Auftragsdatenverarbeitung

 

Häufig kommt es vor, dass ein Unternehmen nicht selbst personenbezogene Daten erhebt, verarbeitet oder nutzt, sondern dies als Auftraggeber durch einen Dritten, den Auftragnehmer, erledigen lässt. Hierfür kann es verschiedene Gründe geben. So kann es sein, dass der Auftraggeber selbst nicht über die notwendigen technischen Voraussetzungen verfügt. Oft ist eine Auslagerung von Datenverarbeitungsprozessen auch eine Möglichkeit, Kosten zu sparen. Besonders häufig findet eine Auftragsdatenverarbeitung beispielsweise in den Bereichen des Kundenservices und des Telefonmarketings, beim Outsourcing von Rechenzentren, bei der Vernichtung von Akten und Datenträgern, bei Wartungsverträgen sowie bei der Datenarchivierung statt. Dies kommt nicht selten auch innerhalb eines Konzerns vor.

Der Beitrag nimmt im Folgenden Stellung zu den Fragen, welche gesetzlichen Grundlagen die Auftragsdatenverarbeitung regeln (1.), in welchen Fällen überhaupt eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG vorliegt (2.) und unter welchen Voraussetzungen sie zulässig ist (3.).

 

1. Gesetzliche Grundlagen zur Regelung der Auftragsdatenverarbeitung

 

Gesetzlich geregelt ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Auftrag vor allem in § 11 BDSG. Vor dem Hintergrund, dass zum einen der Auftraggeber die ihm als verantwortliche Stelle auferlegten datenschutzrechtlichen Pflichten durch die Auslagerung von Datenverarbeitungsprozessen nicht umgehen können soll und zum anderen die Datenverarbeitung durch einen Dritten nicht unnötig erschwert werden soll (ohne die Regelung des § 11 BDSG läge eine Übermittlung von Daten im Sinne von § 3 Absatz 4 Nr. 3 BDSG vor, deren Zulässigkeit in den meisten Fällen nur mit einer Einwilligung der Betroffenen herbeigeführt werden könnte), war eine gesetzliche Regelung geboten.

In bestimmten Bereichen sind zum Teil neben § 11 BDSG diesem gegenüber vorrangige Vorschriften bei der Auftragsvergabe zu beachten. Die Erhebung, Verarbeitung und Nutzung von Sozialdaten regelt zum Beispiel der spezielle § 80 SGB X. Im Rahmen von Bankdienstleistungen sind neben den Voraussetzungen des § 11 BDSG jedenfalls auch die besonderen organisatorischen Pflichten des § 25a KWG zu beachten.

 

2. Wann liegt eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG vor?

 

Es bedarf für eine Auftragsdatenverarbeitung eines Auftragsverhältnisses. Auf die Rechtsform dieses Auftragsverhältnisses kommt es aber nicht an. Es muss nicht unbedingt ein Auftrag im Sinne von § 662 ff. BGB vorliegen.

Gegenstand des Auftrags muss die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten oder nur ein Teil hiervon sein (daneben können natürlich auch noch Zusatztätigkeiten vereinbart werden). Erforderlich für eine Auftragsdatenverarbeitung ist, dass die Entscheidungsbefugnis über die Daten und die datenschutzrechtliche Verantwortlichkeit beim Auftraggeber bleibt. Der Auftraggeber ist verantwortliche Stelle, der gegenüber auch bei einer Auftragsdatenverarbeitung  die Rechte der Betroffenen geltend zu machen sind. Diese verantwortliche Stelle muss weiter „Herrin der Daten“ bleiben. Somit liegt keine Auftragsdatenverarbeitung mehr vor, wenn der Auftraggeber dem Auftragnehmer einen inhaltlichen Bewertungs- und Ermessenspielraum in Bezug auf die Datenverarbeitung einräumt. Dann wird von einer sog. Funktionsübertragung gesprochen. In diesem Fall liegt eine Datenübermittlung im Sinne von § 3 Absatz 4 Nr. 3 BDSG vor, deren Zulässigkeit sich nach § 4 BDSG bestimmt (sehr häufig wird dabei eine Einwilligung der Betroffenen notwendig).

