Datenverarbeitung im Auftrag

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Die Datenverarbeitung im Auftrag – auch Auftragsdatenverarbeitung genannt – ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister auf Weisung des Auftraggebers. Sie dient dazu, das Outsourcing von Datenverarbeitung datenschutzrechtlich abzusichern. In Deutschland ist die Datenverarbeitung im Auftrag u. a. in § 11 Bundesdatenschutzgesetz und § 80 Zehntes Buch Sozialgesetzbuch geregelt.

Vorgaben bei der Auftragsdatenverarbeitung[Bearbeiten]

Seit der Novellierung des Bundesdatenschutzgesetzes im Jahr 2009 werden die Voraussetzungen einer Auftragsdatenverarbeitung vom Gesetzgeber in einem Zehn-Punkte-Katalog vorgegeben. Voraussetzung ist ein schriftlicher Vertrag mit folgenden Regelungen:

  • Auftragsgenstand und Dauer des Auftragsverhältnisses
  • Umfang, Art und Zweck der Datenverarbeitung
  • Technische und organisatorische Maßnahmen des Auftragnehmers
  • Löschung, Berechtigung und Sperrung von personenbezogenen Daten
  • Kontrollrechte des Auftraggebers
  • Eventuelle Befugnis zu Unterauftragsverhältnissen
  • Pflichten des Auftragnehmers (Duldung und Mitwirkung bei Kontrollen)
  • Meldepflicht bei Verstößen gegen das BDSG oder den Vertrag
  • Weisungsbefugnis des Auftraggebers bei datenschutzrelevanten Sachverhalten
  • Rückgabe oder evtl. Löschung der personenbezogenen Daten am Ende des Auftragsverhältnisses


Bevor ein Vertrag zwischen den Parteien geschlossen werden darf, muss sich der Auftraggeber vergewissern, dass der Auftragnehmer die vom Gesetz geforderten technischen und organisatorischen Maßnahmen erfüllen kann.

Je nach Umfang und Art der zu verarbeitenden Daten kann dieser Kontrollpflicht durch eine Überprüfung vor Ort, dem Nachweis aussagekräftige Datenschutzzertifizierungen, einer Begutachtung des IT-Sicherheitskonzepts oder durch eine schriftliche Auskunft des Auftragnehmers nachgekommen werden.[1]

Der Auftraggeber stellt dem Auftragnehmer auf der Grundlage des im Vertrag festgelegten Weitergabe- bzw. Übermittlungsverfahren die zu verarbeitenden personenbezogenen Daten bereit. Gegebenenfalls erhebt der Auftragnehmer die personenbezogenen Daten auch selbst. Dabei muss der Auftragnehmer die zu verarbeitenden personenbezogenen Daten von den Daten trennen, die er für andere Zwecke erhoben hat oder die er für andere Auftraggeber verarbeitet und nutzt. Nach Abschluss der Verarbeitung stellt der Auftragnehmer die Ergebnisse wiederum in einem zuvor festgelegten Verfahren dem Auftraggeber zur Verfügung.

Abgrenzung zur Funktionsübertragung[Bearbeiten]

Aufgrund der unterschiedlichen rechtlichen Konsequenzen ist die Auftragsdatenverarbeitung unbedingt von der Funktionsübertragung zu unterscheiden. Bei der Datenverarbeitung im Auftrag verbleibt die Verantwortung für die ordnungsgemäße Datenverarbeitung sowie deren Haftung weiterhin beim Auftraggeber. Die Weitergabe von personenbezogenen Daten im Zuge einer Datenverarbeitung im Auftrag qualifiziert sich nicht als Übermittlung im datenschutzrechtlichen Sinne.[2] Dies führt zu einer rechtlichen Privilegierung. Der Empfänger ist dabei wie eine ausgelagerte Abteilung des Auftraggebers und daher im gleichen Maße wie dieser zum Umgang mit den personenbezogenen Daten berechtigt.

Im Gegensatz dazu ist bei der Funktionsübertragung der Auftragnehmer selbst verantwortliche Stelle für die verarbeiteten Daten. Eine Weitergabe von personenbezogenen Daten an diesen bedarf deshalb einer Erlaubnisnorm oder einer Einwilligung.

Im Gesetz finden sich keine klaren Vorgaben zur Abgrenzung der Datenverarbeitung im Auftrag von der Funktionsübertragung. In der Praxis dienen die Befugnisse des Auftragnehmers als Unterscheidungskriterium.[3] Von einer Datenverarbeitung im Auftrag ist dabei auszugehen, wenn der Auftragnehmer nur eine Hilfs- und Unterstützungsfunktion einnimmt. Anzeichen dafür sind ein fehlender, eigener Entscheidungsspielraum sowie die Weisungsgebundenheit an den Auftragsgeber.

Wird hingegen der gesamte Aufgaben- oder Geschäftsbereich auf den Auftragnehmer übertragen handelt es sich um eine Funktionsübertragung. Ein Hinweis hierfür sind eigene Entscheidungsbefugnisse sowie ein selbständiges Ermessen bei der Verarbeitung der Daten. Auch ein finanzielles Eigeninteresse an den übertragenen Daten kann ein Indikator für eine Funktionsübertragung sein.

Beispiele[Bearbeiten]

Beispiele für Auftragsdatenverarbeitungs-Verhältnisse sind:

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. Auftragsdatenverarbeitung. Dr. Nils Christian Haag, abgerufen am 19. Juli 2015.
  2. Auftragsdatenverarbeitung und Funktionsübertragung. Der Landesbeauftragte für den Datenschutz Baden-Württenberg, abgerufen am 19. Juli 2015.
  3. Orientierungshilfe Auftragsdatenverarbeitung. Landesbeauftragter für den Datenschutz Niedersachsen, 2. Dezember 2002, abgerufen am 19. Juli 2015.
Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!