Auftragsdatenverarbeitung liegt vor, wenn personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden, § 11 Abs. 1 BDSG. Aufträge zur Datenverarbeitung müssen zwingend folgende Voraussetzungen beachten:
Der Auftrag ist gem § 11 Abs. 2 S. 2 BDSG
- schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:
- der Gegenstand und die Dauer des Auftrags,
- der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
- die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
- die Berichtigung, Löschung und Sperrung von Daten,die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
- die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
- die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
- mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
- der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
- die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Bei Missachtung dieser zwingenden Vorschriften kann ein Bußgeld bis zu 50.000 EUR verhängt werden. Ist der durch die Auftragsdatenverarbeitung wirtschaftliche Vorteil größer als dieser Betrag, kann auch ein erhöhtes Bußgeld verhängt werden.
