Treutler Rechtsanwälte Fachanwälte
Prüfeninger Straße 62
93049 Regensburg
  Tel.: (09 41) 9 20 69-0
Fax: (09 41) 9 20 69-20
www.t-anwaelte.de

Druckansicht des Inhalts der Seite
Treutler | Rechtsanwälte Fachanwälte Regensburg: Auftragsdatenverarbeitung
http://www.t-anwaelte.de/index.php?id=709
Dienstag, 16. Juli 2019 | 11:20 Uhr
  diese Seite jetzt drucken...
zurück zur Normalansicht...

Auftragsdatenverarbeitung


In den Unternehmen werden immer mehr Prozesse und Aufgaben ausgelagert und auf Drittanbieter übertragen. Egal, ob es sich hier um die Lohnbuchhaltung, die Beauftragung eines Callcenters zur Kundenbefragung, das Outsourcing des Rechenzentrums oder die externe Rechnungsbearbeitung handelt, in allen diesen Fällen findet regelmäßig Auftragsdatenverarbeitung statt.

 

Im IT-Bereich sind hiervon auch (Fern-)Wartung von Servern/PCs durch externe Dienstleister, Softwarepflege und Migration betroffen, wenn ein Zugriff auf personenbezogene Daten erfolgen kann. Zu nennen ist in diesem Zusammenhang auch die Inanspruchnahme von Mietlösungen (zB SaaS).

 

Was ist Auftragsdatenverarbeitung?

 

Gemäß § 11 Abs. 1 Bundesdatenschutzgesetz (BDSG) liegt Auftragsdateverarbeitung vor, wenn personenbezogene Daten durch andere Stellen erhoben, verarbeitet und genutzt werden. Der Auftraggeber, also z.B. das Unternehmen, dass eine Aufgabe auf einen externen Anbieter übertragen hat, ist dann für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich.

 

Abzugrenzen ist die Auftragsdatenverarbeitung von der sogenannten Funktionsübertragung, bei der der externe Dienstleister lediglich Hilfstätigkeiten ohne eigenen Entscheidungsspielraum bezüglich der zu verarbeitenden Daten erbringt.

 

Was bedeutet das für den Auftraggeber?

 

Der Auftraggeber muss mit dem Auftragnehmer, also demjenigen, der die Datenverarbeitung übernimmt, eine schriftliche Vereinbarung treffen, die die in § 11 Abs. 2 BDSG [Link] aufgezählten Punkte enthält. Die Einhaltung der dort geregelten Vorgaben durch den Auftragnehmer muss der Auftraggeber kontrollieren. Hierfür sollte er sich einen Zutritt beim Auftragnehmer vorbehalten.

 

Im Internet sind zwar Musterverträge zur Auftragsdatenverarbeitungsvereinbarung zu finden. Die ungeprüfte Übernahme solcher Vertragsmuster ist aber riskant, da sie möglicherweise nicht die Besonderheiten des Einzelfalls berücksichtigen.

 

Was kann passieren, wenn die Vorgaben zur Auftragsdatenverarbeitung nicht eingehalten werden?

 

Dies stellt eine Ordnungswidrigkeit dar, die von der zuständigen Aufsichtsbehörde mit einem Bußgeld bis zu 50.000 € belegt werden kann.

 

Was gilt bei Datentransfer in Nicht-EU/EWR-Staaten?

 

Hat der Auftragnehmer seinen Sitz nicht in einem EU- oder EWR-Mitgliedsstaat, ist ein Datentransfer im Rahmen der Auftragsdatenverarbeitung (§ 11 BDSG) so nicht möglich. Es müssen weitere Vorgaben wie z.B. EU-Standardvertragsklauseln oder Binding-Corporate-Rules berücksichtigt werden.

 

Gerne beraten wir Sie zu allen Fragen bezüglich Auftragsdatenverarbeitung und unterstützen Sie bei der Formulierung einer auf Ihren Fall zugeschnittenen Auftragsdatenverarbeitungsvereinbarung.

 

Ihr Ansprechpartner: RA Stephan Grün