An sich keine Auftragsdatenverarbeitung liegt vor bei der Betrauung von Dritten mit der Wartung oder Prüfung von automatisierten Verfahren oder Datenverarbeitungsanlagen, bei denen die Auftragnehmer nur beiläufig Kenntnis von personenbezogenen Daten nehmen können. Dennoch gelten für solche Auftragsverhältnisse die Bestimmungen des § 11 BDSG entsprechend. Das ergibt sich aus § 11 Absatz 5 BDSG.

Vorsicht ist bei Auftragnehmern im Ausland geboten. Nach § 3 Absatz 8 Satz 3 BDSG gilt § 11 BDSG nur für solche Auftragnehmer, die im Geltungsbereich des BDSG bzw. in der EU oder dem EWR tätig werden. Auftragnehmer, die außerhalb dieses räumlichen Bereichs tätig werden, d. h. in Drittstaaten, können nicht Auftragsdatenverarbeiter sein. Für eine Datenübermittlung an Auftragnehmer in Drittstaaten gelten die normalen Regelungen des § 4 BDSG für Datenübermittlungen. Zudem enthalten §§ 4b, 4c BDSG besondere Regeln für internationale Datentransfers.

Sitzt der Auftraggeber in einem Drittland und der Auftragnehmer in Deutschland, muss der Auftraggeber die Bestimmungen des BDSG beachten, wenn er auf automatisierte Datenverarbeitungsvorgänge beim Auftragnehmer in Deutschland zurückgreift.

 

3. Unter welchen Voraussetzungen ist eine Auftragsdatenverarbeitung zulässig?

 

Die Auftragsdatenverarbeitung im Sinne des § 11 BDSG ist zulässig, wenn sowohl der Auftraggeber (a) als auch der Auftragnehmer die ihnen insoweit auferlegten Pflichten erfüllen (b) und die Auftragsvergabe den formalen Anforderungen des § 11 Absatz 2 Satz 2 BDSG (c) gerecht wird.

 

a) Pflichten des Auftraggebers

Der Auftraggeber bleibt verantwortliche Stelle, sodass er auch bei einer Auftragsdatenverarbeitung die umfassende Pflicht zur Einhaltung der datenschutzrechtlichen Vorschriften hat. Daneben ordnet § 11 BDSG weitere Pflichten an:

 

aa) Pflicht zur sorgfältigen Auswahl des Auftragnehmers

Nach § 11 Absatz 2 Satz 1 BDSG hat der Auftraggeber den Auftragnehmer besonders sorgfältig auszuwählen. Er hat dabei insbesondere darauf zu achten, dass die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen geeignet sind, den datenschutzrechtlichen Anforderungen gerecht zu werden. Er muss gewährleisten, dass der Auftragnehmer die Datenschutzvorkehrungen trifft, die der Auftraggeber selbst zu treffen hätte.

 

ab) Pflicht zur Erstkontrolle und zur regelmäßigen Kontrolle

Nach § 11 Absatz 2 Satz 4 BDSG hat sich der Auftragnehmer zunächst im Wege einer sogenannten Erstkontrolle vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Diese Kontrollen dürfen aber freilich nicht unverhältnismäßig sein. Unterlässt der Auftraggeber die Erstkontrolle, kann ihm gemäß § 43 Absatz 1 Nr. 2b, Absatz 3 BDSG ein Bußgeld auferlegt werden.

Es ist allerdings in der Regel nicht erforderlich, dass sich der Auftraggeber selbst vor Ort beim Auftragnehmer überzeugt. Es sind auch andere Kontrollmaßnahmen denkbar wie zum Beispiel eine Kontrolle durch sachverständige Dritte oder durch Anforderung von Prüfergebnissen.

Gemäß § 11 Absatz 2 Satz 5 BDSG ist das Ergebnis der Kontrollen jeweils zu dokumentieren. Die Kontrollen wird in der Regel der Datenschutzbeauftragte des Auftraggebers durchführen. Eine entsprechende Pflicht des Auftragnehmers zur Duldung der Kontrollmaßnahmen ist gesetzlich nicht vorgesehen. Es empfiehlt sich insoweit eine vertragliche Vereinbarung.

