht i.S.d. § 11 BDSG. Er ist vielmehr selbst verantwortliche Stelle i.S.d. BDSG.

Soweit eine Auftragsdatenverarbeitung nach § 11 BDSG gegeben ist, bleibt der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich. Die Rechte des Betroffenen sind regelmäßig ihm gegenüber geltend zu machen.

Auftragnehmer: Qualifikation und Anforderungen

Der Auftragnehmer ist gem. § 11 Abs. 2 BDSG unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.

Bei der Datenverarbeitung darf der Auftragnehmer gem. § 11 Abs. 3 BDSG die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen.

Beispiel: Das Ärzte-Abrechnungsunternehmen darf mit den Patientendaten nur Rechnungen Mahnungen etc. erstellen. Eine Weitergabe an ein Pharmaunternehmen zu Forschungs- oder Werbezwecken ist unzulässig.

Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.

Form und Inhalt der Auftragserteilung zur Datenverarbeitung

Aufträge zur Datenverarbeitung müssen zwingend die folgenden Anforderungen erfüllen. Werden diese nicht erfüllt, so können gem. § 43 Abs. 1 Nr. 2b BDSG Bußgelder von bis zu 50.000 EUR verhängt werden. Die Geldbuße soll gem. § 43 Abs. 3 S. 2 BDSG den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen hierfür die genannten Beträge  nicht aus, so können sie überschritten werden. Es können also auch Bußgelder über 50.000 EUR verhängt werden.

Angesichts dieser Sanktionen sollte in Fällen der Auftragsdatenverarbeitung die formalen und inhaltlichen Vorgaben genau beachtet werden.

Der Auftrag ist gem § 11 Abs. 2 S. 2 BDSG 

  • schriftlich

zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Weitere Informationen

Online Kontakt - Direkt zu Anwalt und Fachanwalt

Direktkontakt zu Anwalt und Fachanwalt. Bei Fristabläufen oder anderem sofortigen Handlungsbedarf kontaktieren Sie uns bitte ausschließlich telefonisch Montag bis Freitag vor 17 Uhr, um eine Bearbeitung am selben Tag sicherzustellen.