Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Auftragsdatenverarbeitung
Der Gesetzgeber hat die vertraglichen Voraussetzungen für die Verarbeitung personenbezogener Daten im Auftrag neu geregelt und die Nichtbeachtung mit einem Bußgeld von bis zu 50.000 Euro belegt. Was das für Sie bedeutet erfahren Sie hier.
Was ist Auftragsdatenverarbeitung?
In Ihrem Unternehmen fallen häufig personenbezogene Daten an, selbst wenn Sie nicht zur Branche der Daten- oder Adresshändler gehören. Kunden- und Lieferantendaten werden verwaltet, möglicherweise sprechen Sie zu Akquise- oder Werbezwecken potenzielle Kunden an. Die Daten Ihrer Mitarbeiter werden bearbeitet und natürlich muss die Lohnabrechnung durchgeführt werden. Für eine schnelle Verarbeitung steht heute die EDV bereit. Doch bleiben diese Daten immer in Ihrem Haus oder setzen Sie nicht doch den einen oder anderen Dienstleister ein, um die Datenverarbeitung effizient zu gestalten?
Das Bundesdatenschutzgesetz (BDSG) bezeichnet die Zuhilfenahme eines externen Dienstleisters zur Datenverarbeitung unter bestimmten Voraussetzungen als Auftragsdatenverarbeitung.
Dies ist immer dann der Fall, wenn Ihr Dienstleister nur eine Hilfs- bzw. Unterstützungsfunktion hat und vollkommen von Ihren Vorgaben abhängig ist. Erhebt, verarbeitet oder nutzt Ihr Dienstleister Ihre Daten für seine eigenen Zwecke, handelt es sich nicht um Auftragsdatenverarbeitung.
Wichtig für Sie ist, dass bei einem Auftragsdatenverarbeitungsverhältnis gem. § 11 Abs. 1 Satz 1 BDSG für die Einhaltung des Datenschutzes immer Sie als der Auftraggeber verantwortlich bleibent.
Wer kann Auftragsdatenverarbeiter sein?
In Zeiten von Cloud-Lösungen und Application-Service-Providing kommt Auftragsdatenverarbeitung quasi täglich vor: Sie nutzen die Angebote externer Dienstleister zur Speicherung Ihrer Daten oder gar zur Auslagerung Ihrer gesamten IT. Ihre Daten liegen dabei auf den Systemen dieser Dienstleister!
Gleiches gilt, wenn die Lohn- und Gehaltsabrechnung an ein externes Lohnbüro oder ein anderes Unternehmen in Ihrem Konzern ausgelagert wurde.
Oftmals gibt es aber auch Auftragsdatenverarbeitungsverhältnisse, an die man im ersten Moment gar nicht denkt:
- Hosting und Administration eines E‑Mail-Servers
- Gestaltung und Hosting Ihres Internetauftritts (zumindest, wenn dort personenbezogene Daten per Formular, Webanalyseprogramm etc. erhoben und verarbeitet oder Mitarbeiterdaten veröffentlicht werden)
- Beauftragung eines Call-Centers für Umfragen, Support etc.
- Vernichtung von Datenträgern oder vertraulichen Unterlagen
- Fernwartung Ihrer IT durch einen EDV-Partner oder Programmsupport
- usw.
Welche Pflichten treffen Sie?
Für alle Fälle einer Auftragsdatenverarbeitung schreibt § 11 Abs. 2 BDSG vor, dass der Auftragnehmer unter besonderer Berücksichtigung der Eignung sorgfältig auszuwählen und der Auftrag schriftlich zu erteilen ist. Im schriftlichen Auftrag müssen mindestens die zehn in § 11 Abs. 2 Satz 2 BDSG genau aufgezählten Punkte enthalten sein!
Und damit nicht genug: Sie müssen sich vor Beginn der Datenverarbeitung und später regelmäßig von der Einhaltung der Schutzmaßnahmen beim Auftragnehmer überzeugen und das Ergebnis dieser Kontrolle dokumentieren!
Prüfen Sie also:
- Welche Auftragsdatenverarbeitungsverhältnisse liegen vor?
- Liegt zu allen Auftragsdatenverarbeitungsverhältnissen ein schriftlicher Vertrag vor?
- Sind im Vertrag alle zehn in § 11 Abs. 2 Satz 2 BDSG aufgezählten Punkte enthalten?
- Wurde der Auftragnehmer sorgfältig ausgewählt?
- Wurden die beim Auftragnehmer getroffenen Schutzmaßnahmen vor Beginn der Datenverarbeitung und sodann regelmäßig kontrolliert?
- Wurden die Ergebnisse der Kontrollmaßnahmen dokumentiert?
Und was passiert, wenn Sie die Pflichten missachten?
Wie so oft, droht das BDSG auch hier mit einem Bußgeld. Bis zu 50.000 Euro werden fällig, wenn der Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt wurde oder die Kontrolle der Schutzmaßnahmen beim Auftragnehmer vor Beginn der Datenverarbeitung nicht durchgeführt wurde.

Abschluss der Ausbildung mit dem zweiten juristischen Staatsexamen 1997. Seitdem in unterschiedlichen Bereichen bei der DATEV eG in Nürnberg tätig. Praktische Erfahrung im IT-Umfeld hat er insbesondere in seiner zehnjährigen Tätigkeit in der Softwareentwicklung gesammelt. Hierbei war er u.a. mit der Einrichtung und Aktualisierung von Netzwerkumgebungen in Steuerberater- und Rechtsanwaltskanzleien betraut. Seit fünf Jahren ist Bernd Bosch als externer Datenschutzberater für Kanzleien tätig.

Neueste Kommentare