 

ac) Pflicht zur Führung eines Verfahrensverzeichnisses

Hinsichtlich der Auftragsdatenverarbeitung ist ein Verfahrensverzeichnis zu führen. Hierfür ist in der Regel der Datenschutzbeauftragte des Auftraggebers zuständig, wobei der Auftragnehmer ihm diesbezüglich die notwendigen Informationen bereitstellen sollte. Es bietet sich an, eine entsprechende Informationspflicht vertraglich zu vereinbaren.

 

b) Pflichten des Auftragnehmers

Insoweit ist zwischen der Auftragsdatenverarbeitung und der Eigenverarbeitung zu unterscheiden. Im Rahmen der Eigenverarbeitung muss der Auftragnehmer (der insoweit ja gerade kein Auftragnehmer ist) selbstverständlich alle ihm nach dem BDSG obliegenden Pflichten beachten. Für die Auftragsdatenverarbeitung dagegen bleibt der Auftraggeber verantwortliche Stelle, sodass im Hinblick auf die Pflichten des Auftragnehmers besondere Regeln gelten.

 

ba) Pflicht zum weisungsgemäßen Handeln

Gemäß § 11 Absatz 3 Satz 1 BDSG darf der Auftragnehmer die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen.

 

bb) Pflicht zum Hinweis auf Datenschutzverstöße

Im Zusammenhang mit der Pflicht zum weisungsgemäßen Handeln steht § 11 Absatz 3 Satz 2 BDSG. Nach dieser Vorschrift ist der Auftragnehmer gehalten, den Auftraggeber auf einen möglichen Verstoß gegen Datenschutzrecht unverzüglich hinzuweisen, wenn er der Ansicht ist, eine Weisung des Auftraggebers verstoße gegen das BDSG oder andere Vorschriften über den Datenschutz. Dennoch bleibt der Auftragnehmer grundsätzlich auch in diesem Fall berechtigt und verpflichtet, den Auftrag weisungsgemäß auszuführen. Die Ausführung des Auftrags ablehnen darf der Auftragnehmer aber in der Regel dann, wenn er sich selbst strafbar oder schadensersatzpflichtig machen könnte.

 

bc) Weitere Pflichten des Auftragnehmers nach § 11 Absatz 4 BDSG

Diese Vorschrift konstituiert weitere Pflichten des Auftragnehmers bei der Auftragsausführung. Ist der Auftragnehmer eine nicht-öffentliche Stelle (die auch nicht in öffentlichem Auftrag tätig wird oder mehrheitlich in öffentlicher Hand ist), muss er insbesondere die Mitarbeiter auf das Datengeheimnis nach § 5 BDSG verpflichten, technische und organisatorische Maßnahmen zum Datenschutz nach § 9 BDSG treffen (diese sind im Einzelnen in Anlage zu § 9 Satz 1 BDSG aufgezählt) und einen Datenschutzbeauftragten entsprechend §§ 4f und 4g BDSG bestellen.

 

c) Formale Anforderungen an die Auftragsvergabe

Die formalen Anforderungen an die Auftragsvergabe gibt § 11 Absatz 2 Satz 2 BDSG vor.

Zum einen ist es nach dieser Vorschrift erforderlich, dass der Auftrag schriftlich erteilt wird. Erst die schriftliche Erteilung lässt das Auftragsverhältnis wirksam werden.

Zum anderen bestimmt § 11 Absatz 2 Satz 2 BDSG, welche Einzelheiten mindestens vertraglich zu regeln sind. Fehlt es am notwendigen Inhalt, liegt gemäß § 43 Absatz 1 Nr. 2b BDSG eine Ordnungswidrigkeit vor, die ein Bußgeld nach sich ziehen kann.

Nach dem 10-Punkte-Katalog des § 11 Absatz 2 Satz 2 Nr. 1 bis 10 BDSG sind folgende Einzelheiten festzulegen:

 

Der Gegenstand und die Dauer des Auftrags (Nr. 1)

Der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art  der Daten und der Kreis der Betroffenen (Nr. 2)

Die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen (Nr. 3)

Die Berichtigung, Löschung und Sperrung von Daten (Nr. 4)

Die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen (Nr. 5)

Die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen (Nr. 6)

Die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers (Nr. 7)

Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen (Nr. 8)

Der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält (Nr. 9)

Die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags (Nr. 10)

 

.

Copyright Institut für Datenschutz und -Sicherheit (IfDuS) – Lars Beitlich