In der Praxis ist die Figur der sog. Auftragsdatenverarbeitung nicht mehr wegzudenken. Unternehmen setzen für unzählige Prozesse externe Dienstleister ein. Werden durch einen solchen Dienstleister personenbezogene Daten im Auftrag erhoben, verarbeitet oder genutzt, so ist nach § 11 Abs. 1 BDSG der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich. Als externe Dienstleister gelten im Datenschutzrecht übrigens auch solche Stellen, die innerhalb eines Konzerns miteinander verbunden sind. So kann etwa auch zwischen zwei Tochtergesellschaften derselben Mutter eine ADV vorliegen und der Abschluss eines entsprechenden Vertrages erforderlich sein.
Die bayerische Aufsichtsbehörde für den Datenschutz im privaten Bereich (BayLDA), hat nun bekanntgegeben (PDF), dass ein Unternehmen, welches einen fehlerhaften Vertrag zur Auftragsdatenverarbeitung nutzte, mit einer Geldbuße in fünfstelliger Höhe belegt wurde. Grund genug für Unternehmen, auf einen rechtkonformen Einsatz externer Dienstleister und Stellen zu achten. Dazu gehört auch der Abschluss eines Vertrages zur Auftragsdatenverarbeitung.
Wann liegt eine „ADV“ vor?
Oft schneller als man denkt. Es existiert jedoch kein fester Katalog an Beispielen. In der Kommentarliteratur werden jedoch etwa folgende Sachverhalte als fall der ADV klassifiziert: Beauftragung eines externen Rechenzentrums mit der Durchführung bestimmter Datenverarbeitungsaufgaben; Beauftragung eines externen Entsorgungsunternehmens mit dem Vernichten von Altpapier; Call-Center-Leistungen, wenn die Kommunikation mit den Anrufern klar vorgegebenen ist; oft auch der Einsatz von Softwarelösungen im Wege des Cloud-Computing.
Grundsätzlich bedarf es jedoch stets einer Prüfung im Einzelfall, ob tatsächlich eine Auftragsdatenverarbeitung vorliegt.
Welchen Inhalt muss der Vertrag haben?
§ 11 Abs. 2 BDSG legt die Mindestanforderungen an einen solchen Vertrag fest. Danach ist der Auftrag schriftlich zu erteilen und insbesondere im Einzelnen festzulegen:
- der Gegenstand und die Dauer des Auftrags,
- der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
- die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen
- die Berichtigung, Löschung und Sperrung von Daten,
- die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
- die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
- die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
- mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
- der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
- die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Im Fall des BayLDA hat das Unternehmen, als Auftraggeber und verantwortliche Stelle, keine konkreten technischen und organisatorischen Maßnahmen (vgl. § 9 BDSG) in den Verträgen festgelegt und bei den Auftragnehmern deren Implementierung nicht geprüft. Diese dürfen nicht pauschal an einen Vertrag abgehängt werden, sondern müssen von Fall zu Fall festgelegt und in dem Vertrag vorgeschrieben werden. Das BayLDA selbst bietet eine Übersicht zur Auftragsdatenverarbeitung mit Erläuterungen an (PDF).