Das Wichtigste zur Auftragsdatenverarbeitung in Kürze
- Öffentliche und nichtöffentliche Stellen dürfen grundsätzlich die Verarbeitung personenbezogener Daten auch an Dritte weitergeben und so einzelne Teilbereiche auslagern. Der Schutz der Daten muss aber auch dann gewährleistet werden.
- Für die Auftragsdatenverarbeitung bedarf es stets einer schriftlichen und umfassenden Vereinbarung zwischen Auftraggeber und Auftragnehmer. § 11 Absatz 2 BDSG stellt einen Zehn-Punkte-Katalog zum Inhalt einer solchen Vereinbarung zur Verfügung.
- Ein Muster, wie die Auftragsdatenverarbeitung vereinbart werden kann, finden Sie am Ende unseres Textes. Dieses erhebt jedoch keinen Anspruch auf Vollständigkeit und Rechtswirksamkeit.
Was ist unter Auftragsdatenverarbeitung zu verstehen? Definition nach § 11 BDSG
Inhaltsverzeichnis
Nicht in allen öffentlichen und nichtöffentlichen Stellen sind ausreichend Ressourcen vorhanden, um die Verarbeitung von personenbezogenen Daten angemessen umzusetzen. Es besteht dann die Möglichkeit, derlei Aufgaben an externe Firmen outzusourcen. Diese Auslagerung der Speicherung, Verarbeitung und Nutzung von personenbezogenen Daten für die Interessen eines anderen Unternehmens meint per Definition die Auftragsdatenverarbeitung im Konzern oder in der Behörde. Die Auftragnehmer erhalten dann ggf. die zu verarbeitenden Datensätze oder aber erheben sie selbst.
Damit bei dieser Auftragsdatenverarbeitung (ADV) der Datenschutz jedoch nicht zu kurz kommt, gibt § 11 Bundesdatenschutzgesetz (BDSG) wichtige Regeln auf, die im Zuge der Weitergabe zu berücksichtigen sind.
Damit die Auftraggeber die Last der Einhaltung von Datenschutzrichtlinien nicht ebenfalls an den Auftragnehmer abgibt, bestimmt § 11 Absatz 1 BDSG eindeutig, dass die Verantwortung stets beim Auftraggeber liegt. Dieser hat dafür Sorge zu tragen, dass der Datenschutz bei der Auftragsdatenverarbeitung eingehalten wird. Er ist damit auch im Falle eines Verstoßes in Haftung zu nehmen.
Zehn-Punkte-Katalog: Was muss ein Vertrag zur Auftragsdatenverarbeitung berücksichtigen?
Das Bundesdatenschutzgesetz gibt sehr explizite Anweisungen zum Inhalt von einem ADV-Vertrag, zu deren Einhaltung der Auftraggeber mindestens verpflichtet ist. Darüber hinausgehende Vereinbarungen können Sie ggf. auf Ihren Einzelfall zuschneiden.
Paragraph 11 Absatz 2 BDSG enthält einen Zehn-Punkte-Katalog, den Auftraggeber beim Abschluss von einem Auftragsdatenverarbeitungsvertrag zu berücksichtigen haben, um den Datenschutz bei der Datenverarbeitung im Auftrag zu gewährleisten.
Mithilfe der folgenden Checkliste zur Auftragsdatenverarbeitung können Sie im Einzelfall prüfen, ob Ihre Auftragsdatenverarbeitungsvereinbarung die entsprechenden Punkte enthält:
| Checkliste zur Auftragsdatenverarbeitung | Erledigt? | ||
|---|---|---|---|
| Was müssen Sie bei der Vereinbarung zur Auftragsdatenverarbeitung beachten (§ 11 Absatz 2 BDSG)? | Ja | Nein | |
| 1. | Sind Gegenstand und Dauer in dem Vertrag eindeutig festgelegt? | ❍ | ❍ |
| 2. | Sind der Umfang, die Art, der Zweck, die Art der Daten und der Betroffenenkreis eindeutig definiert? | ❍ | ❍ |
| 3. | Wurden alle zu treffenden organisatorischen und technischen Maßnahmen (§ 9 BDSG) vereinbart? | ❍ | ❍ |
| 4. | Sind Regularien zu Berichtigung, Löschung und Sperrung (§§ 20, 35 BDSG) enthalten? | ❍ | ❍ |
| 5. | Sind die Pflichten des Auftragnehmers (§ 11 Absatz 4 BDSG) explizit erfasst? | ❍ | ❍ |
| 6. | Wurde die Berechtigung erteilt, dass die Auftragsdatenverarbeitung auch an Subunternehmen weitergereicht werden darf (soweit erforderlich)? | ❍ | ❍ |
| 7. | Sind Ihnen als Auftraggeber die notwendigen Kontrollrechte und dem Auftragnehmer die entsprechende Duldungs- sowie Mitwirkungspflicht zugewiesen worden? | ❍ | ❍ |
| 8. | Ist festgelegt, dass Verstöße gegen den Datenschutz seitens des Auftragnehmers oder bei diesem beschäftigten Personen zu erfolgen haben? | ❍ | ❍ |
| 9. | Sind Ihnen als Auftraggeber die notwendigen Weisungsbefugnisse zugeteilt worden? | ❍ | ❍ |
| 10. | Ist für den Fall der Beendigung des Auftrages die Rückgabe überlassener Datenträger und die Löschung aller beim Auftragnehmer gespeicherten Daten bestimmt? | ❍ | ❍ |
Welche Pflichten hat der Auftragnehmer laut BDSG bei der Auftragsdatenverarbeitung?
