Auftragsdatenverarbeitung nach § 11 BDSG

FAQs:

1. Was ist Auftragsdatenverarbeitung im Sinne von § 11 BDSG?

§ 11 BDSG ist überschrieben mit „Erhebung, Verarbeitung oder Nutzung personenbezogen er Daten im Auftrag“.

Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt(Erhebung, Verarbeitung, Nutzung = Umgang mit Daten), ist der Auftraggeber nach § 11 Abs. 1 Satz 1 BDSG weiterhin für die Einhaltung der Datenschutzvorschriften verantwortlich. Der Auftragnehmer darf die Daten gemäß § 11 Abs. 3 Satz 1 BDSG nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen.

Diese gesetzlichen Vorgaben werden allgemein so aus gelegt, dass es sich bei einer Auftragsdatenverarbeitung nach § 11 BDSG

a) um Hilfstätigkeiten bzw. dv-technische Unterstützungen als Dienstleistung für einen weiterhin für die bestimmte Aufgabe/Funktion verantwortlichen und hierzu allumfassend weisungsberechtigten Auftraggeber handeln muss, und

b) die Hilfstätigkeit bzw. dv-technische Unterstützung im Kern die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betrifft, und nicht Dienstleistungen anderer Art. Auftragsdatenverarbeitung sind also regelmäßig z. B. die dv-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung, die Werbeadressenverarbeitung, die Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs (soweit nicht TKG), die Auslagerung der E-Mail-Verwaltung oder von Datendiensten zu Web-Sites, die Datenerfassung, Mikroverfilmung oder Datenkonvertierung, die Backup-Sicherheitsspeicherung, die Datenträgerentsorgung, usw. durch/an einen Dienstleister.

Sind diese Bedingungen von a) und b) bei einem bestimmten Sachverhalt nicht gegeben, kann die gesetzliche Privilegierung für die Auftragsdatenverarbeitung – datenschutzrechtlich keine Übermittlung von Daten (vgl. insoweit § 3 Abs. 8 Satz 3 BDSG) – hierfür nicht in Anspruch genommen werden. Folge ist das Erfordernis einer speziellen Rechtsgrundlage für den betreffenden Umgang mit personenbezogenen Daten nach § 4 Abs. 1 BDSG.

Wenn an einen Dienstleister nicht nur der datenverarbeitungstechnische Umgang mit personenbezogenen Daten des Auftraggebers übertragen worden ist , sondern weitere weisungsgebundene Hilfeleistungen anderer Art (z. B. die technische Organisation von Dienstreisen oder Versetzungen, Callcenter-Tätigkeiten), so kann der Umgang mit den personenbezogenen Daten des Auftraggebers unter Umständen ebenfalls noch als Auftragsdatenverarbeitung nach § 11 BDSG eingeordnet werden, wenn der Umgang mit den vom Auftraggeber überlassenen Daten beim Dienstleister vertraglich streng weisungsgebunden festgelegt ist.

Die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen werden kraft Gesetzes (§ 11 Abs. 5 B DSG) als Datenverarbeitung im Auftrag nach § 11 BDSG eingeordnet, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

 2. Was ist keine Auftragsdatenverarbeitung im Sinne von § 11 BDSG?

2.1 Keine Auftragsdatenverarbeitungen sind z. B. die Auslagerung bzw. externe Inanspruchnahme von Aufgaben/Funktionen wie Personalverwaltung, Mitarbeiterrekrutierung, Vertragskundenbetreuung, Finanzberatung, Steuerberatung, Unternehmensberatung, Wirtschaftsprüfung, Inkassotätigkeit usw. an/durch ein verbundenes Unternehmen oder sonstige Dritte mit dort eigenverantwortlichen Wahrnehmung. Dies geht über Hilfstätigkeiten bzw. dv-technische Unterstützungen hinaus; die hierzu notwendige Weitergabe von Daten durch den Auftraggeber bedarf einer speziellen Rechtsgrundlage nach § 4 Abs. 1 BDSG (häufig Einwilligung, teilweise § 28 Abs. 1 Satz 1 Nrn. 1 und 2 BDSG).

Die insoweit mit dem Aufgabenübernehmer zu treffenden vertraglichen Vereinbarungen müssen im Hinblick auf die zu berücksichtigenden Interessenlagen der betroffenen Personen und die Zweckbindung für die Daten (vgl. § 28 Abs. 5 BDSG) oft eine n vergleichbaren Inhalt wie Verträge nach § 11 BDSG haben.

2.2 Keine Auftragsdatenverarbeitungen im Sinne von § 11 BDSG sind auch fremd in Anspruch genommene Tätigkeiten, die im eigentlichen Kern nicht den Umgang (Erhebung, Verarbeitung, Nutzung) mit personenbezogenen Daten betreffen, sondern in denen andere Dienstleistungsschwerpunkte im Vordergrund stehen und der dabei notwendigerweise mit verbundene Umgang mit personenbezogenen Daten nur ein unvermeidliches „Beiwerk“ darstellt, oder eine Kenntnisnahme personenbezogener Daten bei der Leistungserbringung nicht ausgeschlossen ist.

 Beispiele:

Transportleistungen von Post- oder Kurierdiensten, Transportleistungen von öffentlichen Telekommunikationsdiensten, Bankdienstleistungen als „Transportleistungen von Geld“, Bewachungsdienste, Reinigungsdienstleistungen, Handwerkereinsätze in Unternehmen, usw.

Wenn hier keine besonderen gesetzlichen oder vertraglichen Geheimhaltungsverpflichtungen bestehen, wie Postgeheimnis, Telekommunikations-/Fernmeldegeheimnis, Bankgeheimnis, ist eine spezielle Geheimhaltungsverpflichtung der externen Personen (Bewachungs-/Reinigungspersonal, Handwerker etc.) notwendig, die sich inhaltlich an der Verpflichtung auf das Datengeheimnis nach § 5 BDSG orientieren kann.

Je nach Sachverhalt kann im Hinblick auf die zu berücksichtigenden Interessenlagen der betroffenen Personen und auf die Zweckbindung für die Daten (vgl. § 28 Abs. 5 BDSG) auch eine vertragliche Vereinbarung mit dem Leistungserbringer nach den Grundsätzen von § 11 BDSG geboten sein (z. B. bei privaten Kurierdiensten).

 3. Was ergibt sich nach dem 01.09.2009 für Altverträge nach § 11 BDSG?

Altverträge nach § 11 BDSG, die nicht den inhaltlichen Anforderungen des erweiterten § 11 Abs. 2 Satz 2 BDSG entsprechen, sind unverzüglich anzupassen.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s