Doch nicht nur dem Auftraggeber gibt das Bundesdatenschutzgesetz enge Vorgaben, auch der Auftragnehmer muss einige wichtige Pflichten erfüllen. Diese finden sich in § 11 Absatz 4 BDSG und sind – wie aus der Checkliste hervorgeht – stets auch in dem Vertrag zur Auftragsdatenverarbeitung explizit festzuhalten.
Folgende Pflichten haben die Auftragnehmer u.a.:
- Die Mitarbeiter in der Datenverarbeitung müssen auf das Datengeheimnis verpflichtet sein (§ 5 BDSG).
- Es müssen geeignete technische und organisatorische Maßnahmen zur Einhaltung des Datenschutzes getroffen werden (§ 9 BDSG).
- Der Auftragnehmer ist zudem zur Einhaltung der Vorschriften zur Datenschutzkontrolle oder der Aufsicht angehalten und vertritt hierbei den jeweiligen Auftraggeber.
- Ggf. bedarf es ebenfalls der Bestellung eines Datenschutzbeauftragten.
Vertrag zur Auftragsdatenverarbeitung: Muster zur Veranschaulichung
Im Folgenden stellen wir Ihnen einen Mustervertrag für die Auftragsdatenverarbeitung zur Verfügung. Beachten Sie dabei, dass dieses Muster einen ADV-Vertrag nur exemplarisch veranschaulichen soll. Es erhebt keinen Anspruch auf Rechtssicherheit oder Vollständigkeit.
Wollen Sie in Ihrem Unternehmen einen externen Dienstleister mit der Datenverarbeitung beauftragen, können Sie für die Aufsetzung von einem Auftragsdatenverarbeitungsvertrag unser Muster zur Orientierung nutzen. Halten Sie jedoch Rücksprache mit Ihrer Rechtsabteilung, einem externen Anwalt und/oder einem Datenschutzbeauftragten, um dieses auf die Ansprüche in Ihrem jeweiligen Einzelfall anzupassen und zu ergänzen.
Muster zum kostenlosen Download
Hier können Sie die umfassende Mustervereinbarung für die Auftragsdatenvereinbarung kostenlos als .PDF oder .DOC herunterladen und an Ihre eigenen Bedürfnisse anpassen:
(67 Bewertungen, Durchschnitt: 4,01 von 5)
Loading...Über den Autor
Kann es sein das die Auftragsdatenverarbeitung bei Outsourcing wie hier beschrieben durch die Auftragsverarbeitung in der DSGVO „ersetzt“ wurde ?
Ich beneide die Briten, die sich aus dem EU-Wahnsinn verabschieden. Die Verantwortlichen scheinen alles bis aufs Atom kaputtregulieren zu wollen. Und irgendwie bleiben die kleinen Unternehmer auf der Strecke. Zumindest stehen 99% davon mit einem Bein im Knast. Niemand ist – wie ich feststellen muss – in der Lage, für seine Veröffentlichungen gerade zu stehen. Bitte wenden Sie sich an ihren Anwalt. Und dieser wird sich auch von seiner Unahnung rechtlich freisprechen.
Ich bin ja kein Rechtsexperte, aber der genannte § 11 des BDSG sagt nichts über die Auftragsdatenverarbeitung aus. Erst in § 62 wird der Umgang mit Daten durch Auftragsdatenverarbeitung reguliert. Damit ist ihr schöner Mustervordruck leider hinfällig und für viele, die nicht genau hingucken leider auch gefährlich.
Mit freundlichen Grüßen
Rüdiger
Hallo Rüdiger,
bitte beachten Sie, dass dieser Text sich auf die alte Fassung des BDSG bezieht.
Die Redaktion von Datenschutz.org
Hallo,
Ich habe gelesen, daß ich die Auftragsverarbeitung nach der neuen EU-DSGV protokollieren muss.
Wie läuft das ab? Schriftlich, in Papierform, wo muss ich das speichern/aufbewahren, wann muss ich das machen, was trage ich ein, wie lange bewahre ich das auf?
Lieben Gruß,
Sandra
Hallo Sandra,
für die Klärung von Detailfragen zur Durchführung konsultieren Sie am besten einen Datenschutzbeauftragten oder einen Anwalt.
Die Redaktion von Datenschutz.org
Hi, eure Checklisten finde ich SUPER ! Bitte beachtet, das auch beim Ausdrucken die Spalten: JA / Nein immer zu sehen seien sollten (bitte korrigieren). Danke.
Bitte macht weiter so. 🙂
Hallo,
die Anzeige von .pdf und .doc kann aufgrund unterschiedlicher Programme variieren. In der Regel lässt sich dieses Problem jedoch über die Anpassung der Druckereigenschaften beheben.
Die Redaktion von Datenschutz.org